ユーザーとユーザー用リソースの間にクラウドベースのネットワーク プロキシが介在する場合、リソース側から見た IP アドレスは実際のソース IP アドレスと一致しません。 リソース エンドポイント側からは、エンド ユーザーのソース IP ではなくクラウド プロキシがソース IP アドレスであるように見えます。 そのようなクラウド プロキシ ソリューションをお使いの場合、このソース IP 情報を使用することはできません。
グローバル セキュア アクセスでのソース IP 復元により、Microsoft Entra のお客様が元のユーザーソース IP (パブリック エグレス IP アドレス) を引き続き使用するための下位互換性が可能になります。 管理者には、以下のことが可能になるメリットがあります。
- 引き続き 、条件付きアクセス と 継続的なアクセス評価の両方にソース IP ベースの場所ポリシーを適用します。
- Microsoft Entra ID Protection のリスク検出では、さまざまなリスク スコアを評価するための元のユーザーソース IP アドレスの一貫したビューが取得されます。
- 元のユーザー ソース IP は、Microsoft Entra サインイン ログと Microsoft Entra 監査ログでも使用できます
前提条件
-
グローバル セキュリティで保護されたアクセス機能を操作する管理者は、実行しているタスクに応じて、次の両方のロールの割り当てを持っている必要があります。
- グローバル セキュア アクセス管理者ロールは、グローバル セキュア アクセス機能を管理するための役割です。
- 条件付きアクセス ポリシーを作成して操作するための条件付きアクセス管理者。
- この製品にはライセンスが必要です。 詳細については、「 グローバルセキュリティで保護されたアクセスとは」のライセンスセクションを参照してください。 必要に応じて、 ライセンスを購入するか、試用版ライセンスを取得できます。
既知の制限事項
既知の問題と制限事項の詳細については、「 グローバル セキュリティで保護されたアクセスの既知の制限事項」を参照してください。
条件付きアクセスの Global Secure Access シグナリングを有効にする
ソース IP 復元を可能にするために必要な設定を有効にするには、管理者が以下の手順を実行する必要があります。
- グローバル セキュリティで保護されたアクセス管理者として Microsoft Entra 管理センターにサインインします。
- グローバル セキュア アクセス>Settings>Session 管理>Adaptive Access に移動します。
- トグルを選択して、 条件付きアクセスでグローバル セキュリティで保護されたアクセスのシグナル通知を有効にします。
この機能により、Entra ID と Microsoft Graph は、ユーザーのパブリック エグレス ソース IP アドレスを受信できます。
注意
IP アドレスのチェックに基づく条件付きアクセス ポリシーをアクティブに使用している組織では、条件付きアクセスの Global Secure Access シグナリングを無効にすると、対象エンド ユーザーによるリソースへのアクセスが意図せずブロックされる可能性があります。 この機能を無効にする必要がある場合は、その前に、該当する条件付きアクセス ポリシーをすべて削除してください。
サインインログの挙動
管理者がソース IP 復元の動作を確認するには、以下の手順を実行します。
- Microsoft Entra 管理センターに、少なくともセキュリティ閲覧者としてサインインします。
- Entra ID>Users に移動し>>テスト ユーザーの 1 つを選択します。
- ソース IP 復元が有効になっている場合、実際の IP アドレスを含む IP アドレスが表示されます。
- ソース IP 復元が無効になっている場合、ユーザーの実際の IP アドレスは表示されません。
サインイン ログ データは、表示されるまでに時間がかかる場合があります。これは必要な処理のための待ち時間であり、異常ではありません。
