ソース IP の復元
ユーザーとリソースの間にクラウドベースのネットワーク プロキシが介在する場合、リソース側から見た IP アドレスは実際のソース IP アドレスと一致しません。 エンド ユーザーのソース IP では、リソース エンドポイント側はクラウド プロキシをソース IP アドレスとして見えます。 このようなクラウド プロキシ ソリューションを使用する顧客は、このソース IP 情報を使用することはできません。
グローバル セキュア アクセスのソース IP 復元は、Microsoft Entra の顧客が元のユーザー ソース IP を継続的に使用するため、下位互換性を実現します。 管理者は次の機能の恩恵を受けることができます。
- 条件付きアクセスと継続的アクセス評価の両方の間に対し、ソース IP ベースの場所ポリシーを引き続き実施します。
- Microsoft Entra ID 保護のリスク検出は、さまざまなリスク スコアを評価するため、元のユーザー ソース IP アドレスの一貫した表示内容を得ます。
- 元のユーザーソース IP は Microsoft Entra ログイン ログ でも利用できます。
前提条件
- グローバル セキュア アクセス機能の操作を行う管理者は、実行するタスクによっては、次の役割の割り当てを両方とも持っている必要があります。
- グローバル セキュア アクセス機能を管理するグローバル セキュア アクセス管理者ロールの役割。
- 条件付きアクセス ポリシーを作成して操作する条件付きアクセス管理者。
- この製品にはライセンスが必要です。 詳細については、「グローバル セキュア アクセスとは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
既知の制限事項
ソース IP 復元が有効になってと、ソース IP のみが表示されます。 グローバル セキュア アクセス サービスの IP アドレスは見えません。 グローバル セキュア アクセス サービスの IP アドレスを見たい場合、ソース IP 復元を無効にしてください。
現在、ソース IP 復元は Microsoft Traffic (SharePoint Online、Exchange Online、Teams、Microsoft Graph など) でのみサポートされています。 Microsoft 以外のリソースの IP ロケーション ベースの条件付きアクセス ポリシーを継続的アクセス評価 (CAE) で保護している場合、ソース IP アドレスがリソースに認識されないため、これらのポリシーはリソースで評価されません。
CAE の厳格な場所の実施を使用している場合、ユーザーが信頼できる IP 範囲からアクセスしてもブロックされます。 この状態を解決するには、次の推奨事項のいずれかを実行します。
- Microsoft 以外のリソースを対象とする IP ロケーション ベースの条件付きアクセス ポリシーがある場合、厳格な場所の実施を有効にしないでください。
- トラフィックがソース IP 復元によってサポートされるようにするか、グローバル セキュア アクセスを介して関連トラフィックを送信しないようにします。
条件付きアクセスに グローバル セキュア アクセス信号通知の有効化
ソース IP 復元を可能にするために必要な設定を有効にするには、管理者は次の手順を実行する必要があります。
- グローバル セキュア アクセス 管理者として Microsoft Entra 管理センターにログインします。
- [グローバル セキュア アクセス]>[設定]>[セッション管理]>[アダプティブ アクセス] に移動します。
- [条件付きアクセスにグローバル セキュア アクセス信号通知の有効化] にトグルを選択します。
この機能は実際のソース IP アドレスを表示するため、Microsoft Graph、Microsoft Entra ID、SharePoint Online、Exchange Online などのサービスを可能にします。
注意
組織が IP 場所のチェックに基づくアクティブな条件付きアクセス ポリシーを使用し、条件付きアクセスでグローバル セキュア アクセス信号通知を無効にする場合、意図せずに対象のエンド ユーザーによるリソースへのアクセスをブロックする可能性があります。 この機能を無効にする必要がある場合、まず対応する条件付きアクセス ポリシーをすべて削除してください。
ログイン ログの動作
管理者がソース IP 復元の動作を確認するには、次の手順を実行します。
- Microsoft Entra 管理センター に最低でも セキュリティ閲覧者 としてサインインします。
- [ID]>[ユーザー]>[すべてのユーザー]> に移動し、>[ログイン ログ] でテストユーザーを 1 人選択します。
- ソース IP 復元が有効にすると、実際の IP アドレスが含まれる IP アドレスが表示されます。
- ソース IP 復元が無効になっている場合、実際の IP アドレスは表示されません。
ログイン ログ データは、表示されるまでに時間がかかる場合があります。必要な処理が行われているため、この遅延には異常はありません。