來源IP還原
透過使用者與其資源之間的雲端式網路 Proxy,資源看到的IP位址不符合實際的來源IP位址。 為了取代終端使用者的來源IP,資源端點會將雲端 Proxy視為來源IP位址。 具有這些雲端 Proxy 解決方案的客戶無法使用此來源 IP 資訊。
全域安全存取中的來源 IP 還原 (預覽) 允許 Microsoft Entra 客戶繼續使用原始使用者來源 IP 的回溯相容性。 管理員 istrators 可以受益於下列功能:
- 繼續在條件式存取和持續存取評估之間強制執行來源IP型位置原則。
- Identity Protection 風險偵測 會取得原始使用者來源 IP 位址的一致檢視,以評估各種風險分數。
- Microsoft Entra 登入記錄中也提供原始使用者來源 IP。
必要條件
- 與互動的 管理員 istrators全域安全存取預覽功能必須有下列兩個角色指派,視他們執行的工作而定。
- 全域安全存取 管理員 管理全域安全存取預覽功能的角色。
- 條件式存取 管理員 istrator 或 Security 管理員 istrator,以建立條件式存取原則和具名位置並與其互動。
- 預覽需要 Microsoft Entra ID P1 授權。 如有需要,您可以 購買授權或取得試用版授權。
已知的限制
啟用來源IP還原時,您只能看到來源IP。 看不到全域安全存取服務的IP位址。 如果您想要查看全域安全存取服務 IP 位址,請停用來源 IP 還原。
來源 IP 還原目前僅 支援 Microsoft 365 流量,例如 SharePoint Online、Exchange Online、Teams 和 Microsoft Graph。 如果您有受持續存取評估保護的非 Microsoft 365 資源的任何 IP 位置型條件式存取原則,則資源不會評估這些原則,因為資源不知道來源 IP 位址。
如果您使用 CAE 嚴格的 位置強制執行,即使用戶位於受信任的 IP 範圍,仍會遭到封鎖。 若要解決此條件,請執行下列其中一項建議:
- 如果您有以非 Microsoft 365 資源為目標的 IP 位置型條件式存取原則,請勿啟用嚴格的位置強制執行。
- 請確定來源IP還原支援流量,或不要透過全域安全存取傳送相關流量。
啟用條件式存取的全域安全存取訊號
若要啟用允許來源 IP 還原的必要設定,系統管理員必須採取下列步驟。
- 以全域安全存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [全域安全存取>] [全域設定>] [會話管理>自適性存取]。
- 選取切換開關以 在條件式存取中啟用全域安全存取訊號。
此功能可讓 Microsoft Graph、Microsoft Entra ID、SharePoint Online 和 Exchange Online 等服務查看實際的來源 IP 位址。
警告
如果您的組織有以IP位置檢查為基礎的作用中條件式存取原則,而且您在條件式存取中停用全域安全存取訊號,您可能會無意中封鎖目標用戶無法存取資源。 如果您必須停用此功能,請先刪除任何對應的條件式存取原則。
登入記錄行為
若要查看來源 IP 還原的運作情形,系統管理員可以採取下列步驟。
- 以至少安全性讀取者身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別使用者>] [所有使用者>] 選取其中一個測試使用者>登入記錄。
- 啟用來源IP還原後,您會看到包含其實際IP位址的IP位址。
- 如果停用來源 IP 還原,則看不到其實際 IP 位址。
登入記錄數據可能需要一些時間才會出現此延遲,因為必須進行一些處理。
使用規定
您使用 Microsoft Entra 私人存取 和 Microsoft Entra 網際網路存取 預覽體驗和功能,會受您取得服務之合約的預覽在線服務條款及條件所控管。 預覽可能會受限於降低或不同的安全性、合規性和隱私權承諾,如 在線服務和Microsoft 產品和服務數據保護增補條款(“DPA”)以及預覽版所提供的任何其他通知中所述。