MicrosoftOffice365アクセス制御フィールドサポートガイド
Resolution
Office365アクセス制御と既存のOffice365App -ID
Office365アクセス制御とSharepointインスタンス
Office 365App -ID 、AV /AS 、IPS 、WildFire &復号化サポートマトリックス
概要
企業が採用し続けるにつれてマイクロソフト® Office365™ 、それを安全に有効にすることに引き続き焦点が当てられています。 通常、企業は次の目標を達成したいと考えています。
- ネットワークでのOffice365の企業および消費者による使用を可視化するため。
- 認可されていないエンタープライズアカウントまたはコンシューマーアカウントからのOffice365への認可されていないアクセスをブロックしながら、Office365エンタープライズアカウントの特定の認可されたインスタンスを許可します。
- Office365サービスへの消費者のアクセスをブロックする機能を持つため。
- 「SharePoint-online」のテナント間共有を制御および制限します。
パロアルトネットワークスは、2つの新しいリリースを発表していますApp-IDと、カスタムアプリケーション署名およびURL上記のすべての目的を達成するためのフィルタリング。
新しいApp-ID:
- Office 365-エンタープライズアクセス:これApp-IDマイクロソフトが提供するビジネスおよびエンタープライズ向けの製品をカバーしていますOffice 365 。 これらには以下が含まれますOffice 365ビジネスエッセンシャル、 Office 365仕事、 Office 365ビジネスプレミアム、 Office 365エンタープライズE1、E3、およびE5プラン。
- Office 365-消費者アクセス:これApp-IDからの消費者向け製品をカバーしていますオフィス。 これらには以下が含まれますOffice 365家、 Office 365個人的、 Office 365家と学生。
パターン一致の新しいデコードコンテキスト:
- http-req-ms-subdomain:これは、アクセスするためのユーザー名でドメイン名を検索しますOffice 365エンタープライズサービス。
リリース計画:
- 7月7日th 、2016年:パロアルトネットワークスが新しいApp-IDとデコードコンテキスト。ただし、機能的に有効にせずにプレースホルダーとしてのみ。 これは、お客様がこの変更を理解し、必要なものにするのに役立ちますpolicy支援するための変更policyこの機能を使用するための移行。
- 豊富なFAQライブコミュニティでこの変更についてお客様を支援するためのドキュメントhttps://live.paloaltonetworks.com/t5/Management-Articles/FAQ- Office-365-Access-Control / ta-p / 94949
- 8月29日の週th 、2016年:パロアルトネットワークスは、これら2つの新しい機能を有効にしますApp-顧客がこの新機能の使用を開始できるように、IDとデコードコンテキスト。
1.前提条件
この機能は、 Office 365復号化されます。
2.Office365アクセス制御と既存のOffice365App -ID
Office 365アクセス制御は、既存のすべてで機能しますOffice 365App -ID(以下に表示)。 これらを置き換えるものではありませんApp-IDですが、アクセスのタイプ(エンタープライズとコンシューマー)だけでなく、特定のエンタープライズアカウントのログインインスタンスも識別する機能を強化します。
3.アクセス制御によるOffice365の保護
通常、どのSaaSソリューションでも、アクセスに関しては、次の2つの概念があります。
- あなたがどこから来ているのか:これは、リソースへのアクセスに使用しているログイン名を意味します。 たとえば、社内のユーザーは複数のアカウントにアクセスできますOffice 365、これは、消費者アカウントか、個人の電子メールを使用して購入した認可されていない企業アカウントのいずれかです。 多くのお客様がアクセスを許可したいと考えていますOffice 365認可されたエンタープライズアカウントからのみ。
- あなたが到達している場所:これは、URLまたはアクセスしているリソース。 たとえば、会社Aからユーザーを招待できます会社BMicrosoftSharepointを使用してコラボレーションフォルダーに移動します。 それになるとOffice 365 、ほとんどの顧客は、のインスタンスを制限することによってこのアクティビティを制御したいと考えていますOffice 365ユーザーはにアクセスできる必要があります。 Microsoftは、SharePointを使用したテナント間共有の用語を使用してこれを参照しています。
4.カスタムの活用App-ID Office365を保護する
顧客はカスタムを作成できるようになりましたApp-ID為にOffice 365ログイン、の新しいデコードコンテキストを使用「http-req-ms-subdomain」。 このデコードコンテキストは、ログイン名からドメイン名を探してアクセスしますOffice 365エンタープライズオファリング。
たとえば、顧客はカスタムを作成できますOffice 365App -IDこれにより、 Office 365次の形式のユーザー名からのみ:
- user@mydomain.com
- user@mydomain.org
- user@mydomain.onmicrosoft.com
作成したら、これApp-IDその後、既存のポリシーで使用できますOffice 365App -ID、認可されたもののみへのアクセスを制限するOffice 365認可されていないアクセスをブロックしながらエンタープライズアカウントOffice 365エンタープライズアカウントとOffice 365消費者アカウント。
以下に、そのようなカスタムを作成するために必要な手順の概要を示しますApp-ID 。 また、そのようなセキュリティのサンプル出力もいくつか提供しています。policyベースはのように見えるかもしれません。
4.1カスタムの作成App-ID Office365を保護する
カスタムを作成するには、以下の手順に従ってくださいApp-ID為にOffice 365エンタープライズログイン。
- 下オブジェクト>アプリケーション– [追加]をクリックして、以下に示すように構成します。
- [アプリケーション]の下の[署名]タブをクリックして、以下のように構成します。 パターンでは大文字と小文字が区別されることに注意してください。 あなたは設定することができます大文字と小文字を区別しないパターンのPAN-OS10.0+、以下を参照:
PAN-OS 10.0より前
PAN-OS10.0+
- 作成したら、カスタムを使用できますApp-IDセキュリティでpolicy、以下に示すように。 Thepolicy以下に設定すると、 「mydomain」の認可されたユーザー名からのみ提供されるOffice365エンタープライズ製品。
5.ユースケースとポリシーの例
ケース1:の特定の認可されたインスタンスを許可するOffice 365認可されていないアクセスをブロックしながらエンタープライズアカウントOffice 365認可されていないエンタープライズアカウントまたはコンシューマーアカウントのいずれか。
ノート:ルール3と5を組み合わせて1つにすることもできますpolicy。 わかりやすくするために、これらはここで個別に示されています。
ケース2:認可されたドメインと認可されていないドメインのログインを許可するOffice 365アクセスをブロックしながらエンタープライズ製品Office 365消費者向け製品。
ノート:ルール3と5を組み合わせて1つにすることもできますpolicy。 わかりやすくするために、これらはここで個別に示されています。
ケース3:へのアクセスを明示的にブロックするOffice 365消費者向け製品。
6.Office365アクセス制御とSharePointインスタンス
テナント間の共有:SharePointを使用して、会社Aコラボレーションフォルダを作成したり、から別のユーザーとファイルを共有したりできます会社B。 それを言わせてください会社Bユーザーが社外で何かを共有することを望まないBのSharePointのインスタンス。 お客様は、以下の手順に従ってカスタムを作成できますURLカテゴリとURLこれに対処するためのフィルタリングプロファイル。
- [オブジェクト]>[カスタムオブジェクト]>URLカテゴリ、新しいカスタムを作成URLSharePointアクセスのカテゴリ:
- [オブジェクト]>[セキュリティプロファイル]>URLフィルタリング、新しい作成URL以下のようなフィルタリングプロファイル:
- このプロファイルをセキュリティで使用するpolicyこれにより、認可された企業レベルのアクセスが可能になりますOffice 365一例として、セキュリティが考えられます。policyカスタムを許可した場所App-ID (下記参照):
7.Office365アクセス制御と既存のOffice365サポートマトリックス
以下のマトリックスは、 Office 365適用されたアクセス制御Office 365App -ID。
App-ID | AV/AS | ファイルID | Vuln | データID | ファイル転送 | SSL 復号化機能 | |||||
ウェブ | ウィンドウズPCまたはMacOSクライアント | Windowsタブレットクライアント | iOS | アンドロイド | いいえの理由 | ||||||
ms-office365-base | いいえ | いいえ | はい | いいえ | いいえ | はい | いいえ | いいえ | はい | はい | SSL ピン留め |
オフィスオンデマンド | はい | はい | はい | はい | はい | はい | いいえ | いいえ | N/A | N/A | SSL ピン留め |
ms-lync-オンライン | いいえ | いいえ | はい | いいえ | いいえ | はい | いいえ | いいえ | はい | はい | SSL クライアント認証 |
sharepoint-オンライン | はい | はい | はい | はい | はい | はい | はい | はい | はい | はい | |
Outlook-Web-Online | はい | はい | はい | はい | はい | はい | はい | いいえ | はい | はい | SSL ピン留め |
ms-lync-online-apps-sharing | いいえ | いいえ | はい | いいえ | いいえ | はい | いいえ | いいえ | はい | はい | SSL ピン留め |
ms-lync-online-file-transfer | はい | はい | はい | いいえ | はい | はい | いいえ | いいえ | はい | はい | SSL クライアント認証 |
も参照してください