Share via

Ochrona usługi Office 365 przy użyciu usługi Azure Firewall

  • Artykuł

Za pomocą wbudowanych tagów usług i tagów FQDN usługi Azure Firewall można zezwolić na komunikację wychodzącą z punktami końcowymi i adresami IP usługi Office 365.

Uwaga

Tagi usługi Office 365 i tagi FQDN są obsługiwane tylko w zasadach usługi Azure Firewall. Nie są one obsługiwane w regułach klasycznych.

Tworzenie tagów

W przypadku każdego produktu i kategorii usługi Office 365 usługa Azure Firewall automatycznie pobiera wymagane punkty końcowe i adresy IP i tworzy odpowiednio tagi:

  • Nazwa tagu: wszystkie nazwy zaczynają się od usługi Office365 i są następujące:
    • Produkt: Exchange/ Skype / SharePoint / Common
    • Kategoria: Optymalizowanie/Zezwalanie/Domyślne
    • Wymagane/Niewymagane (opcjonalnie)
  • Typ tagu:
    • Tag FQDN reprezentuje tylko wymagane nazwy FQDN dla określonego produktu i kategorii, które komunikują się za pośrednictwem protokołu HTTP/HTTPS (porty 80/443) i mogą być używane w regułach aplikacji do zabezpieczania ruchu do tych nazw FQDN i protokołów.
    • Tag usługi reprezentuje tylko wymagane adresy IPv4 i zakresy dla określonego produktu i kategorii i mogą być używane w regułach sieci do zabezpieczania ruchu do tych adresów IP i do dowolnego wymaganego portu.

W następujących przypadkach należy zaakceptować dostępny tag dla określonej kombinacji produktu, kategorii i wymaganej /nie jest to wymagane:

  • Dla tagu usługi — ta konkretna kombinacja istnieje i ma wymagane adresy IPv4 wymienione.
  • Dla reguły nazwy FQDN — ta konkretna kombinacja istnieje i ma wymagane nazwy FQDN wymienione, które komunikują się z portami 80/443.

Tagi są aktualizowane automatycznie przy użyciu wszelkich modyfikacji wymaganych adresów IPv4 i nazw FQDN. Nowe tagi mogą być tworzone automatycznie w przyszłości, a także w przypadku dodania nowych kombinacji produktów i kategorii.

Kolekcja reguł sieciowych: Screenshot showing Office 365 network rule collection.

Kolekcja reguł aplikacji: Screenshot showing Office 365 application rule collection.

Konfiguracja reguł

Te wbudowane tagi zapewniają stopień szczegółowości, aby umożliwić i chronić ruch wychodzący do usługi Office 365 na podstawie preferencji i użycia. Możesz zezwolić na ruch wychodzący tylko do określonych produktów i kategorii dla określonego źródła. Możesz również użyć inspekcji protokołu TLS i dostawcy tożsamości protokołu TLS usługi Azure Firewall w warstwie Premium, aby monitorować część ruchu. Na przykład ruch do punktów końcowych w kategorii Domyślne, który może być traktowany jako normalny ruch wychodzący z Internetu. Aby uzyskać więcej informacji na temat kategorii punktów końcowych usługi Office 365, zobacz Nowe kategorie punktów końcowych usługi Office 365.

Podczas tworzenia reguł upewnij się, że zdefiniowano wymagane porty TCP (dla reguł sieci) i protokoły (dla reguł aplikacji) zgodnie z wymaganiami usługi Office 365. Jeśli określona kombinacja produktów, kategorii i wymaganych/nie jest wymagana, ma zarówno tag usługi, jak i tag FQDN, należy utworzyć reguły reprezentatywne dla obu tagów, aby w pełni pokryć wymaganą komunikację.

Ograniczenia

Jeśli określona kombinacja produktu, kategorii i wymaganej/nie jest wymagana, ma wymagane tylko nazwy FQDN, ale używa portów TCP, które nie są 80/443, tag FQDN nie jest tworzony dla tej kombinacji. Reguły aplikacji mogą obejmować tylko protokół HTTP, HTTPS lub MSSQL. Aby umożliwić komunikację z tymi nazwami FQDN, utwórz własne reguły sieci przy użyciu tych nazw FQDN i portów. Aby uzyskać więcej informacji, zobacz Use FQDN filtering in network rules (Używanie filtrowania nazw FQDN w regułach sieci).

Następne kroki