你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以使用 Azure 防火墙内置的服务标记和 FQDN 标记来允许与 Microsoft 365 终结点和 IP 地址进行出站通信。
注释
Microsoft Azure 防火墙策略仅支持 365 个服务标记和 FQDN 标记。 经典规则不支持它们。
标记创建
对于每个Microsoft 365 个产品和类别,Azure 防火墙会自动检索所需的终结点和 IP 地址,并相应地创建标记:
- 标记名称:所有名称都以 Microsoft365 开头,并接着:
- 产品:Exchange/Skype/SharePoint/Common
- 类别:
- 优化和允许:具有 “优化 ”或 “允许 ”类别的网络终结点具有较高的流量,并且对网络延迟和性能敏感。 这些端点的 IP 地址已经与域一起列出。
- 默认值: 默认 类别中的网络终结点没有关联的 IP 地址,因为它们本质上是动态的,IP 地址随时间而变化。
- 必需/不需要(可选)
- 标记类型:
- FQDN 标记 仅表示通过 HTTP/HTTPS(端口 80/443)进行通信的特定产品和类别所需的 FQDN,并且可用于应用程序规则来保护发到这些 FQDN 和协议的流量。
- 服务标记 仅表示特定产品和类别所需的 IPv4 地址和范围,并且可用于网络规则来保护发到这些 IP 地址和任何所需端口的流量。
在以下情况下,你应接受可用于产品、类别和必需/不必需的特定组合的标记:
- 对于服务标记 - 此特定组合存在,并且列出了所需的 IPv4 地址。
- 对于 FQDN 规则 - 此特定组合存在,并且列出了与端口 80/443 通信所需的 FQDN。
标记会随着所需 IPv4 地址和 FQDN 的任何更改而自动更新。 如果添加新的产品和类别组合,将来也可能会自动创建新标记。
网络规则集合: 
应用程序规则集合: 
规则配置
这些内置标记提供了对出站流量的精细控制,以根据您的首选项和使用情况允许和保护与 Microsoft 365 相关的流量。 只能允许向特定源的特定产品和类别发送出站流量。 还可以使用 Azure 防火墙高级版的 TLS 检查和 IDPS 来监视某些流量。 例如,属于默认类别的终结点的流量可以视为正常的互联网出站流量。 有关 Microsoft 365 终结点类别的详细信息,请参阅 Microsoft 365 终结点分类的新类别。
创建规则时,请确保根据 Microsoft 365 的要求定义所需的 TCP 端口(网络规则)和协议(适用于应用程序规则)。 如果产品、类别和必需/不需要的特定组合同时具有服务标记和 FQDN 标记,则应为这两个标记创建具有代表性的规则,以完全涵盖所需的通信。
局限性
如果产品、类别和必需/不需要的特定组合仅需要 FQDN,但使用不是 80/443 的 TCP 端口,则不会为此组合创建 FQDN 标记。 应用程序规则只能涵盖 HTTP、HTTPS 或 MSSQL。 若要允许与这些 FQDN 通信,请使用这些 FQDN 和端口创建自己的网络规则。 有关详细信息,请参阅 在网络规则中使用 FQDN 筛选。
后续步骤
- 有关详细信息,请参阅使用 Azure 防火墙保护 Microsoft 365 和 Windows 365。
- 详细了解 Microsoft 365 网络连接: Microsoft 365 网络连接概述