Ripristino dell'IP di origine
Con un proxy di rete basato sul cloud tra gli utenti e le relative risorse, l'indirizzo IP visualizzato dalle risorse non corrisponde all'indirizzo IP di origine effettivo. Al posto dell'indirizzo IP di origine degli utenti finali, gli endpoint delle risorse vedono il proxy cloud come indirizzo IP di origine. I clienti con queste soluzioni proxy per il cloud non possono usare queste informazioni sull'indirizzo IP di origine.
Il ripristino dell’IP di origine in Accesso globale sicuro offre la compatibilità con le versioni precedenti, consentendo ai clienti di Microsoft Entra di continuare a usare l'indirizzo IP di origine dell'utente originario. Gli amministratori possono trarre vantaggio dalle funzionalità seguenti:
- Continuare ad applicare i criteri di posizione basati sull'indirizzo IP di origine sia per l'accesso condizionale che per la valutazione continua dell'accesso.
- I rilevamenti dei rischi di Microsoft Entra ID ottengono una visualizzazione coerente dell'indirizzo IP di origine dell'utente originale per la valutazione di vari punteggi di rischio.
- L'indirizzo IP di origine dell'utente originale viene reso disponibile anche nei log di accesso di Microsoft Entra.
Prerequisiti
- A seconda delle attività eseguite, gli amministratori che interagiscono con le funzionalità del servizio Accesso globale sicuro devono avere entrambe le assegnazioni di ruolo seguenti.
- Il ruolo Amministratore Accesso globale sicuro per gestire le funzionalità di Accesso globale sicuro.
- Il ruolo Amministratore accesso condizionale per creare e interagire con i criteri di accesso condizionale.
- Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.
Limitazioni note
Quando il ripristino dell'IP di origine è abilitato, è possibile visualizzare solo l'IP di origine. L'indirizzo IP del servizio Accesso globale sicuro non è visibile. Se si vuole visualizzare l'indirizzo IP del servizio Accesso globale sicuro, disabilitare il ripristino dell'IP di origine.
Il ripristino dell’IP di origine attualmente è supportato solo per il traffico Microsoft, ad esempio SharePoint Online, Exchange Online, Teams e Microsoft Graph. Se sono presenti criteri di accesso condizionale basati sulla posizione IP per le risorse non Microsoft protette dalla valutazione continua dell'accesso (CAE), questi criteri non vengono valutati nella risorsa perché l'indirizzo IP di origine non è noto alla risorsa.
Se si usa l'applicazione rigorosa della posizione di CAE, gli utenti vengono bloccati nonostante si trovino in un intervallo IP attendibile. Per risolvere questa condizione, attenersi a una delle raccomandazioni seguenti:
- Se si dispone di criteri di accesso condizionale basati sulla posizione IP destinati a risorse non Microsoft, non abilitare l'applicazione rigorosa della posizione.
- Assicurarsi che il traffico sia supportato dal ripristino dell'IP di origine o che il traffico pertinente non venga inviato tramite il servizio Accesso globale sicuro.
Abilitare la segnalazione del servizio Accesso globale sicuro per l'accesso condizionale
Per abilitare l'impostazione necessaria per consentire il ripristino dell'IP di origine, un amministratore deve seguire questa procedura.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore Accesso globale sicuro.
- Passare ad Accesso sicuro globale>Impostazioni>Gestione delle sessioni>Accesso adattivo.
- Selezionare l'interruttore per abilitare la segnalazione di Accesso globale sicuro nell'Accesso condizionale.
Questa funzionalità consente ai servizi come Microsoft Graph, Microsoft Entra ID, SharePoint Online ed Exchange Online di visualizzare l'indirizzo IP di origine effettivo.
Attenzione
Se l'organizzazione ha criteri di Accesso condizionale attivi basati sui controlli di posizione IP e si disabilita la segnalazione del servizio Accesso globale sicuro nell'accesso condizionale, è possibile che ciò impedisca inavvertitamente agli utenti finali di destinazione di accedere alle risorse. Se è necessario disabilitare questa funzionalità, eliminare prima di tutto qualsiasi criterio di Accesso condizionale corrispondente.
Comportamento del log di accesso
Per vedere il funzionamento del ripristino dell'IP di origine, gli amministratori possono seguire questa procedura.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore che legge i dati di sicurezza.
- Passare a Identità>Utenti>Tutti gli utenti> Selezionare uno degli utenti di test >Log di accesso.
- Con il ripristino dell'IP di origine abilitato, sarà possibile visualizzare gli indirizzi IP che includono il relativo indirizzo IP effettivo.
- Se il ripristino dell'IP di origine è disabilitato, non verrà visualizzato l'indirizzo IP effettivo.
La visualizzazione dei dati dei log di accesso potrebbe richiedere del tempo. Questo ritardo è normale perché è necessario eseguire alcune operazioni di elaborazione.
