Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При использовании облачных решений сетевого прокси-сервера и SSE они абстрагируют исходный IP-адрес пользователя из службы, к которому подключается пользователь. Вместо этого служба обнаруживает IP-адрес пользователя в качестве исходящего адреса облачного сетевого прокси-сервера. Хотя эта абстракция помогает с проблемами, связанными с конфиденциальностью в сценариях потребителей, не имея исходных исходных IP-данных, затрудняет достижение целей безопасности предприятия. Например, без фактического IP-адреса исходящего клиента нельзя применять политики условного доступа Microsoft Entra ID на основе известных IP-адресов вашей организации, а журналы аудита не отражают точные сведения о расположении.
Восстановление исходного IP-адреса является частью функции адаптивного доступа Microsoft Entra Internet Access для служб Майкрософт. Восстановление исходного IP-адреса обнаруживает и безопасно передает исходный IP-адрес исходящего трафика конечного пользователя идентификатору Microsoft Entra и Microsoft Graph, что дает следующие преимущества вашей организации:
- Вы можете продолжать применять политики расположения на основе IP-адресов в Microsoft Entra ID Conditional Access.
- Это повышает точность обнаружения рисков для защиты Microsoft Entra ID.
- Он повышает уровень обнаружения угроз и реагирования путем записи точного исходного IP-адреса в журналах входа Microsoft Entra и в журналах аудита Microsoft Entra.
Замечание
Чтобы обеспечить восстановление исходного IP-адреса для приложений, отличных от Майкрософт, необходимо также настроить политики условного доступа и обеспечить поток трафика через соответствующую сеть. Дополнительные сведения см. в разделе Проверка соответствия сети с помощь условного доступа.
Предпосылки
- Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь оба следующих назначения ролей в зависимости от выполняемых задач:
- Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
- Администратор условного доступа для создания и взаимодействия с политиками условного доступа.
- Для продукта требуются лицензии Microsoft Entra ID P1. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
- Необходимо включить восстановление исходного IP-адреса в профиле трафика Майкрософт .
Известные ограничения
Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".
Активировать сигнализацию глобального безопасного доступа для условного доступа
Замечание
Восстановление исходного IP-адреса теперь включено по умолчанию для новых клиентов. Если вы включили функции глобального безопасного доступа в клиенте до июня 2025 г., может потребоваться явно включить восстановление исходного IP-адреса.
Чтобы включить необходимый параметр для разрешения восстановления исходного IP-адреса, администратор должен выполнить следующие действия.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к "Глобальный безопасный доступ">Настройки>Управление сессией>Адаптивный доступ.
- Выберите переключатель, чтобы включить сигнал условного доступа для идентификатора Microsoft Entra.
Используя эту функцию, Microsoft Entra ID и Microsoft Graph получают публичный исходный IP-адрес пользователя.
Внимание
Если у вашей организации есть активные политики условного доступа на основе проверок расположения IP-адресов, и вы отключите сигнал глобального безопасного доступа в условном доступе, вы можете непреднамеренно заблокировать доступ целевых конечных пользователей от доступа к ресурсам. Если эту функцию необходимо отключить, сначала удалите все соответствующие политики условного доступа.
Поведение журнала входа
Чтобы просмотреть восстановление исходного IP-адреса в действии, администраторы могут выполнить следующие действия.
- Войдите в административном центре Microsoft Entra по крайней мере в роли Security Reader.
- Перейдите в Entra ID>Пользователи>, выберите одного из тестовых пользователей, затем зайдите в >журналы входа.
- При включении восстановления исходного IP-адреса отображаются IP-адреса, которые включают фактический IP-адрес пользователя.
- При отключении восстановления исходного IP-адреса фактический IP-адрес пользователя не отображается.
Данные журнала входа могут отобразиться через некоторое время. Эта задержка является нормальной, так как данные проходят некоторую обработку до его появления.
