源 IP 还原

使用用户与资源之间的基于云的网络代理,资源看到的 IP 地址与实际源 IP 地址并不匹配。 资源终结点会将云代理视为源 IP 地址,替代最终用户源 IP。 使用这些云代理解决方案的客户不能使用这些源 IP 信息。

全局安全访问中的源 IP 还原允许向后兼容,以便 Microsoft Entra 客户可以继续使用原始用户源 IP。 管理员可从以下功能受益:

先决条件

已知限制

启用源 IP 还原后,你只能看到源 IP。 全局安全访问服务的 IP 地址不可见。 如果要查看全局安全访问服务的 IP 地址,请禁用源 IP 还原。

当前仅支持 Microsoft 流量(如 SharePoint Online、Exchange Online、Teams 和 Microsoft Graph)的源 IP 还原。 如果对受连续访问评估 (CAE) 保护的非 Microsoft 资源有任何基于 IP 位置的条件访问策略,这些策略不会在资源中进行评估,因为该资源不知道源 IP 地址。

如果使用 CAE 的严格位置强制实施,则处于受信任的 IP 范围的用户也会被阻止。 若要解决此问题,请遵循下列建议之一:

  • 如果你有面向非 Microsoft 资源的基于 IP 位置的条件访问策略,请不要启用严格位置强制实施。
  • 确保源 IP 还原支持该流量,或者避免通过全局安全访问发送相关流量。

为条件访问启用全局安全访问信号

若要启用允许源 IP 还原的必需设置,管理员必须执行以下步骤。

  1. 全局安全访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“全局安全访问”>“设置”>“会话管理”>“自适应访问”
  3. 选择按钮,切换到“在条件访问中启用全局安全访问信号”。

此功能允许 Microsoft Graph、Microsoft Entra ID、SharePoint Online 和 Exchange Online 等服务查看实际源 IP 地址。

显示切换到在条件访问中启用信号的屏幕截图。

注意

如果组织启用了基于 IP 位置检查的条件访问策略,而你禁用了条件访问的全局安全访问信号,你可能会在无意中阻止目标最终用户访问资源。 如果必须禁用此功能,请先删除所有对应的条件访问策略。

登录日志行为

若要查看正在运行的源 IP 还原,管理员需要执行以下步骤。

  1. 至少以安全信息读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“用户”>“全部用户”> 选择其中一个测试用户>登录日志
  3. 在已启用源 IP 还原的情况下,你将看到包含实际 IP 地址的 IP 地址。
    • 如果禁用了源 IP 还原,则看不到实际 IP 地址。

登录日志数据可能需要一些时间才能显示,这种延迟是正常的,因为要进行一些必要的处理。

登录日志的屏幕截图,其中显示了启用源 IP 还原、将其禁用然后又启用的事件。