使用用户与资源之间的基于云的网络代理,资源看到的 IP 地址与实际源 IP 地址并不匹配。 资源终结点会将云代理视为源 IP 地址,替代最终用户源 IP。 使用这些云代理解决方案的客户不能使用这些源 IP 信息。
全局安全访问中的源 IP 地址恢复使 Microsoft Entra 客户能够继续使用原始用户源 IP(公共出口 IP 地址),以确保向后兼容性。 管理员可从以下功能受益:
- 继续跨 条件访问 和 持续访问评估强制实施基于源 IP 的位置策略。
- Microsoft Entra ID Protection 风险检测 获取原始用户源 IP 地址的一致视图,用于评估各种风险分数。
- 原始用户源 IP 也可用于 Microsoft Entra 登录日志和 Microsoft Entra 审核日志中
先决条件
- 与全局安全访问功能交互的管理员必须具有以下两个角色分配,具体取决于他们正在执行的任务。
- 产品需要经过许可。 有关详细信息,请参阅 什么是全局安全访问的许可部分。 如果需要,可以 购买许可证或获取试用许可证。
已知限制
有关已知问题和限制的详细信息,请参阅 全局安全访问的已知限制。
为条件访问启用全局安全访问信号
若要启用允许源 IP 还原的必需设置,管理员必须执行以下步骤。
- 以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“全局安全访问”>“设置”>“会话管理”>“自适应访问”。
- 选择切换开关以 在条件访问中启用全局安全访问信号。
此功能允许 Entra ID 和 Microsoft Graph 接收用户的公共出口源 IP 地址。
注意
如果组织启用了基于 IP 位置检查的条件访问策略,而你禁用了条件访问的全局安全访问信号,你可能会在无意中阻止目标最终用户访问资源。 如果必须禁用此功能,请先删除所有对应的条件访问策略。
登录日志行为
若要查看源 IP 还原的实际效果,管理员可以执行以下步骤。
- 至少以安全读取者身份登录到Microsoft Entra 管理中心。
- 导航到 Entra ID>用户>,选择其中一个测试用户,查看 >登录日志。
- 启用源 IP 还原后,你会看到包含其实际 IP 地址的 IP 地址。
- 如果禁用了源 IP 还原,则看不到实际 IP 地址。
登录日志数据可能需要一些时间才能显示,这种延迟是正常的,因为要进行一些必要的处理。
