Guía de apoyo de campo de Control de Microsoft Office 365 acceso
Resolution
Control de acceso de Office 365 e identificadores de office 365 Appexistentes
Conseguir Office 365 con Control de acceso
Aprovechamiento de la personalización AppID para proteger Office 365
Políticas y casos de uso ejemplo
Control de acceso de Office 365 y Sharepoint instancia
Office 365 App-ID, AV/AS, IPS, y WildFire matriz de soporte de descifrado
Resumen
A medida que las empresas continúan adoptando Microsoft® Office 365™, se sigue centrando en habilitarlo de forma segura. Por lo general, las empresas quieren lograr los siguientes objetivos:
- Tener visibilidad de uso empresarial y del consumidor de Office 365 en sus redes.
- Para permitir que instancias específicas de aprobación de cuentas de empresa de Office 365 y bloqueando el acceso no autorizado a Office 365 ya sea de cuentas de la empresa no autorizada o consumidor.
- Tener la capacidad para bloquear el acceso de los consumidores a los servicios de Office 365.
- Para controlar y limitar el inquilino Cruz intercambio de "SharePoint en línea".
Palo Alto Networks anuncia el lanzamiento de dos nuevos App-ID y un nuevo contexto de decodificación que se puede utilizar en combinación con firmas de aplicaciones personalizadas y URL filtrado para lograr todos los objetivos mencionados anteriormente.
Nuevos App-ID:
- Office 365-enterprise-access: Esto AppcubreID las ofertas empresariales y empresariales de Microsoft para Office 365. Estos incluyen office 365 Empresa Essentials, Office 365 Empresa, Office 365 Empresa Premium, Office 365 Enterprise E1, E3 y E5.
- Office 365-consumer-access: Esto App-ID cubre las ofertas de consumidor de Office. Estos incluyen Office 365 Hogar, Office 365 Personal, Office 365 Hogar y Estudiantes.
Nuevo contexto de descodificar para patrones:
- http-req-ms-subdomain: buscará el nombre de dominio en el nombre de usuario para obtener acceso a los servicios empresariales de Office 365.
Plan de liberación:
- 7 de juliode 2016: Palo Alto Networks lanza los nuevos App-ID y decodifica el contexto, pero solo como marcadores de posición sin habilitar funcionalmente. Esto ayudará a nuestros clientes a comprender este cambio y realizar los cambios necesarios policy para ayudar en policy la migración para el uso de esta función.
- Tenemos un extenso FAQ documento para ayudar a nuestros clientes con este cambio en la comunidad en vivo en https://live.paloaltonetworks.com/t5/Management-Articles/ FAQ- Office-365-Access-Control/ta-p/94949
- Semana del29 de agosto de 2016: Palo Alto Networks habilita funcionalmente estos dos nuevos App-ID y decodifica el contexto para que los clientes puedan comenzar a usar esta nueva capacidad.
1. Requisitos previos
Esta funcionalidad solo funcionará si se descifra el tráfico a Office 365.
2. Control de acceso de Office 365 e ID de Office 365 Appexistentes
El control de acceso de Office 365 funcionará con todos los ID de Office 365 Appexistentes (que se muestran a continuación). No reemplaza estos App-ID, pero aumenta sus capacidades para identificar no solo el tipo de acceso (empresa vs consumidor), sino también identificar una instancia de inicio de sesión de cuenta empresarial específica.
3. Asegurar Office 365 con control de acceso
Por lo general, para cualquier solución SaaS, hora de acceso, hay dos nociones, que son:
- De dónde vienes: Esto significa el nombre de inicio de sesión que está utilizando para acceder a los recursos. Por ejemplo, los usuarios de la empresa pueden tener varias cuentas para tener acceso a Office 365, que podrían ser sus cuentas de consumidor o una cuenta empresarial no autorizada que hayan adquirido mediante correos electrónicos personales. Muchos clientes desearían permitir el acceso a Office 365 solo desde las cuentas empresariales sancionadas.
- A dónde se está llegando: Esto significa el URL o los recursos a los que está accediendo. Por ejemplo, alguien en la empresa A puede invitar a un usuario de la empresa B a una carpeta de intercalación mediante Microsoft Sharepoint. Cuando se trata de Office 365,la mayoría de los clientes desean controlar esta actividad limitando las instancias de los usuarios de Office 365 deben poder llegar. Microsoft se refiere a esto mediante el uso de la terminología de la Cruz-el inquilino compartir utilizando SharePoint.
4. Aprovechamiento de la personalización AppID para proteger Office 365
Los clientes ahora pueden crear un inicio de sesión personalizado AppID para Office 365, utilizando el nuevo contexto de decodificación de "http-req-ms-subdominio". Este contexto de decodificación busca el nombre de dominio en el nombre de inicio de sesión para acceder a cualquier oferta empresarial de Office 365 .
Por ejemplo, los clientes pueden crear un Office 365 AppID personalizado, que permitirá inicios de sesión en Office 365 solo desde nombres de usuario en el formato de:
- User@mydomain.com
- User@mydomain.org
- User@mydomain.onmicrosoft.com
Una vez creado, esto AppseID puede usar en directivas con ID de Office 365 Appexistentes, limitar el acceso solo a cuentas empresariales de Office 365 autorizadas mientras se bloquea el acceso a cuentas empresariales de Office 365 no autorizadas y cuentas de consumidor de Office 365 .
A continuación, hemos descrito los pasos necesarios para crear dicha costumbre App-ID. También hemos proporcionado algunos resultados de muestra de cómo podría verse una base de seguridad policy de este tipo.
4.1 Creación personalizada App:ID para proteger Office 365
Siga los pasos que se describen a continuación para crear un inicio de AppID sesión personalizado para Office 365 Enterprise.
- En Objetos > aplicaciones , haga clic en "Agregar" y configure como se muestra a continuación:
- Haga clic en la pestaña "Firma" en Aplicación y configure como se muestra a continuación. Tenga en cuenta que el patrón distingue entre mayúsculas y minúsculas. Puede configurar un patrón que no distinga entre mayúsculas y minúsculas en PAN-OS 10.0+, consulte a continuación:
PAN-OS pre-10.0
PAN-OS 10.0+
- Una vez creado, puede usar el personalizado App-ID en seguridad policy, como se muestra a continuación. El policy siguiente conjunto permite el acceso a las ofertas empresariales de Office 365, solo desde nombres de usuario autorizados para "midominio".
5. Ejemplo de casos de uso y políticas
Caso 1: Permitir instancias sancionadas específicas de cuentas empresariales de Office 365 mientras se bloquea el acceso no autorizado a Office 365 desde cuentas empresariales no autorizadas o cuentas de consumidor.
Nota: Las reglas 3 y 5 también se pueden combinar en un solo policy . Éstos se muestran por separado para proporcionar claridad.
Caso 2: Permitir inicios de sesión de dominio sancionados y no autorizados para las ofertas empresariales de Office 365 mientras se bloquea el acceso a las ofertas de consumidores de Office 365.
Nota: Las reglas 3 y 5 también se pueden combinar en un solo policy . Éstos se muestran por separado para proporcionar claridad.
Caso 3: Bloquee explícitamente el acceso a las ofertas de consumidores de Office 365.
6. Control de acceso de Office 365 e Instancia de SharePoint
Uso compartido entre inquilinos: con SharePoint, un usuario de la empresaA puede crear una carpeta de colaboración o compartir un archivo con otro usuario de la empresa. B Digamos que a la Empresa B no le gustaría que sus usuarios compartieran nada fuera de la instancia B de SharePoint de la Empresa. Los clientes pueden seguir los pasos que se indican a continuación para crear una categoría personalizada URL y un perfil de filtrado para abordar URL esto.
- En Objetos > objetos personalizados > URL categoría, cree una nueva categoría personalizada URL para cualquier acceso a SharePoint:
- En Filtrado de perfiles de > de objetos > URL seguridad, cree un nuevo URL perfil de filtrado como el siguiente:
- Use este perfil en una seguridad policy que permita el acceso de nivel empresarial sancionado a Office 365 Un ejemplo podría ser la seguridad policy donde permitimos la costumbre App-ID (ver más abajo):
7. Control de acceso de Office 365 y matriz de compatibilidad existente de Office 365
La matriz siguiente también se aplica al control de acceso de Office 365, ya que se ha aplicado a los IDENTIFICADORes de Office 365App.
App-ID | AV/AS | Archivo Ident | Vuln | Datos Ident | Archivo-avance | SSL Capacidades de descifrado | |||||
Web | Cliente de Windows PC o Mac OS | Cliente de la tableta de Windows | iOS | Android | Razón para No | ||||||
MS base de office365 | No | No | Sí | No | No | Sí | No | No | Sí | Sí | SSL Fijación |
Oficina-on-demand | Sí | Sí | Sí | Sí | Sí | Sí | No | No | N/A | N/A | SSL Fijación |
MS-lync online | No | No | Sí | No | No | Sí | No | No | Sí | Sí | SSL Autenticación de cliente |
SharePoint online | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | |
Outlook-web-online | Sí | Sí | Sí | Sí | Sí | Sí | Sí | No | Sí | Sí | SSL Fijación |
MS-lync-online-Aplicaciones-compartir | No | No | Sí | No | No | Sí | No | No | Sí | Sí | SSL Fijación |
MS-lync-online-transferencia de archivos | Sí | Sí | Sí | No | Sí | Sí | No | No | Sí | Sí | SSL Autenticación de cliente |
Ver también
FAQ - Control de acceso de Office 365
Envíe comentarios a @msandhu o @nasingh o deje un comentario o pregunta en la sección de comentarios a continuación.