Azure Firewall を使用して Microsoft 365 を保護する

Azure Firewall 組み込みのサービス タグと FQDN タグを使用して、 Microsoft 365 エンドポイントと IP アドレスへの送信通信を許可できます。

注

Microsoft 365 サービス タグと FQDN タグは、Azure Firewall ポリシーでのみサポートされています。 クラシック ルールではサポートされていません。

タグの作成

Microsoft 365 製品とカテゴリごとに、Azure Firewall は必要なエンドポイントと IP アドレスを自動的に取得し、それに応じてタグを作成します。

• タグ名: すべての名前は Microsoft365 で始まり、その後に次の名前が続きます。
  • 製品: Exchange/Skype/SharePoint/Common
  • カテゴリ:
    • 最適化と許可: [最適化 ] または [許可] カテゴリを持つネットワーク エンドポイントは、トラフィック量が多く、ネットワークの待機時間とパフォーマンスに影響を受けます。 これらのエンドポイントには、ドメインと共に一覧表示される IP アドレスがあります。
    • 既定値: 既定 カテゴリのネットワーク エンドポイントには、本質的に動的であり、IP アドレスが時間の経過と同時に変化するため、IP アドレスは関連付けられません。
  • 必須/不要 (省略可能)
• タグの種類:
  • FQDN タグ は、HTTP/HTTPS (ポート 80/443) 経由で通信する特定の製品とカテゴリに必要な FQDN のみを表し、アプリケーション ルールでこれらの FQDN とプロトコルへのトラフィックをセキュリティで保護するために使用できます。
  • サービス タグ は、特定の製品とカテゴリに必要な IPv4 アドレスと範囲のみを表し、ネットワーク ルールでこれらの IP アドレスと必要なポートへのトラフィックをセキュリティで保護するために使用できます。

次の場合は、製品、カテゴリ、必須/必須の特定の組み合わせで使用できるタグを受け入れる必要があります。

• サービス タグの場合: この特定の組み合わせが存在し、必要な IPv4 アドレスが一覧表示されています。
• FQDN ルールの場合: この特定の組み合わせが存在し、ポート 80/443 と通信する必要な FQDN が一覧表示されています。

タグは、必要な IPv4 アドレスと FQDN に変更を加えて自動的に更新されます。 新しいタグは、製品とカテゴリの新しい組み合わせが追加された場合にも、今後自動的に作成される可能性があります。

ネットワーク ルールコレクション:

アプリケーション ルールコレクション:

ルールの構成

これらの組み込みタグは、ユーザーの設定と使用状況に基づいて Microsoft 365 への送信トラフィックを許可および保護するための細分性を提供します。 送信トラフィックは、特定のソースの特定の製品とカテゴリにのみ許可できます。 Azure Firewall Premium の TLS 検査と IDPS を使用して、トラフィックの一部を監視することもできます。 たとえば、通常のインターネット送信トラフィックとして扱うことができる既定のカテゴリのエンドポイントへのトラフィックなどです。 Microsoft 365 エンドポイント カテゴリの詳細については、「 新しい Microsoft 365 エンドポイント カテゴリ」を参照してください。

ルールを作成するときは、Microsoft 365 の要求に応じて、必要な TCP ポート (ネットワーク ルール用) とプロトコル (アプリケーション ルール用) を定義してください。 製品、カテゴリ、必須/必須の特定の組み合わせにサービス タグと FQDN タグの両方がある場合は、両方のタグの代表的なルールを作成して、必要な通信を完全にカバーする必要があります。

制限事項

製品、カテゴリ、必須/必須の特定の組み合わせに FQDN のみが必要ですが、80/443 ではない TCP ポートを使用する場合、この組み合わせに対して FQDN タグは作成されません。 アプリケーション ルールは、HTTP、HTTPS、または MSSQL のみを対象とします。 これらの FQDN への通信を許可するには、これらの FQDN とポートを使用して独自のネットワーク 規則を作成します。 詳細については、「 ネットワーク ルールで FQDN フィルター処理を使用する」を参照してください。

次のステップ

• 詳細については、「Azure Firewall を使用した Microsoft 365 と Windows 365 の保護」を参照してください。
• Microsoft 365 ネットワーク接続の詳細: Microsoft 365 ネットワーク接続の概要