Azure AD で IPv6 のサポートが導入されました

Azure AD で IPv6 のサポートが導入されました

Azure AD IPv6 接続は、2023 年 3 月 31 日からサポートされています

Azure AD 開発グループは、テナント管理者をつま先で維持することを確かに信じています。Azure AD は、新機能の安定したストリームをリリースすることに満足せず、 2023 年 3 月 31 日以降の IPv6 のサポート.Microsoft 365 インフラストラクチャのサイズを考えると、サポートが特定のテナントに到達する正確な日付を入力することは不可能です。

マイクロソフトが言うように、これにより顧客は「IPv4、IPv6、またはデュアル スタック エンドポイント経由で Azure AD サービスにアクセスする."つまり、クライアントからの認証やその他のサービスに対する Azure AD への要求は、現在の IPv4 接続に加えて IPv6 接続を介して移動できます。マイクロソフトは、IPv4のサポートを決して強調していないことを強調しています。

変更は、ユーザーの観点から透過的である必要があります。ほとんどのユーザーはネットワーク構成にあまり注意を払わず、Wi-Fi、セルネットワーク、またはLAN経由で接続するために必要なデフォルト設定を受け入れます。問題が発生した場合、ネットワーク管理者とテナント管理者に表面化する可能性が高くなります。

条件付きアクセス、ネームド ロケーション、および Azure AD IPv6

のサポートページで Azure AD への IPv6 の導入、Microsoft は、ネームド ロケーションを使用して制限を適用する条件付きアクセス ポリシーを更新する必要性を具体的に指摘しています。ある ネームド ロケーション 条件アクセス ポリシーは、国(GPS ロケーションまたは IP アドレスを使用)または特定の IPv4/IPv6 アドレス範囲に基づいて、特定の場所からの着信トラフィックを識別できるようにします。その後、ポリシーは接続を許可またはブロックできます。現在、Microsoft Entra 管理センターでは、国を識別するための IPv4 アドレスのみがサポートされています。

Azure AD で IPv6 がサポートされると、クライアントが接続しようとしたときに IPv6 アドレスが表示される可能性があります。条件付きアクセス ポリシーでアドレスが許可された接続ソースとして認識されない場合、クライアントは接続できません。

Microsoft によると、組織は条件付きアクセス ポリシーをチェックしてネームド ロケーションを使用するものを見つけ、それらのポリシーで使用されるネームド ロケーションを更新して、クライアントが使用する IPv6 アドレスの範囲を含める必要があります。図 1 は、Microsoft Entra 管理センター (または Azure AD 管理センター) の名前付きの場所に IPv6 範囲を割り当てる方法を示しています。

Azure AD のネームド ロケーションの IPv6 アドレス範囲の追加

Azure AD IPv6
図 1: Azure AD のネームド ロケーションの IPv6 アドレス範囲の追加

明らかに、クライアントが使用する可能性のある IPv6 アドレスの完全なセットを決定するにはある程度の作業が必要になる可能性があるため、できるだけ早くこの作業を開始することをお勧めします。

IPアドレスが潜んでいる他の場所

発信元 IP アドレスの変更は、インフラストラクチャの他の部分に影響します。たとえば、Azure AD によってキャプチャされた接続データには、IPv6 アドレスが含まれるようになります。たとえば、統合監査ログは、Azure AD からのユーザー サインインに関する情報を取り込みます。監査レコードには、クライアントが使用する IP アドレスが含まれています。監査レコードが 検索-統合監査ログ コマンドレットは以下を保持します。

RecordType   : AzureActiveDirectoryStsLogon
CreationDate : 24/01/2023 18:33:13
UserIds      : Jane.Smithoffice365itpros.com
Operations   : UserLoggedIn
AuditData    : {
                 "CreationTime": "2023-01-24T18:33:13",
                 "Id": "78bb9d6f-afc2-4ea7-ab7f-16fdb7423e00",
                 "Operation": "UserLoggedIn",
                 "OrganizationId": "a662313f-14fc-43a2-9a7a-d2e27f4f3478",
                 "RecordType": "AzureActiveDirectoryStsLogon",
                 "ResultStatus": "Success",
                 "UserKey": "eff4cd58-1bb8-4899-94de-795f656b4a18",
                 "UserType": "Regular",
                 "Version": 1,
                 "Workload": "AzureActiveDirectory",
                 "ClientIP": "78.17.97.20",
                 "ObjectId": "797f4846-ba00-4fd7-ba43-dac1f8f63013",

Azure AD によって生成された監査レコードは、他の場所に配置できます。たとえば、コネクタは データをマイクロソフトセンチネルにインポートする.Azure AD から他のアプリケーションへのデータ フローでは、このデータのレポートと分析で IPv6 アドレスを処理できることを確認する必要性が浮き彫りになります。

Azure AD のすべての変更

2023年3月は、テナント管理者にとって大きな月になるでしょう。既に、PowerShell スクリプトをアップグレードして、ライセンス管理操作を実行する古い Azure AD コマンドレットと MSOL コマンドレットを削除する作業を行う必要がありました。これらのコマンドレットは、Microsoft 365 が 3 月 31 日に新しいライセンス管理プラットフォームを導入すると動作を停止します。次に、Microsoft がテナントで IPv6 サポートを有効にした後に表示される可能性のある IPv6 アドレスを確認するための作業を行う必要があります。それはすべてマイクロソフト365の中に入ります…


常に多くの変化があります。マイクロソフトがOffice 365全体で行うすべての更新に遅れないようにすることは課題です。購読する IT プロフェッショナル向け Office 365 eBook では、何が起こるのか、なぜ起こるのか、テナントにとってどのような新機能が意味があるのかについて、毎月の洞察を得ることができます。

Office

Posted by admin