Guide de prise en charge Microsoft Office 365 accès contrôle terrain
Resolution
Contrôle d’accès Office 365 et ID Office 365 Appexistants
Sécurisation de Office 365 avec contrôle d’accès
Tirer parti de la personnalisation ApppourID sécuriser Office 365
Politiques et des exemples d’utilisation
Contrôle d’accès Office 365 et Instance Sharepoint
Matrice de prise en charge d’Office 365 App-ID, AV/AS, IPS, WildFire & Décryption
Résumé
Comme les entreprises continuent d’adopter Microsoft® Office 365™, il ya toujours l’accent sur la sécurité permettant. En règle générale, les entreprises veulent atteindre les objectifs suivants :
- D’avoir une visibilité sur l’entreprise et des consommateurs d’utilisation de Office 365 dans leurs réseaux.
- Permettre à des instances spécifiques sanctionnée par des comptes d’entreprise Office 365 tout en bloquant l’accès non autorisée à Office 365, soit des consommateurs ou des comptes de l’entreprise non autorisée.
- Pour avoir la possibilité de bloquer l’accès des consommateurs aux services Office 365.
- Pour contrôler et limiter la Croix-locataire partage des « SharePoint-online ».
Palo Alto Networks annonce la sortie de deux nouveaux App-ID et d’un nouveau contexte de décodage qui peut être utilisé en combinaison avec des signatures d’application personnalisées et URL un filtrage pour atteindre tous les objectifs mentionnés ci-dessus.
Nouveaux App-ID :
- Office 365-enterprise-access : Ceci App-ID couvre les offres d’entreprise et d’entreprise de Microsoft pour Office 365. Il s’agit notamment des offres Office 365 Business Essentials, Office 365 Business, Office 365 Business Premium, Office 365 Entreprise E1, E3 et E5.
- Office 365-consumer-access : cela AppID couvre les offres grand public d’Office. Il s’agit notamment d’Office 365 Famille, Office 365 Personnel, Office 365 Famille et Étudiant.
Nouveau contexte décoder pour correspondance :
- http-req-ms-subdomain: Cela cherchera le nom de domaine dans le nom d’utilisateur pour accéder aux services d’entreprise Office 365.
Plan de libération :
- 7 juillet 2016 : Palo Alto Networks publie les nouveaux App-ID et décode le contexte, mais uniquement en tant qu’espaces réservés sans activation fonctionnelle. Cela aidera nos clients à comprendre ce changement et à apporter les modifications nécessaires policy pour faciliter la migration de policy l’utilisation de cette fonctionnalité.
- Nous avons un FAQ document complet pour aider nos clients avec ce changement sur la communauté en direct à https://live.paloaltonetworks.com/t5/Management-Articles/ FAQ- Office-365-Access-Control/ta-p/94949
- Semaine du29 août 2016 : Palo Alto Networks active fonctionnellement ces deux nouveaux App-ID et décode le contexte afin que les clients puissent commencer à utiliser cette nouvelle fonctionnalité.
1. Conditions préalables
Cette fonctionnalité ne fonctionnera que si le trafic vers Office 365 est décrypté.
2. Contrôle d’accès Office 365 et ID Office 365 Appexistants
Le contrôle d’accès Office 365 fonctionnera avec tous les ID Office 365 Appexistants (illustrés ci-dessous). Il ne remplace pas ces App-ID, mais augmente leurs capacités à identifier non seulement le type d’accès (entreprise vs consommateur), mais également une instance de connexion de compte d’entreprise spécifique.
3. Sécurisation du bureau 365 avec contrôle d’accès
En règle générale, pour toute solution SaaS, quand il s’agit d’accès, il y a deux notions, qui sont :
- D’où vous viennent : Cela signifie le nom de connexion que vous utilisez pour accéder aux ressources. Par exemple, les utilisateurs de l’entreprise peuvent avoir plusieurs comptes pour accéder à Office 365, qui peut être soit leurs comptes de consommation ou un compte d’entreprise non autorisé qu’ils ont acheté à l’aide de courriels personnels. De nombreux clients aimeraient permettre l’accès à Office 365 à partir uniquement des comptes d’entreprise sanctionnés.
- Où vous vous rendrez : Cela signifie ou URL les ressources que vous accédez. Par exemple, une personne dans la Société A peut inviter un utilisateur de la Société à un B dossier de collobration à l’aide de Microsoft Sharepoint. Quand il s’agit d’Office 365, la plupart des clients veulent contrôler cette activité en limitant les instances des utilisateurs d’Office 365 devraient être en mesure de se rendre à. Microsoft fait référence à cela en utilisant la terminologie de la Croix-locataire partage à l’aide de SharePoint.
4. Tirer parti de la personnalisation ApppourID sécuriser Office 365
Les clients peuvent désormais créer un login personnalisé App-ID pour Office 365 , en utilisant le nouveau contexte de décodage de « http-req-ms-subdomain ». Ce contexte de décodage recherche le nom de domaine dans le nom de connexion pour accéder à toute offre Office 365 Entreprise.
Par exemple, les clients peuvent créer un Office 365 Apppersonnalisé -ID qui autorisera les connexions à Office 365 uniquement à partir de noms d’utilisateur au format suivant :
- User@mydomain.com
- User@mydomain.org
- User@mydomain.onmicrosoft.com
Une fois créé, il AppID peut ensuite être utilisé dans les stratégies avec des ID Office 365 Appexistants, limiter l’accès aux seuls comptes d’entreprise Office 365 approuvés tout en bloquant l’accès aux comptes d’entreprise Office 365 non approuvés et aux comptes de consommateur Office 365.
Ci-dessous, nous avons décrit les étapes nécessaires pour créer une telle coutume App-ID. Nous avons également fourni quelques exemples de résultats sur la façon dont une telle base de sécurité policy pourrait ressembler.
4.1 Création personnalisée App-ID pour sécuriser Office 365
Veuillez suivre les étapes décrites ci-dessous pour créer une connexion personnalisée App-ID pour Office 365 Entreprise.
- Sous Objets > Applications - cliquez sur « Ajouter » et configurez comme indiqué ci-dessous:
- Cliquez sur l’onglet « Signature » sous Application et configurez comme indiqué ci-dessous. Veuillez noter que le modèle est sensible à la casse. Vous pouvez configurer un modèle insensible à la casse dans PAN-OS la version 10.0+, voir ci-dessous :
PAN-OS pré-10.0
PAN-OS 10.0+
- Une fois créé, vous pouvez utiliser le personnalisé App-ID en sécurité policy, comme indiqué ci-dessous. L’ensemble policy ci-dessous autorise l’accès aux offres Office 365 Entreprise, uniquement à partir des noms d’utilisateur approuvés pour « mondomaine ».
5. Exemple d’utilisation des cas et des politiques
Cas 1 : Autoriser des cas spécifiques sanctionnés de comptes d’entreprise Office 365 tout en bloquant l’accès non autorisé à Office 365 à partir de comptes d’entreprise non sanctionnés ou de comptes de consommation.
Note: Les règles 3 et 5 peuvent également être combinées en une seule policy . Ceux-ci sont indiqués ici séparément pour donner d’éclaircissement.
Cas 2 : Autoriser les connexions de domaine sanctionnées et non autorisées pour les offres d’entreprise Office 365 tout en bloquant l’accès aux offres grand public d’Office 365.
Note: Les règles 3 et 5 peuvent également être combinées en une seule policy . Ceux-ci sont indiqués ici séparément pour donner d’éclaircissement.
Cas 3 : Bloquez explicitement l’accès aux offres des consommateurs Office 365.
6. Office 365 Access Control et SharePoint Instance
Partage inter-locataires : En utilisant SharePoint, un utilisateur de la SociétéA peut créer un dossier de collaboration ou partager un fichier avec un autre utilisateur de la Société. B Disons que la Société ne voudrait pas B que ses utilisateurs partagent quoi que ce soit en dehors de B l’instance de sharepoint de la Société. Les clients peuvent suivre les étapes ci-dessous pour créer une catégorie URL personnalisée et un profil de URL filtrage pour y remédier.
- Sous Objets > Catégorie d’objets personnalisés > URL , créez une catégorie personnalisée URL pour tout accès SharePoint :
- Sous Objets > profils de sécurité filtrage > URL , créez un nouveau URL profil de filtrage comme ci-dessous :
- Utilisez ce profil dans une sécurité policy qui permet un accès approuvé au niveau de l’entreprise à Office 365 Un exemple pourrait être la sécurité policy où nous avons autorisé la personnalisation App-ID (voir ci-dessous):
7. Office 365 Access Control et la matrice de support Office 365 existante
La matrice ci-dessous s’applique également au contrôle d’accès Office 365 comme il s’est appliqué aux ID Office 365App.
App-ID | AV/AS | Fichier Ident | Vuln | Données Ident | Fichier-Forward | SSL Capacités de décryptage | |||||
Web | Windows PC ou Mac OS Client | Windows Tablet Client | Ios | Android | Raison de pas | ||||||
MS-office365-base | N° | N° | Oui | N° | N° | Oui | N° | N° | Oui | Oui | SSL Épinglage |
Bureau à la demande | Oui | Oui | Oui | Oui | Oui | Oui | N° | N° | N/A | N/A | SSL Épinglage |
MS-lync en ligne | N° | N° | Oui | N° | N° | Oui | N° | N° | Oui | Oui | SSL Client Auth |
SharePoint-online | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui | |
Outlook-web-online | Oui | Oui | Oui | Oui | Oui | Oui | Oui | N° | Oui | Oui | SSL Épinglage |
MS-lync-partage en ligne-apps | N° | N° | Oui | N° | N° | Oui | N° | N° | Oui | Oui | SSL Épinglage |
MS-lync-en ligne-transfert de fichiers | Oui | Oui | Oui | N° | Oui | Oui | N° | N° | Oui | Oui | SSL Client Auth |
Voir aussi
FAQ - Contrôle d’accès Office 365
Envoyez des commentaires à @msandhu ou à @nasingh ou laissez un commentaire ou une question dans la section commentaires ci-dessous.