Usare Firewall di Azure per proteggere Office 365

È possibile usare i tag di servizio e FQDN predefiniti Firewall di Azure per consentire la comunicazione in uscita verso endpoint e indirizzi IP di Office 365.

Nota

I tag del servizio e i tag FQDN di Office 365 sono supportati solo nei criteri di Firewall di Azure. Non sono supportate nelle regole classiche.

Creazione di tag

Per ogni prodotto e categoria di Office 365, Firewall di Azure recupera automaticamente gli endpoint e gli indirizzi IP necessari e crea i tag di conseguenza:

• Nome tag: tutti i nomi iniziano con Office365 e sono seguiti da:
  • Prodotto: Exchange/Skype/SharePoint/Common
  • Categoria: Ottimizza/Consenti/Predefinito
  • Obbligatorio/Non obbligatorio (facoltativo)
• Tipo di tag:
  • Il tag FQDN rappresenta solo i nomi di dominio completi necessari per il prodotto e la categoria specifici che comunicano tramite HTTP/HTTPS (porte 80/443) e possono essere usati nelle regole dell'applicazione per proteggere il traffico verso questi FQDN e protocolli.
  • Il tag di servizio rappresenta solo gli indirizzi E gli intervalli IPv4 necessari per il prodotto e la categoria specifici e può essere usato in Regole di rete per proteggere il traffico verso questi indirizzi IP e verso qualsiasi porta richiesta.

È consigliabile accettare un tag disponibile per una combinazione specifica di prodotto, categoria e obbligatorio/non obbligatorio nei casi seguenti:

• Per un tag di servizio: questa combinazione specifica esiste e ha gli indirizzi IPv4 necessari elencati.
• Per una regola FQDN: questa combinazione specifica esiste e dispone di FQDN obbligatori elencati che comunicano con le porte 80/443.

I tag vengono aggiornati automaticamente con eventuali modifiche agli indirizzi IPv4 e ai nomi di dominio completi necessari. I nuovi tag potrebbero essere creati automaticamente in futuro, anche se vengono aggiunte nuove combinazioni di prodotti e categorie.

Raccolta regole di rete:

Raccolta di regole dell'applicazione:

Configurazione delle regole

Questi tag predefiniti offrono una granularità per consentire e proteggere il traffico in uscita verso Office 365 in base alle preferenze e all'utilizzo. È possibile consentire il traffico in uscita solo a prodotti e categorie specifici per un'origine specifica. È anche possibile usare l'ispezione TLS e l'IDPS di Firewall di Azure Premium per monitorare parte del traffico. Ad esempio, il traffico verso gli endpoint nella categoria Default che può essere considerato come normale traffico in uscita Internet. Per altre informazioni sulle categorie di endpoint di Office 365, vedere Nuove categorie di endpoint di Office 365.

Quando si creano le regole, assicurarsi di definire le porte TCP necessarie (per le regole di rete) e i protocolli (per le regole dell'applicazione) come richiesto da Office 365. Se una combinazione specifica di prodotto, categoria e obbligatorio/non obbligatorio dispone sia di un tag di servizio che di un tag FQDN, è necessario creare regole rappresentative per entrambi i tag per coprire completamente la comunicazione richiesta.

Limiti

Se una combinazione specifica di prodotto, categoria e obbligatorio/non obbligatorio include solo FQDN necessari, ma usa porte TCP che non sono 80/443, non verrà creato un tag FQDN per questa combinazione. Le regole dell'applicazione possono coprire solo HTTP, HTTPS o MSSQL. Per consentire la comunicazione con questi FQDN, creare regole di rete personalizzate con questi FQDN e porte. Per altre informazioni, vedere Usare il filtro FQDN nelle regole di rete.

Passaggi successivi

• Per altre informazioni, vedere Proteggere Office365 e Windows365 con Firewall di Azure.
• Altre informazioni sulla connettività di rete di Office 365: Panoramica della connettività di rete di Microsoft 365