Sdílet prostřednictvím

Ochrana Office 365 pomocí služby Azure Firewall

  • Článek

K povolení odchozí komunikace s koncovými body a IP adresami Office 365 můžete použít integrované značky služeb a značky plně kvalifikovaného názvu domény služby Azure Firewall.

Poznámka:

Značky služeb Office 365 a značky plně kvalifikovaného názvu domény se podporují jenom v zásadách služby Azure Firewall. Nejsou podporované v klasických pravidlech.

Vytváření značek

Pro každý produkt a kategorii Office 365 azure Firewall automaticky načte požadované koncové body a IP adresy a odpovídajícím způsobem vytvoří značky:

  • Název značky: všechny názvy začínají Office365 a následují:
    • Produkt: Exchange / Skype / SharePoint / Common
    • Kategorie: Optimalizace / Povolit / Výchozí
    • Povinné / Nepožaduje se (volitelné)
  • Typ značky:
    • Značka plně kvalifikovaného názvu domény představuje pouze požadované plně kvalifikované názvy domén pro konkrétní produkt a kategorii, které komunikují přes protokol HTTP/HTTPS (porty 80/443) a lze je použít v pravidlech aplikace k zabezpečení provozu do těchto plně kvalifikovaných názvů domén a protokolů.
    • Značka služby představuje pouze požadované adresy a rozsahy IPv4 pro konkrétní produkt a kategorii a lze je použít v pravidlech sítě k zabezpečení provozu na tyto IP adresy a na libovolný požadovaný port.

Měli byste přijmout značku, která je k dispozici pro konkrétní kombinaci produktu, kategorie a povinné / nepožadované v následujících případech:

  • Pro značku služby – tato konkrétní kombinace existuje a obsahuje uvedené požadované adresy IPv4.
  • Pro pravidlo plně kvalifikovaného názvu domény – tato konkrétní kombinace existuje a obsahuje seznam požadovaných plně kvalifikovaných názvů domén, které komunikují s porty 80/443.

Značky se aktualizují automaticky o všechny úpravy požadovaných adres IPv4 a plně kvalifikovaných názvů domén. Nové značky se můžou v budoucnu vytvářet automaticky i v případě, že se přidají nové kombinace produktů a kategorií.

Kolekce pravidel sítě: Screenshot showing Office 365 network rule collection.

Kolekce pravidel aplikace: Screenshot showing Office 365 application rule collection.

Konfigurace pravidel

Tyto integrované značky poskytují členitost, aby bylo možné povolit a chránit odchozí provoz do Office 365 na základě vašich preferencí a využití. Odchozí provoz můžete povolit jenom pro konkrétní produkty a kategorie pro konkrétní zdroj. K monitorování některých přenosů můžete použít také kontrolu protokolu TLS a IDPS služby Azure Firewall Premium. Například provoz do koncových bodů ve výchozí kategorii, které se dají považovat za normální internetový odchozí provoz. Další informace o kategoriích koncových bodů Office 365 najdete v tématu Nové kategorie koncových bodů Office 365.

Při vytváření pravidel se ujistěte, že definujete požadované porty TCP (pro pravidla sítě) a protokoly (pro pravidla aplikací), jak to vyžaduje Office 365. Pokud konkrétní kombinace produktu, kategorie a povinné/nevyžaduje se značka služby i značka plně kvalifikovaného názvu domény, měli byste vytvořit reprezentativní pravidla pro obě značky, která plně pokrývají požadovanou komunikaci.

Omezení

Pokud určitá kombinace produktu, kategorie a povinné/nevyžaduje se jenom plně kvalifikované názvy domén, ale používá porty TCP, které nejsou 80/443, značka plně kvalifikovaného názvu domény se pro tuto kombinaci nevytvořila. Pravidla aplikací můžou zahrnovat pouze HTTP, HTTPS nebo MSSQL. Pokud chcete povolit komunikaci s těmito plně kvalifikovanými názvy domén, vytvořte vlastní síťová pravidla s těmito plně kvalifikovanými názvy domén a porty. Další informace naleznete v tématu Použití filtrování plně kvalifikovaného názvu domény v pravidlech sítě.

Další kroky