Usar o Firewall do Azure para proteger o Microsoft 365

Você pode usar as tags de serviço incorporadas do Firewall do Azure e as tags FQDN para permitir a comunicação de saída com pontos de extremidade e endereços IP do Microsoft 365.

Criação de tags

Para cada produto e categoria do Microsoft 365, o Firewall do Azure recupera automaticamente os pontos de extremidade e endereços IP necessários e cria tags de acordo.

• Nome da tag: todos os nomes começam com Microsoft365 e são seguidos por:
  • Produto: Exchange / Skype / SharePoint / Comum
  • Categoria:
    • Otimizar & Permitir: Os pontos de extremidade de rede com a categoria Otimizar ou Permitir carregam maior volume de tráfego e são sensíveis à latência e ao desempenho da rede. Esses pontos de extremidade têm endereços IP listados com o domínio.
    • Padrão: os pontos de extremidade de rede na categoria Padrão não têm endereços IP associados porque são dinâmicos por natureza e os endereços IP mudam ao longo do tempo.
  • Obrigatório / Não obrigatório (opcional)
• Tipo de etiqueta:
  • A tag FQDN representa apenas os FQDNs necessários para o produto e categoria específicos que se comunicam por HTTP/HTTPS (portas 80/443) e pode ser usada em Regras de Aplicativo para proteger o tráfego para esses FQDNs e protocolos.
  • A etiqueta de serviço representa apenas os endereços IPv4 e intervalos necessários para o produto e categoria específicos e pode ser usada em Regras de Rede para proteger o tráfego para esses endereços IP e para qualquer porta necessária.

Você deve aceitar uma tag disponível para uma combinação específica de produto, categoria e obrigatoriedade / não obrigatoriedade nos seguintes casos:

• Para um Tag de Serviço – esta combinação específica existe e tem endereços IPv4 necessários listados.
• Para uma regra FQDN – esta combinação específica existe e exigiu FQDNs listados que se comunicam com as portas 80/443.

As tags são atualizadas automaticamente com quaisquer modificações nos endereços IPv4 e FQDNs necessários. Novas tags também podem ser criadas automaticamente no futuro, se novas combinações de produto e categoria forem adicionadas.

Coleção de regras de rede:

Coleção de regras de aplicativo:

Configuração de regras

Essas tags internas fornecem granularidade para permitir e proteger o tráfego de saída para o Microsoft 365 com base em suas preferências e uso. Você pode permitir o tráfego de saída apenas para produtos e categorias específicos para uma fonte específica. Você também pode usar a Inspeção TLS e o IDPS do Firewall Premium do Azure para monitorar parte do tráfego. Por exemplo, tráfego para pontos de extremidade na categoria Padrão que pode ser tratado como tráfego de saída normal da Internet. Para obter mais informações sobre as categorias de ponto de extremidade do Microsoft 365, consulte Novas categorias de ponto de extremidade do Microsoft 365.

Ao criar as regras, certifique-se de definir as portas TCP necessárias (para regras de rede) e protocolos (para regras de aplicativo), conforme exigido pelo Microsoft 365. Se uma combinação específica de produto, categoria e obrigatório/não obrigatório tiver uma etiqueta de serviço e uma tag FQDN, você deverá criar regras representativas para ambas as tags para cobrir totalmente a comunicação necessária.

Limitações

Se uma combinação específica de produto, categoria e obrigatório/não necessário tiver apenas nomes de domínio totalmente qualificados (FQDNs) necessários e utilizar portas TCP que não sejam 80/443, não será criada uma etiqueta FQDN para essa combinação. As Regras de Aplicação só podem abranger HTTP, HTTPS ou MSSQL. Para permitir a comunicação com esses FQDNs, crie suas próprias regras de rede com esses FQDNs e portas. Para obter mais informações, consulte Usar filtragem FQDN em regras de rede.

Próximos passos

• Para obter mais informações, consulte Proteger o Microsoft 365 e o Windows 365 com o Firewall do Azure.
• Saiba mais sobre a conectividade de rede do Microsoft 365: Visão geral da conectividade de rede do Microsoft 365