ソース IP の復元
ユーザーとユーザー用リソースの間にクラウドベースのネットワーク プロキシが介在する場合、リソース側から見た IP アドレスは実際のソース IP アドレスと一致しません。 リソース エンドポイント側からは、エンド ユーザーのソース IP ではなくクラウド プロキシがソース IP アドレスであるように見えます。 そのようなクラウド プロキシ ソリューションをお使いの場合、このソース IP 情報を使用することはできません。
Global Secure Access (プレビュー) のソース IP 復元は、Microsoft Entra のお客様において元のユーザー ソース IP の使用を継続できるようにするための下位互換性機能です。 管理者には、以下のことが可能になるメリットがあります。
- 条件付きアクセスと継続的アクセス評価の両方に、ソース IP ベースの場所ポリシーを引き続き適用する。
- Identity Protection のリスク検出で、元のユーザー ソース IP アドレスに基づき、一貫した形でさまざまなリスク スコア評価を行えます。
- また、Microsoft Entra サインイン ログにも元のユーザーソース IP が記録されます。
前提条件
- Global Secure Access プレビュー機能の操作を行う管理者は、実行するタスクによっては、以下のロールを両方とも割り当てられている必要があります。
- グローバル セキュア アクセス プレビュー機能を管理するためのグローバル セキュア アクセス管理者ロール。
- 条件付きアクセス ポリシーとネームドロケーションを作成および操作するための、条件付きアクセス管理者またはセキュリティ管理者ロール
- プレビュー版を実行するための Microsoft Entra ID P1 ライセンスがあること。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
既知の制限事項
ソース IP 復元が有効になっている場合、お客様から見えるのはソース IP のみです。 Global Secure Access サービスの IP アドレスは見えません。 Global Secure Access サービスの IP アドレスを知る必要がある場合は、ソース IP 復元を無効にしてください。
現在、ソース IP の復元は、Microsoft 365 トラフィック (SharePoint Online、Exchange Online、Teams、Microsoft Graph など) でのみサポートされています。 Microsoft 365 以外のリソースの IP ロケーション ベースの条件付きアクセス ポリシーが継続的アクセス評価 (CAE) によって保護されている場合、ソース IP アドレスがリソースに認識されないため、これらのポリシーはリソースで評価されません。
CAE の厳密な場所の適用を使用している場合、信頼できる IP 範囲にあるにもかかわらず、ユーザーはブロックされます。 この状態を解決するには、次の推奨事項のいずれかを実行します。
- Microsoft 365 以外のリソースを対象とする IP ロケーション ベースの条件付きアクセス ポリシーがある場合は、厳密な場所の適用を有効にしないでください。
- トラフィックがソース IP 復元によってサポートされるようにするか、関連するトラフィックをグローバル セキュア アクセス経由で送信しないようにします。
条件付きアクセスの Global Secure Access シグナリングを有効にする
ソース IP 復元を可能にするために必要な設定を有効にするには、管理者が以下の手順を実行する必要があります。
- Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
- [Global Secure Access]、[グローバル設定]、[セッション管理]、[アダプティブ アクセス] の順に移動します。
- [条件付きアクセスの Global Secure Access シグナリングを有効にする] トグルを選択します。
これは、Microsoft Graph、Microsoft Entra ID、SharePoint Online、Exchange Online などのサービスで実際のソース IP アドレスを扱えるようにするための機能です。
注意
IP アドレスのチェックに基づく条件付きアクセス ポリシーをアクティブに使用している組織では、条件付きアクセスの Global Secure Access シグナリングを無効にすると、対象エンド ユーザーによるリソースへのアクセスが意図せずブロックされる可能性があります。 この機能を無効にする必要がある場合は、その前に、該当する条件付きアクセス ポリシーをすべて削除してください。
サインイン ログの動作
管理者がソース IP 復元の動作を確認するには、以下の手順を実行します。
- Microsoft Entra 管理センターにセキュリティ閲覧者以上としてサインインします。
- [ID]、[ユーザー]、[すべてのユーザー] の順に移動し、いずれかのテスト ユーザーの [サインイン ログ] を選択します。
- ソース IP 復元が有効になっている場合は、IP アドレスの記録に実際の IP アドレスが表示されます。
- ソース IP 復元が無効になっている場合、ユーザーの実際の IP アドレスは表示されません。
サインイン ログ データは、表示されるまでに時間がかかる場合があります。これは必要な処理のための待ち時間であり、異常ではありません。
利用条件
Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項、Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。