Share via

Ripristino IP di origine

  • Articolo

Con un proxy di rete basato sul cloud tra gli utenti e le relative risorse, l'indirizzo IP visualizzato dalle risorse non corrisponde all'indirizzo IP di origine effettivo. Al posto dell'INDIRIZZO IP di origine degli utenti finali, gli endpoint delle risorse vedono il proxy cloud come indirizzo IP di origine. I clienti con queste soluzioni proxy cloud non possono usare queste informazioni IP di origine.

Il ripristino ip di origine in Accesso sicuro globale (anteprima) consente ai clienti di Microsoft Entra di continuare a usare l'indirizzo IP di origine dell'utente originale. Amministrazione istrator può trarre vantaggio dalle funzionalità seguenti:

  • Continuare a applicare i criteri di posizione basati su IP di origine sia per l'accesso condizionale che per la valutazione dell'accesso continuo.
  • I rilevamenti dei rischi di Identity Protection ottengono una visualizzazione coerente dell'indirizzo IP di origine dell'utente originale per la valutazione di vari punteggi di rischio.
  • L'indirizzo IP di origine dell'utente originale viene reso disponibile anche nei log di accesso di Microsoft Entra.

Prerequisiti

  • Amministrazione istratori che interagiscono con Le funzionalità di anteprima di Accesso sicuro globale devono avere entrambe le assegnazioni di ruolo seguenti a seconda delle attività eseguite.
    • Ruolo del ruolo Accesso sicuro globale Amministrazione istrator per gestire le funzionalità di anteprima di Accesso sicuro globale.
    • L'accesso condizionale Amministrazione istrator per creare e interagire con i criteri di accesso condizionale.
  • L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.

Limitazioni note

Quando il ripristino IP di origine è abilitato, è possibile visualizzare solo l'INDIRIZZO IP di origine. L'indirizzo IP del servizio Accesso sicuro globale non è visibile. Se si vuole visualizzare l'indirizzo IP del servizio Accesso sicuro globale, disabilitare il ripristino ip di origine.

Il ripristino ip di origine è attualmente supportato solo per il traffico di Microsoft 365, ad esempio SharePoint Online, Exchange Online, Teams e Microsoft Graph. Se sono presenti criteri di accesso condizionale basati sulla posizione IP per le risorse non Microsoft 365 protette dalla valutazione dell'accesso continuo (CAE), questi criteri non vengono valutati nella risorsa perché l'indirizzo IP di origine non è noto alla risorsa.

Se si usa l'applicazione della posizione rigorosa di CAE, gli utenti vengono bloccati nonostante si trovino in un intervallo IP attendibile. Per risolvere questa condizione, eseguire una delle raccomandazioni seguenti:

  • Se si dispone di criteri di accesso condizionale basati sulla posizione IP destinati a risorse non Microsoft 365, non abilitare l'imposizione rigorosa della posizione.
  • Assicurarsi che il traffico sia supportato dal ripristino IP di origine o che non invii il traffico pertinente tramite l'accesso sicuro globale.

Abilitare la segnalazione dell'accesso sicuro globale per l'accesso condizionale

Per abilitare l'impostazione necessaria per consentire il ripristino ip di origine, un amministratore deve seguire questa procedura.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Secure Access Amministrazione istrator.
  2. Passare a Global Secure Access Global settings Session management Adaptive Access (Accesso adattivo per la gestione>delle impostazioni>globali di Accesso> sicuro globale).
  3. Selezionare l'interruttore Abilita segnalazione accesso sicuro globale in Accesso condizionale.

Questa funzionalità consente ai servizi come Microsoft Graph, Microsoft Entra ID, SharePoint Online ed Exchange Online di visualizzare l'indirizzo IP di origine effettivo.

Screenshot che mostra l'interruttore per abilitare la segnalazione nell'accesso condizionale.

Attenzione

Se l'organizzazione dispone di criteri di accesso condizionale attivi in base ai controlli della posizione IP e si disabilita la segnalazione dell'accesso sicuro globale nell'accesso condizionale, è possibile impedire involontariamente agli utenti finali di destinazione di accedere alle risorse. Se è necessario disabilitare questa funzionalità, eliminare prima i criteri di accesso condizionale corrispondenti.

Comportamento del log di accesso

Per visualizzare il ripristino ip di origine in azione, gli amministratori possono seguire questa procedura.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
  2. Passare a Utenti identità>>Tutti gli utenti> selezionano uno dei log di accesso degli utenti >di test.
  3. Con il ripristino IP di origine abilitato, viene visualizzato l'indirizzo IP che include il relativo indirizzo IP effettivo.
    • Se il ripristino ip di origine è disabilitato, non è possibile visualizzare l'indirizzo IP effettivo.

I dati di log di accesso potrebbero richiedere del tempo per visualizzare questo ritardo è normale perché è necessario eseguire alcune operazioni di elaborazione.

Screenshot dei log di accesso che mostrano gli eventi con ripristino IP di origine attivato, quindi disattivato e quindi di nuovo attivato.

Condizioni per l’Utilizzo

L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.

Contenuto correlato