Microsoft Office 365 Access Control Field Support Ratgeber

Microsoft Office 365 Access Control Field Support Ratgeber

204205
Created On 09/25/18 19:02 PM - Last Modified 05/31/23 18:58 PM


Resolution


Zusammenfassung

Voraussetzungen

Office 365 Zugriffskontrolle und vorhandene Office 365 App-IDs

Sicherung von Office 365 mit Zutrittskontrolle

Nutzung von benutzerdefinierten App–ID zum Sichern von Office 365

Beispiel-Anwendungsfälle und Richtlinien

Zutrittskontrolle für Office 365 und Sharepoint-Instanz

Office 365 App-ID, AV/AS, IPSWildFire & Entschlüsselungsunterstützungsmatrix

 

Zusammenfassung

Da Unternehmen Microsoft® Office 365™weiter einführen, liegt der Schwerpunkt weiterhin auf der sicheren Aktivierung. In der Regel Unternehmen folgende Ziele erreichen wollen:

 

  1. Einblick in die Unternehmen und Verbraucher Nutzung von Office 365 in ihren Netzwerken haben.
  2. Zu bestimmte sanktionierte Instanzen von Office 365 Enterprise-Konten können während der Sperrung Zugang zu Office 365 entweder Unternehmen oder Verbraucherkonten.
  3. Um die Fähigkeit, Verbrauchern den Zugang zu Office 365-Diensten zu sperren.
  4. Zu steuern und zu begrenzen, Kreuz-Mieter teilen "SharePoint-Online".

 

Palo Alto Networks kündigt die Veröffentlichung von zwei neuen -IDs und einem neuen AppDekodierungskontext an, der in Kombination mit benutzerdefinierten Anwendungssignaturen und URL Filtern verwendet werden kann, um alle oben genannten Ziele zu erreichen.

 

Neue App-IDs:

  • Office 365-enterprise-access : Dies AppID - deckt die Business- und Enterprise-Angebote von Microsoft für Office 365 ab. Dazu gehören Office 365 Business Essentials, Office 365 Business, Office 365 Business Premium, Office 365 Enterprise E1, E3 und E5 Pläne.
  • Office 365-consumer-access: Dies App-ID deckt die Verbraucherangebote von Office ab. Dazu gehören Office 365 Home, Office 365 Personal, Office 365 Home und Student.

Neuen decodieren Kontext für Muster entsprechen:

  • http-req-ms-subdomain: Hiermit wird nach dem Domänennamen im Benutzernamen für den Zugriff auf Office 365-Unternehmensdienste gesucht.

Release-Plan:

  • 7. Juli 2016: Palo Alto Networks veröffentlicht die neuen App-IDs und dekodieren den Kontext, jedoch nur als Platzhalter ohne funktionale Ermöglichung. Dies wird unseren Kunden helfen, diese Änderung zu verstehen und die notwendigen policy Änderungen vorzunehmen, um die policy Migration für die Verwendung dieser Funktion zu unterstützen.
  • Wir haben ein FAQ umfangreiches Dokument, um unsere Kunden bei dieser Änderung in der Live Community unter https://live.paloaltonetworks.com/t5/Management-Articles/ FAQ- Office-365-Access-Control/ta-p/94949 zu unterstützen.
  • Woche vom 29. August 2016: Palo Alto Networks aktiviert diese beiden neuen App-IDs funktional und dekodiert den Kontext, so dass Kunden diese neue Funktion nutzen können.

 

1. Voraussetzungen

Diese Funktion funktioniert nur, wenn der Datenverkehr zu Office 365 entschlüsselt wird.

 

2. Office 365 Zugriffskontrolle und vorhandene Office 365 App-IDs

Die Office 365-Zugriffssteuerung funktioniert mit allen vorhandenen Office 365-IDs App(siehe unten). Es ersetzt diese App-IDs nicht, sondern erweitert ihre Fähigkeiten, um nicht nur die Art des Zugriffs (Unternehmen vs. Verbraucher) zu identifizieren, sondern auch eine bestimmte Anmeldeinstanz für Unternehmenskonten.

 

Picture1.png

 

3. Sichern von Office 365 mit Zugriffssteuerung

In der Regel für jede SaaS-Lösung, wenn es darum geht um zu gelangen, gibt es zwei Vorstellungen, die sind:

 

  • Woher Sie kommen: Dies bedeutet den Anmeldenamen, den Sie für den Zugriff auf Ressourcen verwenden. Benutzer im Unternehmen können beispielsweise über mehrere Konten für den Zugriff auf Office 365 verfügen, d. h. entweder ihre Consumerkonten oder ein nicht genehmigtes Unternehmenskonto, das sie mithilfe persönlicher E-Mails erworben haben. Viele Kunden möchten nur von den sanktionierten Unternehmenskonten aus zugriff auf Office 365 zugreifen.
  • Wo Sie hinkommen: Dies bedeutet die URL oder die Ressourcen, auf die Sie zugreifen. Beispielsweise kann eine Person im Unternehmen A einen Benutzer aus dem Unternehmen B mithilfe von Microsoft Sharepoint zu einem Kollusionsordner einladen. Wenn es um Office 365geht, möchten die meisten Kunden diese Aktivität steuern, indem sie die Instanzen von Office 365-Benutzern einschränken, auf die sie gelangen können sollten. Microsoft bezieht sich auf das durch die Verwendung der Terminologie der Kreuz-Mieter teilen mit SharePoint.

4. Benutzerdefinierte AppNutzung -ID zum Sichern von Office 365

Kunden können jetzt benutzerdefinierte App- für Office 365-Anmeldungen erstellen, indem sie den neuen Decodierungskontext von "http-req-ms-subdomainID" verwenden. Dieser Decodierungskontext sucht nach dem Domänennamen im Anmeldenamen für den Zugriff auf ein beliebiges Office 365 Enterprise-Angebot .

 

Zum Beispiel können Kunden ein benutzerdefiniertes Office 365 erstellen, das Anmeldungen bei Office 365 AppID nur von Benutzernamen im folgenden Format zulässt:

  • User@mydomain.com
  • User@mydomain.org
  • User@mydomain.onmicrosoft.com

 

Einmal erstellt, kann dies App- kann dann in Richtlinien mit vorhandenen Office 365-IDs Appverwendet werden, den Zugriff auf sanktionierte Office 365-Unternehmenskonten beschränken und gleichzeitig den Zugriff auf nicht sanktionierte Office 365-Unternehmenskonten und Office 365-VerbraucherkontenID blockieren.

 

Im Folgenden haben wir die Schritte beschrieben, die erforderlich sind, um eine solche benutzerdefinierte App-ID. Wir haben auch einige Beispielausgaben bereitgestellt, wie eine solche Sicherheitsbasis policy aussehen könnte.

 

4.1 Benutzerdefiniert Apperstellen -ID zum Sichern von Office 365

Führen Sie die unten beschriebenen Schritte aus, um eine benutzerdefinierte App- für Office 365-UnternehmensanmeldungenID zu erstellen.

 

  1. Klicken Sie unter Objekte > Anwendungen auf "Hinzufügen" und konfigurieren Sie wie folgt:

    Picture2.png
     
  2. Klicken Sie auf die Registerkarte "Signatur" unter Anwendung und konfigurieren Sie wie unten gezeigt. Bitte beachten Sie, dass bei diesem Muster die Groß-/Kleinschreibung beachtet werden muss. Sie können ein Muster konfigurierenPAN-OS, bei dem die Groß-/Kleinschreibung in 10.0+ nicht beachtet wird, siehe unten:
    PAN-OS pre-10.0
    Picture3.png
    PAN-OS 10.0+
    Beispiel für ein Muster ohne Berücksichtigung der Groß-/Kleinschreibung in Panos 10.0
  3. Nach der Erstellung können Sie die benutzerdefinierte AppOption -ID in Sicherheit policyverwenden, wie unten gezeigt. Das policy folgende Set erlaubt den Zugriff auf Office 365 Enterprise-Angebote, nur von sanktionierten Benutzernamen für "mydomain".

 

 Picture4.png

 

  

5. Beispiel anwendungsfälle und Richtlinien

 

Fall 1:  Erlauben Sie bestimmte sanktionierte Instanzen von Office 365-Unternehmenskonten, während Sie den nicht genehmigten Zugriff auf Office 365 entweder von nicht sanktionierten Unternehmenskonten oder Von Verbraucherkonten blockieren.

 Picture5.png

Hinweis: Die Regeln 3 und 5 können auch zu einem einzigen kombiniert policy werden. Diese sind hier separat ausgewiesen, für Klarheit.

 

Fall 2: Erlauben Sie sanktionierte und nicht sanktionierte Domänenanmeldungen für Office 365-Unternehmensangebote und blockieren Sie gleichzeitig den Zugriff auf Office 365-Consumerangebote.

Picture6.png

Hinweis: Die Regeln 3 und 5 können auch zu einem einzigen kombiniert policy werden. Diese sind hier separat ausgewiesen, für Klarheit.

 

Fall 3: Blockieren Sie explizit den Zugriff auf Office 365-Verbraucherangebote.

Picture7.png

 

6. Office 365 Access Control und SharePoint-Instanz

 

Mandantenübergreifende Freigabe: Mithilfe von SharePoint kann ein Benutzer aus dem Unternehmen A einen Kollaborationsordner erstellen oder eine Datei für einen anderen Benutzer aus Dem Unternehmen Bfreigeben. Lassen Sie uns sagen, dass das Unternehmen B nicht möchte, dass seine Benutzer etwas außerhalb B der SharePoint-Instanz des Unternehmens teilen. Kunden können die folgenden Schritte ausführen, um eine benutzerdefinierte Kategorie und ein URL URL Filterprofil zu erstellen, um dieses Problem zu beheben.

 

  1. Erstellen Sie unter Objekte > Benutzerdefinierte Objekte > URL Kategorie eine neue benutzerdefinierte URL Kategorie für jeden SharePoint-Zugriff:
    Picture8.png
     
  2. Erstellen Sie unter Objekte > Sicherheitsprofile > URL Filterung ein neues URL Filterprofil wie folgt:
    Picture9.png
     
  3. Verwenden Sie dieses Profil in einer Sicherheit, die sanktionierten Zugriff auf Unternehmensebene auf Office 365 ermöglicht Ein Beispiel könnte die Sicherheit policy sein, bei der wir die Gewohnheit Apperlaubt haben -ID (siehe unten): policy

 Picture10.png

 

 

7. Office 365 Access Control und vorhandene Office 365-Unterstützungsmatrix

Die folgende Matrix gilt auch für die Office 365-Zugriffssteuerung , wie sie für Office 365-IDs Appgilt.

App-ID

AV/AS

Ident-Datei

Vuln

Daten Ident

Datei-Forward

SSL Entschlüsselungsfunktionen

Web

Windows- PC oder OS Mac-Client

Windows-Tablet-Client

Ios

Android

Grund für No

MS-office365-base

Nein

Nein

Ja

Nein

Nein

Ja

Nein

Nein

Ja

Ja

SSL Pinning

Büro-on-demand

Ja

Ja

Ja

Ja

Ja

Ja

Nein

Nein

N/A

N/A

SSL Pinning

MS-Lync-online

Nein

Nein

Ja

Nein

Nein

Ja

Nein

Nein

Ja

Ja

SSL Client Auth

SharePoint online

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

 

Outlook-Web-online

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Nein

Ja

Ja

SSL Pinning

MS-Lync-online-apps-sharing

Nein

Nein

Ja

Nein

Nein

Ja

Nein

Nein

Ja

Ja

SSL Pinning

MS-Lync-online-File-transfer

Ja

Ja

Ja

Nein

Ja

Ja

Nein

Nein

Ja

Ja

SSL Client Auth

 

Siehe auch

FAQ - Office 365-Zugriffssteuerung

 

Senden Sie Kommentare an @msandhu oder @nasingh oder hinterlassen Sie einen Kommentar oder eine Frage im Kommentarbereich unten.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTDCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language