Compartir a través de


Uso de Azure Firewall para proteger Office 365

Puede usar etiquetas de servicio integradas de Azure Firewall y etiquetas FQDN para permitir la comunicación saliente a puntos de conexión de Office 365 y direcciones IP.

Nota:

Las etiquetas de servicio de Office 365 y las etiquetas FQDN solo se admiten en la directiva de Azure Firewall. No se admiten en reglas clásicas.

Creación de etiquetas

Para cada producto y categoría de Office 365, Azure Firewall recupera automáticamente los puntos de conexión y las direcciones IP necesarios y crea etiquetas en consecuencia:

  • Nombre de etiqueta: todos los nombres comienzan por Office365 y van seguidos de:
    • Producto: Exchange / Skype / SharePoint / Common
    • Categoría: Optimizar / Permitir / Predeterminado
    • Obligatorio / No obligatorio (opcional)
  • Tipo de etiqueta:
    • La etiqueta FQDN representa solo los FQDN necesarios para el producto y la categoría específicos que se comunican a través de HTTP/HTTPS (puertos 80/443) y se pueden usar en reglas de aplicación para proteger el tráfico a estos FQDN y protocolos.
    • La etiqueta de servicio representa solo las direcciones e intervalos IPv4 necesarios para el producto y la categoría específicos, y se puede usar en reglas de red para proteger el tráfico a estas direcciones IP y a cualquier puerto necesario.

Debe aceptar una etiqueta disponible para una combinación específica de producto, categoría y necesaria / no necesaria en los casos siguientes:

  • Para una etiqueta de servicio: esta combinación específica existe y tiene las direcciones IPv4 necesarias enumeradas.
  • Para una regla de FQDN: esta combinación específica existe y tiene los FQDN necesarios enumerados, que se comunican con los puertos 80/443.

Las etiquetas se actualizan automáticamente con cualquier modificación en las direcciones IPv4 y los FQDN necesarios. Es posible que las etiquetas nuevas se creen automáticamente en el futuro si se agregan nuevas combinaciones de productos y categorías.

Recopilación de reglas de red: Screenshot showing Office 365 network rule collection.

Recopilación de reglas de aplicaciones: Screenshot showing Office 365 application rule collection.

Configuración de reglas

Estas etiquetas integradas proporcionan granularidad para permitir y proteger el tráfico saliente a Office 365 en función de sus preferencias y uso. Puede permitir el tráfico saliente solo a productos y categorías específicos para un origen específico. También puede usar la inspección de TLS e IDPS de Azure Firewall Premium para supervisar parte del tráfico. Por ejemplo, el tráfico a los puntos de conexión de la categoría Predeterminado que se pudiera tratar como tráfico saliente normal de Internet. Para obtener más información sobre las categorías de punto de conexión de Office 365, consulte Nuevas categorías de punto de conexión de Office 365.

Al crear las reglas, asegúrese de definir los puertos TCP necesarios (para las reglas de red) y los protocolos (para las reglas de aplicación) según lo requiera Office 365. Si una combinación específica de producto, categoría y requerido / no necesario tuvieran una etiqueta de servicio y una etiqueta FQDN, deberá crear reglas representativas para ambas etiquetas para cubrir completamente la comunicación necesaria.

Limitaciones

Si una combinación específica de producto, categoría y necesaria / no necesaria solo requiriese FQDN, pero usa puertos TCP que no son 80/443, no se creará una etiqueta FQDN para esta combinación. Las reglas de aplicación solo pueden cubrir HTTP, HTTPS o MSSQL. Para permitir la comunicación con estos FQDN, cree sus propias reglas de red con estos FQDN y puertos. Para obtener más información, consulte Uso del filtrado de FQDN en las reglas de red.

Pasos siguientes