注意
本文有帮助吗? 你的输入对我们很重要。 请使用此页上的 “反馈 ”按钮告诉我们本文为你工作得有多好,或者我们如何改进它。
我们很高兴地将 IPv6 支持引入Microsoft Entra ID,以支持移动性更高的客户,并帮助减少快速消耗、昂贵的 IPv4 地址上的支出。 有关此更改如何影响 Microsoft 365 的详细信息,请参阅 Microsoft 365 服务中的 IPv6 支持。
如果组织的网络目前不支持 IPv6,则可以安全地忽略此信息,直到它们这样做。
有什么变化?
服务终结点 URL 现在解析为同时返回 IPv4 和 IPv6 地址。 如果客户端平台或网络支持 IPv6,则主要使用 IPv6 尝试连接,前提是两者之间的网络跃点(如防火墙或 Web 代理)也支持 IPv6。 对于不支持 IPv6 的环境,客户端应用程序将继续通过 IPv4 连接到 Microsoft Entra ID。
以下功能还将支持 IPv6 地址:
- 命名位置
- 条件访问策略
- 标识保护
- 登录日志
Microsoft Entra ID 中何时支持 IPv6?
我们将在 2023 年 4 月开始引入对 Microsoft Entra ID 的 IPv6 支持。
我们知道,IPv6 支持对于某些组织来说是一个重大变化。 我们现在正在发布此信息,以便客户能够制定计划以确保就绪。
我的组织必须做什么?
如果具有表示网络的公共 IPv6 地址,请尽快执行以下部分中介绍的操作。
如果客户未使用这些 IPv6 地址更新其命名位置,将阻止其用户。
要执行的操作
命名位置
命名位置在许多功能之间共享,例如条件访问、标识保护和 B2C。 客户应与其网络管理员和 Internet 服务提供商(ISP)合作,以识别其面向公众的 IPv6 地址。 然后,客户应使用此列表 创建或更新命名位置,以包括其标识的 IPv6 地址。
条件访问
配置条件访问策略时,组织可以选择将位置作为条件包含或排除。 这些命名位置可能包括公共 IPv4 或 IPv6 地址、国家或地区或不映射到特定国家或地区的未知区域。
- 如果将 IPv6 范围添加到现有命名位置(用于现有条件访问策略中),则无需更改。
- 如果为组织的 IPv6 范围创建新的命名位置,则必须使用这些新位置更新相关的条件访问策略。
云代理和 VPN
云代理准备就绪后,需要 Microsoft Entra 混合加入或投诉设备 的策略更易于管理。 对于云托管的代理或 VPN 解决方案的 IP 地址列表,要随时保持最新状态几乎是不可能的。
Microsoft每用户多重身份验证的 Entra
如果你是使用每用户多重身份验证的客户,你是否添加了表示使用 受信任 IP 地址而不是命名位置的本地受信任网络的 IPv4 地址 ? 如果有,可能会看到多重身份验证提示,提示通过启用了本地 IPv6 的出口点启动的请求。
不建议使用每用户多重身份验证,除非Microsoft Entra ID 许可证不包含条件访问,并且不想使用安全默认值。
出站流量限制
如果组织将出站网络流量限制到特定 IP 范围,则必须更新这些地址以包括 IPv6 终结点。 管理员可以在以下文章中找到这些 IP 范围:
对于为 Microsoft Entra ID 指定的 IP 范围,请确保允许在代理或防火墙中进行出站访问。
设备配置
默认情况下,Windows 和大多数其他操作系统(OS)平台都支持 IPv6 和 IPv4 流量。 对标准 IPv6 配置的更改可能会导致意外后果。 有关详细信息,请参阅适用于高级用户的在 Windows 中配置 IPv6 指南。
服务终结点
Microsoft Entra ID 中 IPv6 支持的实现不会影响 Azure 虚拟网络 服务终结点。 服务终结点仍不支持 IPv6 流量。 有关详细信息,请参阅虚拟网络服务终结点的限制。
通过 IPv6 测试Microsoft Entra 身份验证
可以通过 IPv6 测试 Microsoft Entra 身份验证,然后才能使用以下过程在全球启用它。 这些过程有助于验证 IPv6 范围配置。 建议的方法是使用 推送到已加入 Microsoft Entra 的 Windows 设备的名称解析策略表(NRPT) 规则。 在 Windows Server 中,NRPT 允许你实现替代 DNS 解析路径的全局或本地策略。 使用此功能,可以将各种完全限定的域名(FQDN)的 DNS 重定向到配置为将 IPv6 DNS 条目配置为Microsoft Entra 登录的特殊 DNS 服务器。 使用 PowerShell 脚本启用和禁用 NRPT 规则非常简单。 可以使用 Microsoft Intune 将此功能推送到客户端。
注意
Microsoft仅为测试目的提供这些说明。 必须在 2023 年 5 月前删除以下配置,以确保客户端正在使用生产 DNS 服务器。 以下过程中的 DNS 服务器可能在 2023 年 5 月之后解除授权。
建议使用 Resolve-DnsName cmdlet 来验证 NRPT 规则。 如果使用 nslookup 命令,则鉴于这些工具之间存在的差异,结果可能有所不同。
请确保在客户端设备和用于 NRPT 规则的 DNS 服务器之间在 TCP 和 UDP 端口 53 上打开网络连接。
手动配置客户端 NRPT 规则 - 公有云
以管理员身份打开 PowerShell 控制台(右键单击 PowerShell 图标并选择“ 以管理员身份运行”)。
通过运行以下命令添加 NRPT 规则:
$DnsServers = ( "ns1-37.azure-dns.com.", "ns2-37.azure-dns.net.", "ns3-37.azure-dns.org.", "ns4-37.azure-dns.info." ) $DnsServerIPs = $DnsServers | Foreach-Object { (Resolve-DnsName $_).IPAddress | Select-Object -Unique } $params = @{ Namespace = "login.microsoftonline.com" NameServers = $DnsServerIPs DisplayName = "AZURE-AD-NRPT" } Add-DnsClientNrptRule @params通过运行 Resolve-DnsName cmdlet 验证客户端是否获取 IPv6 响应
login.microsoftonline.com。 命令输出应类似于以下文本:PS C:\users\username> Resolve-DnsName login.microsoftonline.com Name Type TTL Section IPAddress ---- ---- --- ------- --------- login.microsoftonline.com AAAA 300 Answer 2603:1037:1:c8::8 login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d8::5 login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d0::5 login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d8::4 login.microsoftonline.com AAAA 300 Answer 2603:1037:1:c8::9 login.microsoftonline.com AAAA 300 Answer 2603:1037:1:c8::a login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d8::2 login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d0::7 login.microsoftonline.com A 300 Answer 20.190.151.7 login.microsoftonline.com A 300 Answer 20.190.151.67 login.microsoftonline.com A 300 Answer 20.190.151.69 login.microsoftonline.com A 300 Answer 20.190.151.68 login.microsoftonline.com A 300 Answer 20.190.151.132 login.microsoftonline.com A 300 Answer 20.190.151.70 login.microsoftonline.com A 300 Answer 20.190.151.9 login.microsoftonline.com A 300 Answer 20.190.151.133如果要删除 NRPT 规则,请运行以下 PowerShell 脚本:
Get-DnsClientNrptRule | Where-Object { $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com" } | Remove-DnsClientNrptRule -Force
手动配置客户端 NRPT 规则 - US Gov 云
与公有云的脚本类似,以下脚本为 US Gov 登录终结点 login.microsfotonline.us创建 NRPT 规则。
右键单击 PowerShell 图标并选择“ 以管理员身份运行”,以管理员身份打开 PowerShell 控制台。
通过运行以下命令添加 NRPT 规则:
$DnsServers = ( "ns1-35.azure-dns.com.", "ns2-35.azure-dns.net.", "ns3-35.azure-dns.org.", "ns4-35.azure-dns.info." ) $DnsServerIPs = $DnsServers | Foreach-Object { (Resolve-DnsName $_).IPAddress | Select-Object -Unique } $params = @{ Namespace = "login.microsoftonline.us" NameServers = $DnsServerIPs DisplayName = "AZURE-AD-NRPT-USGOV" } Add-DnsClientNrptRule @params
使用 Intune 部署 NRPT 规则
若要使用 Intune 将 NRPT 规则部署到多台计算机,请创建 Win32 应用并将其分配给一个或多个设备。
步骤 1:创建脚本
创建一个文件夹,然后将以下安装和回滚脚本(InstallScript.ps1 和 RollbackScript.ps1)保存在其中,以便你可以创建 .intunewin 文件以便在部署中使用。
InstallScript.ps1
# Add Azure AD NRPT rule.
$DnsServers = (
"ns1-37.azure-dns.com.",
"ns2-37.azure-dns.net.",
"ns3-37.azure-dns.org.",
"ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
(Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
$_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) {
Write-Output ("Azure AD NRPT rule exists: {0}" -F $existingRules)
}
else {
Write-Output "Adding Azure AD NRPT DNS rule for login.microsoftonline.com ..."
$params = @{
Namespace = "login.microsoftonline.com"
NameServers = $DnsServerIPs
DisplayName = "AZURE-AD-NRPT"
}
Add-DnsClientNrptRule @params
}
RollbackScript.ps1
# Remove the Azure AD NRPT rule.
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
$_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) {
Write-Output "Removing Azure AD NRPT DNS rule for login.microsoftonline.com ..."
$existingRules | Format-Table
$existingRules | Remove-DnsClientNrptRule -Force
}
else {
Write-Output "Azure AD NRPT rule does not exist. Device was successfully remediated."
}
DetectionScript.ps1
将以下脚本(DetectionScript.ps1)保存到另一个位置。 然后,可以在 Intune 中创建检测脚本时引用应用程序中的检测脚本。
# Add Azure AD NRPT rule.
$DnsServers = (
"ns1-37.azure-dns.com.",
"ns2-37.azure-dns.net.",
"ns3-37.azure-dns.org.",
"ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
(Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
$_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) {
Write-Output 'Compliant'
}
步骤 2:将脚本打包为 .intunewin 文件
请参阅 准备 Win32 应用内容,以便从 之前保存的文件夹和脚本创建 .intunewin 文件。
步骤 3:创建 Win32 应用程序
以下说明演示如何创建必要的 Win32 应用程序。 有关详细信息,请参阅 Microsoft Intune 中的“添加”、“分配和监视 Win32”应用。
登录到 Intune 门户。
选择“应用>所有应用”,然后选择“+ 添加”以创建新的 Win32 应用。
在 “应用类型 ”下拉列表中,选择 “Windows 应用”(Win32),然后选择“ 选择”。
在 “应用信息 ”页上,单击“ 选择应用包文件 ”以选择 之前创建的 .intunewin 文件。 选择确定以继续。
返回到 “应用信息 ”页,然后输入应用程序的描述性 名称、 说明和 发布者 。 其他字段是可选的。 选择“下一步”继续。
在 “程序 ”页上,输入以下信息,然后选择“ 下一步”。
- 安装命令 字符串:
powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "InstallScript.ps1" - 卸载命令 字符串:
powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "RollbackScript.ps1" - 安装行为:
System
- 安装命令 字符串:
在“要求”页中,选择操作系统体系结构并将最低操作系统设置为 Windows 10 1607。 选择“下一步”继续。
在“检测”页上,从“规则格式”下拉列表中选择“使用自定义检测脚本”。 选择“脚本文件”框旁边的浏览按钮以选择检测脚本。 将其余字段保留为默认值。 选择“下一步”继续。
在“依赖项”页上选择“下一步”以继续不进行任何更改。
在“取代(预览)”页面上选择“下一步”以继续不进行任何更改。
在“分配”页上,根据要求创建作业,然后选择“下一步”继续。
在 “查看 + 创建 ”页面上最后一次查看信息。 完成验证后,选择“创建”以创建应用程序。
在登录日志中查找 IPv6 地址
使用以下一个或多个方法,将 IPv6 地址列表与预期的地址进行比较。 请考虑将这些 IPv6 地址添加到命名位置,并在适当情况下将某些地址标记为受信任。 至少需要分配的 报表读取者角色 才能读取登录日志。
Azure 门户
- 以具有权限的报表读取者、安全读取者、全局读取者、安全管理员或其他角色登录到Azure 门户。
- 浏览到Microsoft Entra ID>登录日志。
- 选择“+ 添加筛选器>IP 地址”,然后选择“应用”。
- 在 “按 IP 地址 筛选”框中,插入冒号(:)。
- (可选)将此日志条目列表下载到 JSON 或 CSV 格式以供进一步处理。
Log Analytics
如果组织使用 Log Analytics,则可以使用以下查询查询日志中的 IPv6 地址。
union SigninLogs, AADNonInteractiveUserSignInLogs
| where IPAddress has ":"
| summarize RequestCount = count() by IPAddress, AppDisplayName, NetworkLocationDetails
| sort by RequestCount
PowerShell
组织可以使用以下 PowerShell 脚本在 Microsoft Graph PowerShell 中查询 Microsoft Entra 登录日志。 该脚本提供 IPv6 地址列表以及应用程序及其显示次数。
$tId = "TENANT ID" # Add the Azure Active Directory tenant ID.
$agoDays = 2 # Will filter the log for $agoDays from the current date and time.
$startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd') # Get filter start date.
$pathForExport = "./" # The path to the local filesystem for export of the CSV file.
Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId
# Get both interactive and non-interactive IPv6 sign-ins.
$signInsInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
$signInsNonInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
# Summarize IPv6 & app display name count.
$signInsInteractive |
Group-Object IPaddress, AppDisplayName |
Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
@{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
Count |
Sort-Object -Property Count –Descending |
Export-Csv -Path ($pathForExport + "Summary_Interactive_IPv6_$tId.csv") -NoTypeInformation
$signInsNonInteractive |
Group-Object IPaddress, AppDisplayName |
Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
@{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
Count |
Sort-Object -Property Count –Descending |
Export-Csv -Path ($pathForExport + "Summary_NonInteractive_IPv6_$tId.csv") -NoTypeInformation
后续步骤
我们将更新本文。 下面是一个简短的链接,可用于返回更新和新信息: https://aka.ms/azureadipv6
联系我们寻求帮助
如果你有任何疑问或需要帮助,请创建支持请求或联系 Azure 社区支持。 你还可以将产品反馈提交到 Azure 反馈社区。