Partager via


Utiliser le Pare-feu Azure pour protéger Office 365

Vous pouvez utiliser les étiquettes de service intégrées du Pare-feu Azure et les étiquettes de nom de domaine complet pour autoriser la communication sortante vers les points de terminaison et adresses IP Office 365.

Remarque

Les étiquettes de service Office 365 et les étiquettes FQDN sont prises en charge uniquement dans la stratégie de pare-feu Azure. Elles ne sont pas prises en charge dans les règles classiques.

Création d’étiquettes

Pour chaque produit et chaque catégorie Office 365, le Pare-feu Azure récupère automatiquement les adresses IP et les points de terminaison requis pour créer des étiquettes en conséquence :

  • Nom de l’étiquette : tous les noms commencent par Office365, suivis de :
    • Produit : Exchange / Skype / SharePoint / Général
    • Catégorie : Optimiser / Autoriser / Par défaut
    • Obligatoire / Non obligatoire (facultatif)
  • Type d’étiquette :
    • L’étiquette du nom de domaine complet représente uniquement les noms de domaine complets requis pour le produit et la catégorie spécifiques qui communiquent au travers des protocoles HTTP/HTTPS (ports 80/443) et peuvent être utilisés dans les règles d’application pour sécuriser le trafic vers ces noms de domaine complets et ces protocoles.
    • L’étiquette de service représente uniquement les adresses et les plages IPv4 requises pour le produit et la catégorie spécifiques ; elle peut également être utilisée dans les règles de réseau pour sécuriser le trafic vers ces adresses IP et vers n’importe quel port requis.

Vous devez accepter qu’une étiquette soit disponible pour une combinaison spécifique de produit, de catégorie et obligatoire/non obligatoire dans les cas suivants :

  • Pour une étiquette de service : cette combinaison spécifique existe et contient les adresses IPv4 requises répertoriées.
  • Pour une règle de nom de domaine complet : cette combinaison spécifique existe et dispose des noms de domaine complets requis répertoriés qui communiquent au travers des ports 80/443.

Les étiquettes sont mises à jour automatiquement avec toutes les modifications apportées aux adresses IPv4 et aux noms de domaine complets requis. De nouvelles étiquettes peuvent être créées automatiquement plus tard en cas d’ajout de nouvelles combinaisons de produit et de catégorie.

Regroupement de règles de réseau : Screenshot showing Office 365 network rule collection.

Regroupement de règles d’application : Screenshot showing Office 365 application rule collection.

Configuration de règles

Ces étiquettes intégrées fournissent une granularité permettant d’autoriser et de protéger le trafic sortant vers Office 365 selon vos préférences et votre utilisation. Vous pouvez autoriser le trafic sortant uniquement vers des produits et catégories spécifiques pour une source spécifique. Vous pouvez également utiliser l’inspection TLS et l’IDPS du Pare-feu Azure Premium pour surveiller une partie du trafic. Par exemple, le trafic vers les points de terminaison de la catégorie Par défaut peut être traité comme du trafic sortant Internet normal. Pour plus d’informations sur les catégories de points de terminaison Office 365, consultez Nouvelles catégories de points de terminaison Office 365.

Lorsque vous créez les règles, assurez-vous de définir les ports TCP (pour les règles de réseau) et les protocoles (pour les règles d’application) requis par Office 365. Si une combinaison spécifique de produit, de catégorie et obligatoire/non obligatoire dispose à la fois d’une étiquette de service et une étiquette de nom de domaine complet, vous devez créer des règles représentatives pour les deux étiquettes afin de totalement couvrir la communication requise.

Limites

Si une combinaison spécifique de produit, de catégorie et obligatoire/non obligatoire dispose uniquement des noms de domaine complets requis, mais utilise des ports TCP autres que 80/443, une étiquette de nom de domaine complet n’est pas créée pour cette combinaison. Les règles d’application peuvent uniquement couvrir le protocole HTTP, HTTPS ou MSSQL. Pour autoriser la communication avec ces noms de domaine complets, créez vos propres règles de réseau avec ceux-ci et les ports indiqués. Pour plus d’informations, consultez Utiliser le filtrage de nom de domaine complet dans les règles de réseau.

Étapes suivantes