Ochrona platformy Microsoft 365 przy użyciu usługi Azure Firewall

Możesz użyć wbudowanych tagów usług i tagów FQDN usługi Azure Firewall, aby zezwolić na komunikację wychodzącą z punktami końcowymi i adresami IP platformy Microsoft 365.

Tworzenie tagów

W przypadku każdego produktu i kategorii platformy Microsoft 365 usługa Azure Firewall automatycznie pobiera wymagane punkty końcowe i adresy IP i tworzy odpowiednio tagi:

• Nazwa tagu: wszystkie nazwy zaczynają się od Microsoft365 i są kontynuowane przez:
  • Produkt: Exchange/ Skype / SharePoint / Common
  • Kategoria:
    • Optymalizacja i Zezwalanie: Punkty końcowe sieci z kategorią Optymalizacja lub Zezwalanie obsługują większy wolumen ruchu i są wrażliwe na opóźnienia oraz wydajność sieci. Te punkty końcowe mają adresy IP wymienione w domenie.
    • Ustawienie domyślne: Punkty końcowe sieci w kategorii Domyślne nie mają skojarzonych adresów IP, ponieważ są one dynamiczne i adresy IP zmieniają się w czasie.
  • Wymagane/Niewymagane (opcjonalnie)
• Typ tagu:
  • Tag FQDN reprezentuje tylko wymagane nazwy FQDN dla określonego produktu i kategorii, które komunikują się za pośrednictwem protokołu HTTP/HTTPS (porty 80/443) i mogą być używane w regułach aplikacji do zabezpieczania ruchu do tych nazw FQDN i protokołów.
  • Tag usługi reprezentuje tylko wymagane adresy IPv4 i zakresy dla określonego produktu i kategorii i mogą być używane w regułach sieci do zabezpieczania ruchu do tych adresów IP i do dowolnego wymaganego portu.

W następujących przypadkach należy zaakceptować dostępny tag dla określonej kombinacji produktu, kategorii i wymaganej /nie jest to wymagane:

• Dla oznaczenia usługi ta konkretna kombinacja istnieje i ma wymienione wymagane adresy IPv4.
• Dla reguły nazwy FQDN — ta konkretna kombinacja istnieje i ma wymagane nazwy FQDN wymienione, które komunikują się z portami 80/443.

Tagi są automatycznie aktualizowane w przypadku modyfikacji wymaganych adresów IPv4 i FQDN. Nowe tagi mogą być tworzone automatycznie w przyszłości, a także w przypadku dodania nowych kombinacji produktów i kategorii.

Kolekcja reguł sieciowych:

Kolekcja reguł aplikacji:

Konfiguracja reguł

Te wbudowane tagi zapewniają szczegółową kontrolę, aby umożliwić ochronę ruchu wychodzącego do Microsoft 365 na podstawie Twoich preferencji i sposobu użytkowania. Możesz zezwolić na ruch wychodzący tylko do określonych produktów i kategorii dla określonego źródła. Możesz również użyć inspekcji TLS i systemu wykrywania i zapobiegania włamaniom (IDPS) usługi Azure Firewall Premium do monitorowania części ruchu. Na przykład ruch kierowany do punktów końcowych w kategorii Domyślne, który może być traktowany jako normalny ruch wychodzący do Internetu. Aby uzyskać więcej informacji na temat kategorii punktów końcowych platformy Microsoft 365, zobacz Nowe kategorie punktów końcowych platformy Microsoft 365.

Podczas tworzenia reguł upewnij się, że zdefiniowano wymagane porty TCP (dla reguł sieci) i protokoły (dla reguł aplikacji) zgodnie z wymaganiami platformy Microsoft 365. Jeśli określona kombinacja produktu, kategorii i wymogów ma zarówno tag usługi, jak i tag FQDN, należy utworzyć reguły reprezentatywne dla obu tagów, aby w pełni pokryć wymaganą komunikację.

Ograniczenia

Jeśli określona kombinacja produktu, kategorii i wymagań (wymagane/niewymagane) ma pełne nazwy domen (FQDN) jako jedyne wymagane, ale używa portów TCP, które nie są 80/443, tag FQDN nie zostanie utworzony dla tej kombinacji. Reguły aplikacji mogą obejmować tylko protokół HTTP, HTTPS lub MSSQL. Aby umożliwić komunikację z tymi nazwami FQDN, utwórz własne reguły sieciowe z uwzględnieniem tych nazw i portów. Aby uzyskać więcej informacji, zobacz Use FQDN filtering in network rules (Używanie filtrowania nazw FQDN w regułach sieci).

Następne kroki

• Aby uzyskać więcej informacji, zobacz Protect Microsoft 365 and Windows 365 with Azure Firewall (Ochrona platform Microsoft 365 i Windows 365 za pomocą usługi Azure Firewall).
• Dowiedz się więcej o łączności sieciowej Microsoft 365: Omówienie łączności sieciowej Microsoft 365