Restauración de IP de origen

Con un proxy de red basado en la nube entre los usuarios y sus recursos, la dirección IP que ven los recursos no coincide con la dirección IP de origen real. En lugar de la dirección IP de origen de los usuarios finales, los puntos de conexión de recursos ven el proxy en la nube como la dirección IP de origen. Los clientes con estas soluciones de proxy en la nube no pueden usar esta información de IP de origen.

La restauración de direcciones IP de origen en Acceso global seguro permite la compatibilidad con versiones anteriores para que los clientes de Microsoft Entra sigan usando la dirección IP de origen del usuario original. Los administradores pueden beneficiarse de las siguientes funcionalidades:

Requisitos previos

Limitaciones conocidas

Cuando la restauración de IP de origen está habilitada, solo puede ver la dirección IP de origen. La dirección IP del servicio Acceso global seguro no está visible. Si quiere ver la dirección IP del servicio Acceso global seguro, deshabilite la restauración de IP de origen.

La restauración de IP de origen solo se admite para Tráfico de Microsoft, como SharePoint Online, Exchange Online, Teams y Microsoft Graph. Si tiene directivas de acceso condicional basadas en ubicación IP para recursos que no son de Microsoft protegidos por la evaluación continua de acceso (CAE), estas directivas no se evalúan en el recurso, ya que la dirección IP de origen no se conoce para el recurso.

Si usa la aplicación estricta de ubicación de la CAE, los usuarios se bloquearán aunque estén en un intervalo IP de confianza. Para resolver esta condición, lleve a cabo una de las siguientes recomendaciones:

  • Si tiene directivas de acceso condicional basadas en ubicación IP destinadas a recursos que no son de Microsoft, no habilite la aplicación estricta de la ubicación.
  • Asegúrese de que el tráfico sea compatible con la restauración de IP de origen o no envíe el tráfico pertinente a través de Acceso global seguro.

Habilitar la señalización de Acceso global seguro para acceso condicional

Para habilitar la configuración necesaria para permitir la restauración de IP de origen, un administrador debe realizar los pasos siguientes:

  1. Inicia sesión en el Centro de administración Microsoft Entra como Administrador de acceso global seguro.
  2. Vaya a Acceso global seguro>Configuración global>Administración de sesiones>Acceso adaptable.
  3. Seleccione el botón de alternancia Habilitar la señalización de Acceso global seguro en el acceso condicional.

Esta funcionalidad permite a los servicios como Microsoft Graph, Microsoft Entra ID, SharePoint Online y Exchange Online ver la dirección IP de origen real.

Captura de pantalla del botón de alternancia para habilitar la señalización del acceso condicional.

Precaución

Si su organización tiene directivas de acceso condicional activas basadas en las comprobaciones de ubicación IP y deshabilita la señalización de Acceso global seguro en el acceso condicional, es posible que impida involuntariamente que los usuarios finales de destino accedan a los recursos. Si debe deshabilitar esta característica, elimine primero cualquier directiva de acceso condicional correspondiente.

Comportamiento del registro de inicio de sesión

Para ver la restauración de IP de origen en acción, un administrador puede realizar los pasos siguientes:

  1. Inicie sesión en el Centro de administración Microsoft Entra como al menos un Lector de seguridad.
  2. Vaya a Identidad>Usuarios>Todos los usuarios>, seleccione uno de sus usuarios de prueba >Registros de inicio de sesión.
  3. Con la restauración de IP de origen habilitada, verá las direcciones IP que incluyen su dirección IP real.
    • Si la restauración de IP de origen está deshabilitada, no podrá ver su dirección IP real.

Los datos de registro de inicio de sesión podrían tardar algún tiempo en aparecer. Este retraso es normal, ya que hay algún tipo de procesamiento que debe realizarse.

Captura de pantalla de los registros de inicio que muestran eventos con la restauración de IP de origen activada, luego desactivada y luego otra vez activada.