Защита Microsoft 365 с помощью брандмауэра Azure

Вы можете использовать встроенные теги службы брандмауэра Azure и теги полного доменного имени, чтобы разрешить исходящее взаимодействие с конечными точками и IP-адресами Microsoft 365.

Создание тегов

Для каждого продукта и категории Microsoft 365 Брандмауэр Azure автоматически получает необходимые конечные точки и IP-адреса и создает теги соответствующим образом:

• Имя тега: все имена начинаются с Microsoft365 и следуют:
  • Продукт: Exchange/ Skype/ SharePoint / Common
  • Категория:
    • Оптимизация и разрешение: сетевые конечные точки с оптимизацией или разрешением категории обрабатывают более высокий объем трафика и чувствительны к задержкам в сети и изменениям производительности. Эти конечные точки имеют IP-адреса, перечисленные в домене.
    • По умолчанию: сетевые конечные точки в категории по умолчанию не имеют связанных IP-адресов, так как они динамически в природе и IP-адреса изменяются со временем.
  • Обязательный / Необязательный (по желанию)
• Тип тега:
  • Тег FQDN представляет только необходимые полные доменные имена для конкретного продукта и категории, которые взаимодействуют по протоколу HTTP/HTTPS (порты 80/443) и могут использоваться в правилах приложений для защиты трафика к этим полным доменным именам и протоколам.
  • Тег службы представляет только необходимые IPv4-адреса и диапазоны для конкретного продукта и категории и может использоваться в правилах сети для защиты трафика к этим IP-адресам и любому требуемому порту.

Вы должны принять тег, доступный для определенного сочетания продукта, категории и того, являются ли они обязательными/необязательными в следующих случаях:

• Для тега службы — эта конкретная комбинация существует и содержит указанные адреса IPv4.
• Для правила полного доменного имени — эта конкретная комбинация существует и содержит необходимые полные доменные имена, которые соединяются с портами 80/443.

Теги обновляются автоматически с любыми изменениями необходимых адресов IPv4 и полных доменных имен. Новые теги могут создаваться автоматически в будущем, а также при добавлении новых сочетаний продуктов и категорий.

Коллекция правил сети:

Коллекция правил приложения:

Настройка правил

Эти встроенные теги обеспечивают детализацию для разрешения и защиты исходящего трафика в Microsoft 365 на основе ваших предпочтений и использования. Исходящий трафик можно разрешить только определенным продуктам и категориям для конкретного источника. Вы также можете использовать TLS-инспекцию и систему предотвращения вторжений (IDPS) брандмауэра Azure уровня "Премиум", чтобы отслеживать некоторый трафик. Например, трафик к конечным точкам в категории по умолчанию, который можно рассматривать как обычный исходящий трафик Из Интернета. Дополнительные сведения о категориях конечных точек Microsoft 365 см. в новых категориях конечных точек Microsoft 365.

При создании правил убедитесь, что необходимо определить необходимые TCP-порты (для сетевых правил) и протоколы (для правил приложений) в соответствии с требованиями Microsoft 365. Если для определенного сочетания продукта, категории и обязательности имеется как тег службы, так и тег FQDN, необходимо создать представительные правила для каждого из тегов, чтобы полностью обеспечить необходимую коммуникацию.

Ограничения

Если для определенного сочетания продукта, категории и условия "требуются/не требуются" необходимо только полные доменные имена (FQDNs), но используются TCP-порты, отличные от 80/443, то для этого сочетания тег полного доменного имени не создается. Правила приложения могут охватывать только HTTP, HTTPS или MSSQL. Чтобы разрешить соединение с этими FQDN, создайте собственные правила сети с этими FQDN и портами. Дополнительные сведения см. в Правилах сети с фильтрацией по полным доменным именам (FQDN).

Дальнейшие действия

• Дополнительные сведения см. в статье "Защита Microsoft 365 и Windows 365 с помощью брандмауэра Azure".
• Дополнительные сведения о сетевом подключении Microsoft 365: обзор сетевого подключения Microsoft 365