Overzicht van FQDN-tags
Een FQDN-tag vertegenwoordigt een groep FQDN's (Fully Qualified Domain Names) die zijn gekoppeld aan bekende Microsoft-services. U kunt een FQDN-tag in toepassingsregels gebruiken om het vereiste uitgaande netwerkverkeer via uw firewall toe te staan.
Als u bijvoorbeeld windows Update-netwerkverkeer handmatig wilt toestaan via uw firewall, moet u meerdere toepassingsregels maken volgens de Microsoft-documentatie. Met behulp van FQDN-tags kunt u een toepassingsregel maken, de Tag Windows Updates opnemen en nu kan netwerkverkeer naar Microsoft Windows Update-eindpunten via uw firewall stromen.
U kunt geen eigen FQDN-tags maken en u kunt ook niet opgeven welke FQDN's zijn opgenomen in een tag. Microsoft beheert de FQDN's die zijn omvat door de FQDN-tag en werkt de tag bij als FQDN's worden gewijzigd.
In de volgende tabel ziet u de huidige FQDN-tags die u kunt gebruiken. Microsoft onderhoudt deze tags en u kunt verwachten dat er periodiek meer tags worden toegevoegd.
Huidige FQDN-tags
FQDN-tag | Beschrijving |
---|---|
WindowsUpdate | Uitgaande toegang tot Microsoft Update toestaan, zoals beschreven in Een firewall configureren voor software-updates. |
WindowsDiagnostics | Uitgaande toegang tot alle Windows Diagnostics-eindpunten toestaan. |
MicrosoftActiveProtectionService (MAPS) | Uitgaande toegang tot MAPS toestaan. |
AppServiceEnvironment (ASE) | Hiermee wordt uitgaande toegang tot ASE-platformverkeer toegestaan. Deze tag heeft geen betrekking op klantspecifieke opslag- en SQL-eindpunten die zijn gemaakt door ASE. Deze moeten worden ingeschakeld via service-eindpunten of handmatig worden toegevoegd. Zie Een App Service-omgeving vergrendelen voor meer informatie over het integreren van Azure Firewall met ASE. |
AzureBackup | Hiermee staat u uitgaande toegang tot de Azure Backup-services toe. |
AzureHDInsight | Hiermee staat u uitgaande toegang toe voor HDInsight-platformverkeer. Deze tag heeft geen betrekking op klantspecifiek opslag- of SQL-verkeer vanuit HDInsight. Schakel deze in met behulp van service-eindpunten of voeg ze handmatig toe. |
WindowsVirtualDesktop | Hiermee staat u uitgaand platformverkeer van Azure Virtual Desktop (voorheen Windows Virtual Desktop) toe. Deze tag heeft geen betrekking op implementatiespecifieke Opslag- en Service Bus-eindpunten die zijn gemaakt door Azure Virtual Desktop. Daarnaast zijn DNS- en KMS-netwerkregels vereist. Zie Azure Firewall gebruiken om Azure Virtual Desktop-implementaties te beveiligen voor meer informatie over het integreren van Azure Firewall met Azure Virtual Desktop. |
AzureKubernetesService (AKS) | Hiermee staat u uitgaande toegang tot AKS toe. Zie Azure Firewall gebruiken om AKS-implementaties (Azure Kubernetes Service) te beveiligen voor meer informatie. |
Office365 Bijvoorbeeld: Office365.Skype.Optimize |
Er zijn verschillende Office 365-tags beschikbaar om uitgaande toegang door Office 365-producten en -categorieën toe te staan. Zie Azure Firewall gebruiken om Office 365 te beveiligen voor meer informatie. |
Windows365 | Hiermee staat u uitgaande communicatie met Windows 365 toe, met uitzondering van netwerkeindpunten voor Microsoft Intune. Als u uitgaande communicatie naar poort 5671 wilt toestaan, maakt u een gescheiden netwerkregel. Zie windows 365-netwerkvereisten voor meer informatie. |
MicrosoftIntune | Toegang tot Microsoft Intune toestaan voor beheerde apparaten. |
citrixHdxPlusForWindows365 | Vereist bij het gebruik van Citrix HDX Plus. |
Notitie
Wanneer u FQDN-tag selecteert in een toepassingsregel, moet het veld protocol:poort worden ingesteld op https.
Volgende stappen
Zie zelfstudie: Azure Firewall implementeren en configureren met behulp van Azure Portal voor meer informatie over het implementeren van een Azure-firewall.