Azure Firewall gebruiken om Office 365 te beveiligen

U kunt de ingebouwde servicetags en FQDN-tags van Azure Firewall gebruiken om uitgaande communicatie met Office 365-eindpunten en IP-adressen toe te staan.

Notitie

Office 365-servicetags en FQDN-tags worden alleen ondersteund in Azure Firewall-beleid. Ze worden niet ondersteund in klassieke regels.

Tags maken

Voor elk Office 365-product en -categorie haalt Azure Firewall automatisch de vereiste eindpunten en IP-adressen op en maakt tags dienovereenkomstig:

• Tagnaam: alle namen beginnen met Office365 en worden gevolgd door:
  • Product: Exchange/Skype/SharePoint/Common
  • Categorie: Optimaliseren/toestaan/standaard
  • Vereist/niet vereist (optioneel)
• Labeltype:
  • De FQDN-tag vertegenwoordigt alleen de vereiste FQDN's voor het specifieke product en de specifieke categorie die communiceren via HTTP/HTTPS (poorten 80/443) en kunnen worden gebruikt in toepassingsregels om verkeer naar deze FQDN's en protocollen te beveiligen.
  • Servicetag vertegenwoordigt alleen de vereiste IPv4-adressen en -bereiken voor het specifieke product en de specifieke categorie en kan worden gebruikt in netwerkregels om verkeer naar deze IP-adressen en naar elke vereiste poort te beveiligen.

U moet een tag accepteren die beschikbaar is voor een specifieke combinatie van product, categorie en vereist /niet vereist in de volgende gevallen:

• Voor een servicetag: deze specifieke combinatie bestaat en bevat vereiste IPv4-adressen.
• Voor een FQDN-regel: deze specifieke combinatie bestaat en bevat vereiste FQDN's die communiceren met poorten 80/443.

Tags worden automatisch bijgewerkt met wijzigingen in de vereiste IPv4-adressen en FQDN's. Nieuwe tags kunnen in de toekomst ook automatisch worden gemaakt als er nieuwe combinaties van producten en categorieën worden toegevoegd.

Verzameling netwerkregels:

Verzameling toepassingsregels:

Configuratie van regels

Deze ingebouwde tags bieden granulariteit om het uitgaande verkeer naar Office 365 toe te staan en te beveiligen op basis van uw voorkeuren en gebruik. U kunt uitgaand verkeer alleen naar specifieke producten en categorieën voor een specifieke bron toestaan. U kunt ook TLS-inspectie en IDPS van Azure Firewall Premium gebruiken om een deel van het verkeer te bewaken. Bijvoorbeeld verkeer naar eindpunten in de standaardcategorie die kan worden behandeld als normaal uitgaand internetverkeer. Zie Nieuwe Office 365-eindpuntcategorieën voor meer informatie over Office 365-eindpuntcategorieën.

Wanneer u de regels maakt, moet u ervoor zorgen dat u de vereiste TCP-poorten (voor netwerkregels) en protocollen (voor toepassingsregels) definieert zoals vereist voor Office 365. Als een specifieke combinatie van product, categorie en vereist/niet vereist zowel een servicetag als een FQDN-tag heeft, moet u representatieve regels voor beide tags maken om de vereiste communicatie volledig te behandelen.

Beperkingen

Als een specifieke combinatie van product, categorie en vereist/niet vereist alleen FQDN's vereist heeft, maar TCP-poorten gebruikt die niet 80/443 zijn, wordt er geen FQDN-tag gemaakt voor deze combinatie. Toepassingsregels kunnen alleen betrekking hebben op HTTP, HTTPS of MSSQL. Als u communicatie met deze FQDN's wilt toestaan, maakt u uw eigen netwerkregels met deze FQDN's en poorten. Zie FQDN-filtering gebruiken in netwerkregels voor meer informatie.

Volgende stappen

• Zie Office365 en Windows365 beveiligen met Azure Firewall voor meer informatie.
• Meer informatie over Office 365-netwerkconnectiviteit: Overzicht van Microsoft 365-netwerkconnectiviteit