Восстановление исходного IP-адреса
С помощью облачного сетевого прокси-сервера между пользователями и их ресурсами IP-адрес, который отображается в ресурсах, не соответствует фактическому исходному IP-адресу. Вместо исходного IP-адреса конечных пользователей конечные точки ресурсов видят облачный прокси-сервер в качестве исходного IP-адреса. Клиенты с этими облачными прокси-решениями не могут использовать эти исходные IP-адреса.
Восстановление исходного IP-адреса в Global Secure Access позволяет клиентам Microsoft Entra продолжить использование исходного IP-адреса источника пользователя. Администраторы могут воспользоваться следующими возможностями:
- Продолжайте применять политики расположения на основе исходного IP-адреса как в условном доступе, так и в оценке непрерывного доступа.
- Защита идентификации Microsoft Entra обнаружения рисков получают согласованное представление исходного IP-адреса источника пользователя для оценки различных показателей риска.
- Исходный IP-адрес источника пользователя также доступен в журналах входа Microsoft Entra.
Необходимые условия
- Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь оба следующих назначения ролей в зависимости от выполняемых задач.
- Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
- Администратор условного доступа для создания и взаимодействия с политиками условного доступа.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Известные ограничения
При включении восстановления исходного IP-адреса можно увидеть только исходный IP-адрес. IP-адрес службы глобального безопасного доступа не отображается. Если вы хотите просмотреть IP-адрес службы глобального безопасного доступа, отключите восстановление исходного IP-адреса.
Восстановление исходного IP-адреса в настоящее время поддерживается только для трафика Майкрософт, таких как SharePoint Online, Exchange Online, Teams и Microsoft Graph. Если у вас есть политики условного доступа на основе IP-адресов для ресурсов, не защищенных с помощью оценки непрерывного доступа (CAE), эти политики не оцениваются по ресурсу, так как исходный IP-адрес не известен ресурсу.
Если вы используете строгое применение расположения CAE, пользователи блокируются, несмотря на то, что находятся в доверенном диапазоне IP-адресов. Чтобы устранить это условие, выполните одну из следующих рекомендаций:
- Если у вас есть политики условного доступа на основе IP-адресов, предназначенные для ресурсов, отличных от Майкрософт, не включите строгое применение расположения.
- Убедитесь, что трафик поддерживается восстановлением исходного IP-адреса или не отправляет соответствующий трафик через глобальный безопасный доступ.
Включение сигнала глобального безопасного доступа для условного доступа
Чтобы включить необходимый параметр для разрешения восстановления исходного IP-адреса, администратор должен выполнить следующие действия.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к параметру "Глобальный безопасный доступ">для управления>сеансами>адаптивного доступа.
- Выберите переключатель, чтобы включить сигнал глобального безопасного доступа в условном доступе.
Эта функция позволяет службам, таким как Microsoft Graph, идентификатор Microsoft Entra, SharePoint Online и Exchange Online, просматривать фактический исходный IP-адрес.
Осторожность
Если у вашей организации есть активные политики условного доступа на основе проверок расположения IP-адресов и отключение сигнала глобального безопасного доступа в условном доступе, вы можете непреднамеренно заблокировать доступ конечных пользователей к ресурсам. Если эту функцию необходимо отключить, сначала удалите все соответствующие политики условного доступа.
Поведение журнала входа
Чтобы просмотреть восстановление исходного IP-адреса в действии, администраторы могут выполнить следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
- Перейдите на страницу "Пользователи>удостоверений>",> чтобы выбрать один из журналов входа тестовых пользователей.>
- При включенном восстановлении исходного IP-адреса отображаются IP-адреса, которые включают фактический IP-адрес.
- Если восстановление исходного IP-адреса отключено, его фактический IP-адрес не отображается.
Данные журнала входа могут занять некоторое время, чтобы показать эту задержку нормально, так как требуется некоторая обработка.
