Delen via

Azure Firewall gebruiken om Microsoft 365 te beveiligen

U kunt de ingebouwde servicetags en FQDN-tags van Azure Firewall gebruiken om uitgaande communicatie met Microsoft 365-eindpunten en IP-adressen toe te staan.

Opmerking

Microsoft 365-servicetags en FQDN-tags worden alleen ondersteund in Azure Firewall-beleid. Ze worden niet ondersteund in klassieke regels.

Tags maken

Voor elk Microsoft 365-product en -categorie haalt Azure Firewall automatisch de vereiste eindpunten en IP-adressen op en maakt deze tags dienovereenkomstig:

  • Tagnaam: alle namen beginnen met Microsoft365 en worden gevolgd door:
    • Product: Exchange/Skype/SharePoint/Common
    • Categorie:
      • Optimaliseren en toestaan: netwerkeindpunten met de categorie Optimaliseren of Toestaan dragen een hoger verkeersvolume en zijn gevoelig voor netwerklatentie en -prestaties. Deze eindpunten hebben IP-adressen die worden vermeld bij het domein.
      • Standaard: netwerkeindpunten in de standaardcategorie hebben geen gekoppelde IP-adressen omdat deze dynamisch zijn en IP-adressen na verloop van tijd veranderen.
    • Vereist/niet vereist (optioneel)
  • Labeltype:
    • De FQDN-tag vertegenwoordigt alleen de vereiste FQDN's voor het specifieke product en de specifieke categorie die communiceren via HTTP/HTTPS (poorten 80/443) en kunnen worden gebruikt in toepassingsregels om verkeer naar deze FQDN's en protocollen te beveiligen.
    • Servicetag vertegenwoordigt alleen de vereiste IPv4-adressen en -bereiken voor het specifieke product en de specifieke categorie en kan worden gebruikt in netwerkregels om verkeer naar deze IP-adressen en naar elke vereiste poort te beveiligen.

U moet een tag accepteren die beschikbaar is voor een specifieke combinatie van product, categorie en vereist /niet vereist in de volgende gevallen:

  • Voor een servicetag: deze specifieke combinatie bestaat en bevat vereiste IPv4-adressen.
  • Voor een FQDN-regel: deze specifieke combinatie bestaat en bevat vereiste FQDN's die communiceren met poorten 80/443.

Tags worden automatisch bijgewerkt met wijzigingen in de vereiste IPv4-adressen en FQDN's. Nieuwe tags kunnen in de toekomst ook automatisch worden gemaakt als er nieuwe combinaties van producten en categorieën worden toegevoegd.

Verzameling netwerkregels: Schermopname van de verzameling netwerkregels van Microsoft 365.

Verzameling toepassingsregels: Schermopname van de verzameling toepassingsregels van Microsoft 365.

Configuratie van regels

Deze ingebouwde tags bieden granulariteit om het uitgaande verkeer naar Microsoft 365 toe te staan en te beveiligen op basis van uw voorkeuren en gebruik. U kunt uitgaand verkeer alleen naar specifieke producten en categorieën voor een specifieke bron toestaan. U kunt ook TLS-inspectie en IDPS van Azure Firewall Premium gebruiken om een deel van het verkeer te bewaken. Bijvoorbeeld verkeer naar eindpunten in de standaardcategorie die kan worden behandeld als normaal uitgaand internetverkeer. Zie Nieuwe Microsoft 365-eindpuntcategorieën voor meer informatie over Microsoft 365-eindpuntcategorieën.

Wanneer u de regels maakt, moet u ervoor zorgen dat u de vereiste TCP-poorten (voor netwerkregels) en protocollen (voor toepassingsregels) definieert zoals vereist door Microsoft 365. Als een specifieke combinatie van product, categorie en vereist/niet vereist zowel een servicetag als een FQDN-tag heeft, moet u representatieve regels voor beide tags maken om de vereiste communicatie volledig te behandelen.

Beperkingen

Als een specifieke combinatie van product, categorie en vereist/niet vereist alleen FQDN's vereist heeft, maar TCP-poorten gebruikt die niet 80/443 zijn, wordt er geen FQDN-tag gemaakt voor deze combinatie. Toepassingsregels kunnen alleen betrekking hebben op HTTP, HTTPS of MSSQL. Als u communicatie met deze FQDN's wilt toestaan, maakt u uw eigen netwerkregels met deze FQDN's en poorten. Zie FQDN-filtering gebruiken in netwerkregels voor meer informatie.

Volgende stappen