Wiederherstellung der Quell-IP-Adresse
Bei einem cloudbasierten Netzwerkproxy zwischen Benutzer*innen und ihren Ressourcen stimmt die IP-Adresse, die den Ressourcen angezeigt wird, nicht mit der tatsächlichen Quell-IP-Adresse überein. Anstelle der Quell-IP-Adresse des Endbenutzers oder der Endbenutzerin sehen die Ressourcenendpunkte den Cloudproxy als Quell-IP-Adresse. Kunden mit diesen Cloudproxylösungen können diese Quell-IP-Informationen nicht verwenden.
Die Wiederherstellung der Quell-IP-Adresse in „globaler sicherer Zugriff“ ermöglicht Abwärtskompatibilität, sodass Microsoft Entra-Kunden weiterhin die ursprüngliche Quell-IP-Adresse verwenden können. Administrator*innen können von den folgenden Funktionen profitieren:
- Erzwingen Sie weiterhin auf der Quell-IP basierende Standortrichtlinien für bedingten Zugriff und fortlaufende Zugriffsevaluierung.
- Microsoft Entra ID Protection-Risikoerkennungen erhalten eine konsistente Ansicht der ursprünglichen Quell-IP-Adresse der Benutzer*innen für die Auswertung verschiedener Risikobewertungen.
- Die ursprüngliche Quell-IP-Adresse der Benutzer*innen wird auch in Microsoft Entra-Anmeldeprotokollen verfügbar gemacht.
Voraussetzungen
- Administratoren, die Features der Vorschauversion von globaler sicherer Zugriff verwenden, müssen abhängig von den ausgeführten Aufgaben über die beiden folgenden Rollenzuweisungen verfügen:
- Die Rolle „Administrator für globalen sicheren Zugriff“ zum Verwalten der Features des globalen sicheren Zugriffs.
- Die Rolle Administrator für bedingten Zugriff zum Erstellen und Verwenden von Richtlinien für bedingten Zugriff
- Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
Bekannte Einschränkungen
Dieses Feature weist mindestens eine bekannte Einschränkung auf. Ausführlichere Informationen zu den bekannten Problemen und Einschränkungen dieses Features finden Sie unter Bekannten Einschränkungen für den globalen sicheren Zugriff.
Aktivieren der Signalisierung des globalen sicheren Zugriffs für bedingten Zugriff
Um die erforderliche Einstellung zum Zulassen der Quell-IP-Wiederherstellung zu aktivieren, müssen Administrator*innen die folgenden Schritte ausführen:
- Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
- Wechseln Sie zu Globaler sicherer Zugriff>Einstellungen>Sitzungsverwaltung>Adaptiver Zugriff.
- Stellen Sie die Umschaltfläche auf Global Secure Access-Signalisierung im bedingten Zugriff aktivieren.
Mit dieser Funktion können Dienste wie Microsoft Graph, Microsoft Entra ID, SharePoint Online und Exchange Online die tatsächliche Quell-IP-Adresse anzeigen.
Achtung
Wenn Ihre Organisation über aktive Richtlinien für bedingten Zugriff verfügt, die auf IP-Standortüberprüfungen basieren, und Sie die Global Secure Access-Signalisierung im bedingten Zugriff deaktivieren, verhindern Sie möglicherweise unbeabsichtigt den Zugriff der Zielendbenutzer*innen auf die Ressourcen. Wenn Sie dieses Feature deaktivieren müssen, löschen Sie zuerst alle entsprechenden Richtlinien für bedingten Zugriff.
Verhalten des Anmeldeprotokolls
Um die Wiederherstellung der Quell-IP-Adresse in Aktion zu sehen, können Administrator*innen die folgenden Schritte ausführen:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
- Navigieren Sie zu Identität>Benutzer>Alle Benutzer> eine*n Testbenutzer*in auswählen >Anmeldeprotokolle.
- Wenn die Quell-IP-Wiederherstellung aktiviert ist, werden IP-Adressen angezeigt, die ihre tatsächliche IP-Adresse enthalten.
- Wenn die Quell-IP-Wiederherstellung deaktiviert ist, wird die zugehörige tatsächliche IP-Adresse nicht angezeigt.
Es kann einige Zeit dauern, bis Anmeldeprotokolldaten angezeigt werden. Diese Verzögerung ist normal, da eine gewisse Verarbeitung erfolgen muss.
