ソース IP の復元

  • [アーティクル]

ユーザーとユーザー用リソースの間にクラウドベースのネットワーク プロキシが介在する場合、リソース側から見た IP アドレスは実際のソース IP アドレスと一致しません。 リソース エンドポイント側からは、エンド ユーザーのソース IP ではなくクラウド プロキシがソース IP アドレスであるように見えます。 そのようなクラウド プロキシ ソリューションをお使いの場合、このソース IP 情報を使用することはできません。

Global Secure Access (プレビュー) のソース IP 復元は、Microsoft Entra のお客様において元のユーザー ソース IP の使用を継続できるようにするための下位互換性機能です。 管理者には、以下のことが可能になるメリットがあります。

前提条件

  • Global Secure Access プレビュー機能の操作を行う管理者は、実行するタスクによっては、以下のロールを両方とも割り当てられている必要があります。
    • グローバル セキュア アクセス プレビュー機能を管理するためのグローバル セキュア アクセス管理者ロール。
    • 条件付きアクセス ポリシーとネームドロケーションを作成および操作するための、条件付きアクセス管理者またはセキュリティ管理者ロール
  • プレビュー版を実行するための Microsoft Entra ID P1 ライセンスがあること。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。

既知の制限事項

ソース IP 復元が有効になっている場合、お客様から見えるのはソース IP のみです。 Global Secure Access サービスの IP アドレスは見えません。 Global Secure Access サービスの IP アドレスを知る必要がある場合は、ソース IP 復元を無効にしてください。

現在、ソース IP の復元は、Microsoft 365 トラフィック (SharePoint Online、Exchange Online、Teams、Microsoft Graph など) でのみサポートされています。 Microsoft 365 以外のリソースの IP ロケーション ベースの条件付きアクセス ポリシーが継続的アクセス評価 (CAE) によって保護されている場合、ソース IP アドレスがリソースに認識されないため、これらのポリシーはリソースで評価されません。

CAE の厳密な場所の適用を使用している場合、信頼できる IP 範囲にあるにもかかわらず、ユーザーはブロックされます。 この状態を解決するには、次の推奨事項のいずれかを実行します。

  • Microsoft 365 以外のリソースを対象とする IP ロケーション ベースの条件付きアクセス ポリシーがある場合は、厳密な場所の適用を有効にしないでください。
  • トラフィックがソース IP 復元によってサポートされるようにするか、関連するトラフィックをグローバル セキュア アクセス経由で送信しないようにします。

条件付きアクセスの Global Secure Access シグナリングを有効にする

ソース IP 復元を可能にするために必要な設定を有効にするには、管理者が以下の手順を実行する必要があります。

  1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
  2. [Global Secure Access][グローバル設定][セッション管理][アダプティブ アクセス] の順に移動します。
  3. [条件付きアクセスの Global Secure Access シグナリングを有効にする] トグルを選択します。

これは、Microsoft Graph、Microsoft Entra ID、SharePoint Online、Exchange Online などのサービスで実際のソース IP アドレスを扱えるようにするための機能です。

条件付きアクセスのシグナリングを有効にするトグルのスクリーンショット。

注意

IP アドレスのチェックに基づく条件付きアクセス ポリシーをアクティブに使用している組織では、条件付きアクセスの Global Secure Access シグナリングを無効にすると、対象エンド ユーザーによるリソースへのアクセスが意図せずブロックされる可能性があります。 この機能を無効にする必要がある場合は、その前に、該当する条件付きアクセス ポリシーをすべて削除してください。

サインイン ログの動作

管理者がソース IP 復元の動作を確認するには、以下の手順を実行します。

  1. Microsoft Entra 管理センターセキュリティ閲覧者以上としてサインインします。
  2. [ID][ユーザー][すべてのユーザー] の順に移動し、いずれかのテスト ユーザーの [サインイン ログ] を選択します。
  3. ソース IP 復元が有効になっている場合は、IP アドレスの記録に実際の IP アドレスが表示されます。
    • ソース IP 復元が無効になっている場合、ユーザーの実際の IP アドレスは表示されません。

サインイン ログ データは、表示されるまでに時間がかかる場合があります。これは必要な処理のための待ち時間であり、異常ではありません。

ソース IP 復元をオン、オフ、再度オンに切り替えた場合の、サインイン ログに記録されたイベントを示すスクリーンショット。

利用条件

Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。

関連するコンテンツ