Übersicht über FQDN-Tags
Ein FQDN-Tag stellt eine Gruppe von vollqualifizierten Domänennamen (FQDNs) dar, die bekannten Microsoft-Diensten zugeordnet sind. Sie können ein FQDN-Tag in den Anwendungsregeln verwenden, um den erforderlichen ausgehenden Netzwerkdatenverkehr über die Firewall zuzulassen.
Um beispielsweise den Netzwerkdatenverkehr von Windows Update manuell über Ihre Firewall zuzulassen, müssen Sie mehrere Anwendungsregeln gemäß der Microsoft-Dokumentation erstellen. Mithilfe von FQDN-Tags können Sie eine Anwendungsregel erstellen, das Tag Windows Updates einfügen, damit der Netzwerkdatenverkehr zu Microsoft Windows Update-Endpunkten durch Ihre Firewall fließen kann.
Sie können keine eigenen FQDN-Tags erstellen und auch nicht festlegen, welche FQDNs in einem Tag enthalten sind. Microsoft verwaltet die FQDNs, die ein FQDN-Tag umfasst und aktualisiert das Tag, wenn sich die FQDNs ändern.
Die folgende Tabelle enthält die aktuellen FQDN-Tags, die Sie verwenden können. Microsoft pflegt diese Tags und fügt regelmäßig weitere Tags hinzu.
Aktuelle FQDN-Tags
| FQDN-Tag | BESCHREIBUNG |
|---|---|
| WindowsUpdate | Erlaubt den ausgehenden Zugriff auf Microsoft Update, wie in Konfigurieren einer Firewall für Softwareupdates beschrieben. |
| WindowsDiagnostics | Erlaubt den ausgehenden Zugriff auf alle Windows-Diagnoseendpunkte. |
| MicrosoftActiveProtectionService (MAPS) | Erlaubt den ausgehenden Zugriff auf MAPS. |
| AppServiceEnvironment (ASE) | Erlaubt den ausgehenden Zugriff auf den Datenverkehr der ASE-Plattform. Dieses Tag umfasst keine kundenspezifischen Speicher und SQL-Endpunkte, die von ASE erstellt wurden. Diese müssen über Dienstendpunkte aktiviert oder manuell hinzugefügt werden. Weitere Informationen zur Integration von Azure Firewall in ASE finden Sie unter Sperren einer App Service-Umgebung. |
| AzureBackup | Erlaubt den ausgehenden Zugriff auf die Azure Backup-Dienste. |
| AzureHDInsight | Erlaubt den ausgehenden Zugriff auf den Datenverkehr der HDInsight-Plattform. Dieses Tag umfasst keinen kundenspezifischen Speicher oder SQL-Datenverkehr über HDInsight. Aktivieren Sie diese mit Dienstendpunkte oder fügen Sie sie manuell hinzu. |
| WindowsVirtualDesktop | Lässt ausgehenden Azure Virtual Desktop-Plattformdatenverkehr (früher Windows Virtual Desktop) zu. Dieses Tag gilt nicht für bereitstellungsspezifische Storage- und Service Bus-Endpunkte, die von Azure Virtual Desktop erstellt wurden. Zusätzlich sind DNS- und KMS-Netzwerkregeln erforderlich. Weitere Informationen zur Integration von Azure Firewall in Azure Virtual Desktop finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Virtual Desktop-Bereitstellungen. |
| AzureKubernetesService (AKS) | Erlaubt ausgehenden Zugriff auf AKS. Weitere Informationen finden Sie unter Verwenden von Azure Firewall, um AKS-Bereitstellungen (Azure Kubernetes Service) zu schützen. |
| Office365 Beispiel: Office365.Skype.Optimize |
Mehrere Office 365-Tags sind verfügbar, um ausgehenden Zugriff nach Office 365-Produkt und -Kategorie zu ermöglichen. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Schützen von Office 365. |
| Windows365 | Ermöglicht die ausgehende Kommunikation mit Windows 365, mit Ausnahme von Netzwerkendpunkten für Microsoft Intune. Um die ausgehende Kommunikation mit Port 5671 zuzulassen, erstellen Sie eine separate Netzwerkregel. Weitere Informationen finden Sie unter Windows 365-Netzwerkanforderungen. |
| MicrosoftIntune | Lassen Sie den Zugriff auf Microsoft Intune für verwaltete Geräte zu. |
Hinweis
Wenn Sie FQDN-Tags in einer Anwendungsregel auswählen, muss das Feld „protocol:port“ auf https festgelegt werden.
Nächste Schritte
Wie Sie eine Azure Firewall-Instanz bereitstellen, erfahren Sie unter Tutorial: Bereitstellen und Konfigurieren von Azure Firewall über das Azure-Portal.