Guide de prise en charge Microsoft Office 365 accès contrôle terrain

Guide de prise en charge Microsoft Office 365 accès contrôle terrain

204259
Created On 09/25/18 19:02 PM - Last Modified 05/31/23 18:58 PM


Resolution


Résumé

Conditions préalables

Contrôle d’accès Office 365 et ID Office 365 Appexistants

Sécurisation de Office 365 avec contrôle d’accès

Tirer parti de la personnalisation ApppourID sécuriser Office 365

Politiques et des exemples d’utilisation

Contrôle d’accès Office 365 et Instance Sharepoint

Matrice de prise en charge d’Office 365 App-ID, AV/AS, IPS, WildFire & Décryption

 

Résumé

Comme les entreprises continuent d’adopter Microsoft® Office 365™, il ya toujours l’accent sur la sécurité permettant. En règle générale, les entreprises veulent atteindre les objectifs suivants :

 

  1. D’avoir une visibilité sur l’entreprise et des consommateurs d’utilisation de Office 365 dans leurs réseaux.
  2. Permettre à des instances spécifiques sanctionnée par des comptes d’entreprise Office 365 tout en bloquant l’accès non autorisée à Office 365, soit des consommateurs ou des comptes de l’entreprise non autorisée.
  3. Pour avoir la possibilité de bloquer l’accès des consommateurs aux services Office 365.
  4. Pour contrôler et limiter la Croix-locataire partage des « SharePoint-online ».

 

Palo Alto Networks annonce la sortie de deux nouveaux App-ID et d’un nouveau contexte de décodage qui peut être utilisé en combinaison avec des signatures d’application personnalisées et URL un filtrage pour atteindre tous les objectifs mentionnés ci-dessus.

 

Nouveaux App-ID :

  • Office 365-enterprise-access : Ceci App-ID couvre les offres d’entreprise et d’entreprise de Microsoft pour Office 365. Il s’agit notamment des offres Office 365 Business Essentials, Office 365 Business, Office 365 Business Premium, Office 365 Entreprise E1, E3 et E5.
  • Office 365-consumer-access : cela AppID couvre les offres grand public d’Office. Il s’agit notamment d’Office 365 Famille, Office 365 Personnel, Office 365 Famille et Étudiant.

Nouveau contexte décoder pour correspondance :

  • http-req-ms-subdomain: Cela cherchera le nom de domaine dans le nom d’utilisateur pour accéder aux services d’entreprise Office 365.

Plan de libération :

  • 7 juillet 2016 : Palo Alto Networks publie les nouveaux App-ID et décode le contexte, mais uniquement en tant qu’espaces réservés sans activation fonctionnelle. Cela aidera nos clients à comprendre ce changement et à apporter les modifications nécessaires policy pour faciliter la migration de policy l’utilisation de cette fonctionnalité.
  • Nous avons un FAQ document complet pour aider nos clients avec ce changement sur la communauté en direct à https://live.paloaltonetworks.com/t5/Management-Articles/ FAQ- Office-365-Access-Control/ta-p/94949
  • Semaine du29 août 2016 : Palo Alto Networks active fonctionnellement ces deux nouveaux App-ID et décode le contexte afin que les clients puissent commencer à utiliser cette nouvelle fonctionnalité.

 

1. Conditions préalables

Cette fonctionnalité ne fonctionnera que si le trafic vers Office 365 est décrypté.

 

2. Contrôle d’accès Office 365 et ID Office 365 Appexistants

Le contrôle d’accès Office 365 fonctionnera avec tous les ID Office 365 Appexistants (illustrés ci-dessous). Il ne remplace pas ces App-ID, mais augmente leurs capacités à identifier non seulement le type d’accès (entreprise vs consommateur), mais également une instance de connexion de compte d’entreprise spécifique.

 

Picture1.png

 

3. Sécurisation du bureau 365 avec contrôle d’accès

En règle générale, pour toute solution SaaS, quand il s’agit d’accès, il y a deux notions, qui sont :

 

  • D’où vous viennent : Cela signifie le nom de connexion que vous utilisez pour accéder aux ressources. Par exemple, les utilisateurs de l’entreprise peuvent avoir plusieurs comptes pour accéder à Office 365, qui peut être soit leurs comptes de consommation ou un compte d’entreprise non autorisé qu’ils ont acheté à l’aide de courriels personnels. De nombreux clients aimeraient permettre l’accès à Office 365 à partir uniquement des comptes d’entreprise sanctionnés.
  • Où vous vous rendrez : Cela signifie ou URL les ressources que vous accédez. Par exemple, une personne dans la Société A peut inviter un utilisateur de la Société à un B dossier de collobration à l’aide de Microsoft Sharepoint. Quand il s’agit d’Office 365, la plupart des clients veulent contrôler cette activité en limitant les instances des utilisateurs d’Office 365 devraient être en mesure de se rendre à. Microsoft fait référence à cela en utilisant la terminologie de la Croix-locataire partage à l’aide de SharePoint.

4. Tirer parti de la personnalisation ApppourID sécuriser Office 365

Les clients peuvent désormais créer un login personnalisé App-ID pour Office 365 , en utilisant le nouveau contexte de décodage de « http-req-ms-subdomain ». Ce contexte de décodage recherche le nom de domaine dans le nom de connexion pour accéder à toute offre Office 365 Entreprise.

 

Par exemple, les clients peuvent créer un Office 365 Apppersonnalisé -ID qui autorisera les connexions à Office 365 uniquement à partir de noms d’utilisateur au format suivant :

  • User@mydomain.com
  • User@mydomain.org
  • User@mydomain.onmicrosoft.com

 

Une fois créé, il AppID peut ensuite être utilisé dans les stratégies avec des ID Office 365 Appexistants, limiter l’accès aux seuls comptes d’entreprise Office 365 approuvés tout en bloquant l’accès aux comptes d’entreprise Office 365 non approuvés et aux comptes de consommateur Office 365.

 

Ci-dessous, nous avons décrit les étapes nécessaires pour créer une telle coutume App-ID. Nous avons également fourni quelques exemples de résultats sur la façon dont une telle base de sécurité policy pourrait ressembler.

 

4.1 Création personnalisée App-ID pour sécuriser Office 365

Veuillez suivre les étapes décrites ci-dessous pour créer une connexion personnalisée App-ID pour Office 365 Entreprise.

 

  1. Sous Objets > Applications - cliquez sur « Ajouter » et configurez comme indiqué ci-dessous:

    Picture2.png
     
  2. Cliquez sur l’onglet « Signature » sous Application et configurez comme indiqué ci-dessous. Veuillez noter que le modèle est sensible à la casse. Vous pouvez configurer un modèle insensible à la casse dans PAN-OS la version 10.0+, voir ci-dessous :
    PAN-OS pré-10.0
    Picture3.png
    PAN-OS 10.0+
    exemple de motif insensible à la casse dans panos 10.0
  3. Une fois créé, vous pouvez utiliser le personnalisé App-ID en sécurité policy, comme indiqué ci-dessous. L’ensemble policy ci-dessous autorise l’accès aux offres Office 365 Entreprise, uniquement à partir des noms d’utilisateur approuvés pour « mondomaine ».

 

 Picture4.png

 

  

5. Exemple d’utilisation des cas et des politiques

 

Cas 1 :  Autoriser des cas spécifiques sanctionnés de comptes d’entreprise Office 365 tout en bloquant l’accès non autorisé à Office 365 à partir de comptes d’entreprise non sanctionnés ou de comptes de consommation.

 Picture5.png

Note: Les règles 3 et 5 peuvent également être combinées en une seule policy . Ceux-ci sont indiqués ici séparément pour donner d’éclaircissement.

 

Cas 2 : Autoriser les connexions de domaine sanctionnées et non autorisées pour les offres d’entreprise Office 365 tout en bloquant l’accès aux offres grand public d’Office 365.

Picture6.png

Note: Les règles 3 et 5 peuvent également être combinées en une seule policy . Ceux-ci sont indiqués ici séparément pour donner d’éclaircissement.

 

Cas 3 : Bloquez explicitement l’accès aux offres des consommateurs Office 365.

Picture7.png

 

6. Office 365 Access Control et SharePoint Instance

 

Partage inter-locataires : En utilisant SharePoint, un utilisateur de la SociétéA peut créer un dossier de collaboration ou partager un fichier avec un autre utilisateur de la Société. B Disons que la Société ne voudrait pas B que ses utilisateurs partagent quoi que ce soit en dehors de B l’instance de sharepoint de la Société. Les clients peuvent suivre les étapes ci-dessous pour créer une catégorie URL personnalisée et un profil de URL filtrage pour y remédier.

 

  1. Sous Objets > Catégorie d’objets personnalisés > URL , créez une catégorie personnalisée URL pour tout accès SharePoint :
    Picture8.png
     
  2. Sous Objets > profils de sécurité filtrage > URL , créez un nouveau URL profil de filtrage comme ci-dessous :
    Picture9.png
     
  3. Utilisez ce profil dans une sécurité policy qui permet un accès approuvé au niveau de l’entreprise à Office 365 Un exemple pourrait être la sécurité policy où nous avons autorisé la personnalisation App-ID (voir ci-dessous):

 Picture10.png

 

 

7. Office 365 Access Control et la matrice de support Office 365 existante

La matrice ci-dessous s’applique également au contrôle d’accès Office 365 comme il s’est appliqué aux ID Office 365App.

App-ID

AV/AS

Fichier Ident

Vuln

Données Ident

Fichier-Forward

SSL Capacités de décryptage

Web

Windows PC ou Mac OS Client

Windows Tablet Client

Ios

Android

Raison de pas

MS-office365-base

Oui

Oui

Oui

Oui

SSL Épinglage

Bureau à la demande

Oui

Oui

Oui

Oui

Oui

Oui

N/A

N/A

SSL Épinglage

MS-lync en ligne

Oui

Oui

Oui

Oui

SSL Client Auth

SharePoint-online

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

 

Outlook-web-online

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

SSL Épinglage

MS-lync-partage en ligne-apps

Oui

Oui

Oui

Oui

SSL Épinglage

MS-lync-en ligne-transfert de fichiers

Oui

Oui

Oui

Oui

Oui

Oui

Oui

SSL Client Auth

 

Voir aussi

FAQ - Contrôle d’accès Office 365

 

Envoyez des commentaires à @msandhu ou à @nasingh ou laissez un commentaire ou une question dans la section commentaires ci-dessous.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTDCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language