Microsoft Office 365 访问控制现场支持指南
Resolution
Office 365 访问控制和现有 Office 365App -ID
Office 365 访问控制和 Sharepoint 实例
办公室 365App -ID ,AV /AS ,IPS ,WildFire &解密支持矩阵
概括
随着企业不断采用微软® Office 365™ ,继续关注安全地启用它。 通常,企业希望实现以下目标:
- 了解企业和消费者在其网络中对 Office 365 的使用情况。
- 允许 Office 365 企业帐户的特定批准实例,同时阻止未经批准的企业帐户或消费者帐户对 Office 365 的未经批准的访问。
- 能够阻止消费者访问 Office 365 服务。
- 控制和限制“SharePoint-online”的跨租户共享。
Palo Alto Networks 宣布发布两个新的App-ID 和新的解码上下文,可与自定义应用程序签名和URL过滤以实现上述所有目标。
新的App-ID:
- 办公室 365-企业访问:这个App-ID涵盖 Microsoft 的商业和企业产品办公室 365 . 这些包括办公室 365业务要点,办公室 365商业,办公室 365商务保费,办公室 365企业 E1、E3 和 E5 计划。
- 办公室 365-消费者访问:这个App-ID涵盖消费者产品办公室。 这些包括办公室 365家,办公室 365个人的,办公室 365家庭和学生。
模式匹配的新解码上下文:
- http-req-ms-subdomain:这将在用户名中查找域名进行访问办公室 365企业服务。
发布计划:
- 7 月 7 日th , 2016: Palo Alto Networks 发布新的App-ID 和解码上下文,但仅作为占位符而不在功能上启用。 这将帮助我们的客户了解这一变化并做出必要的policy改变以帮助policy迁移以使用此功能。
- 我们拥有广泛的FAQ文档以帮助我们的客户在 Live Community 上进行此更改,网址为https://live.paloaltonetworks.com/t5/Management-Articles/FAQ- Office-365-访问控制/ta-p/94949
- 8 月 29 日当周th , 2016: Palo Alto Networks 在功能上启用了这两个新的App-ID 和解码上下文,以便客户可以开始使用此新功能。
1.先决条件
此功能仅在流量到办公室 365被解密。
2. Office 365 访问控制和现有 Office 365App -ID
办公室 365访问控制将适用于所有现有的办公室 365App -ID(如下所示)。 它不会取代这些App-ID,但增强了它们的能力,不仅可以识别访问类型(企业与消费者),还可以识别特定的企业帐户登录实例。
3. 使用访问控制保护 Office 365
通常,对于任何 SaaS 解决方案,在访问方面,有两个概念,它们是:
- 你来自哪里:这意味着您用于访问资源的登录名。 例如,公司中的用户可以有多个帐户可以访问办公室 365,这可能是他们的消费者帐户,也可能是他们使用个人电子邮件购买的未经批准的企业帐户。 许多客户希望允许访问办公室 365仅来自受制裁的企业帐户。
- 你要去哪里:这意味着URL或您正在访问的资源。 例如,某人在公司A可以邀请用户公司B到使用 Microsoft Sharepoint 的协作文件夹。 到那个时刻办公室 365 ,大多数客户希望通过限制实例来控制此活动办公室 365用户应该可以访问。 Microsoft 通过使用 SharePoint 的跨租户共享术语来指代这一点。
4. 利用自定义App-ID保护 Office 365
客户现在可以创建自定义App-ID为了办公室 365登录,使用新的解码上下文“http-req-ms-子域”。 此解码上下文在登录名中查找域名以访问任何办公室 365企业产品。
例如,客户可以创建自定义办公室 365App -ID这将允许登录办公室 365仅来自以下格式的用户名:
- user@mydomain.com
- user@mydomain.org
- user@mydomain.onmicrosoft.com
一旦创建,这个App-ID然后可以在现有的策略中使用办公室 365App -ID,限制访问仅受批准办公室 365企业帐户,同时阻止对未经批准的访问办公室 365企业账户和办公室 365消费者账户。
下面,我们概述了创建此类自定义所需的步骤App-ID . 我们还提供了一些示例输出,说明这种安全性如何policy基地可能看起来像。
4.1 创建自定义App-ID保护 Office 365
请按照以下概述的步骤创建自定义App-ID为了办公室 365企业登录。
- 在下面对象 > 应用程序– 点击“添加”并进行如下配置:
- 单击应用程序下的“签名”选项卡并进行如下配置。 请注意,该模式区分大小写。 您可以配置一个不区分大小写的模式在PAN-OS10.0+,见下文:
PAN-OS 10.0 之前
PAN-OS10.0+
- 创建后,您可以使用自定义App-ID在安全方面policy, 如下所示。 这policy下面设置允许访问Office 365 企业产品,仅来自“mydomain”的认可用户名。
5. 示例用例和策略
情况1:允许特定的批准实例办公室 365企业帐户,同时阻止未经批准的访问Office 365 从未经批准的企业帐户或消费者帐户。
笔记:规则 3 和 5 也可以合并为一个policy. 为了清楚起见,这些在此处单独显示。
案例二:允许经批准和未经批准的域登录办公室 365企业产品,同时阻止访问办公室 365消费者产品。
笔记:规则 3 和 5 也可以合并为一个policy. 为了清楚起见,这些在此处单独显示。
案例3:明确阻止访问办公室 365消费者产品。
6. Office 365 访问控制和 SharePoint 实例
跨租户共享:使用 SharePoint,来自公司A可以创建协作文件夹或与其他用户共享文件公司B. 让我们这么说公司B不希望其用户与公司外部共享任何内容B的 SharePoint 实例。 客户可以按照以下步骤创建自定义URL类别和URL过滤配置文件来解决这个问题。
- 在对象 > 自定义对象下 >URL分类,新建自定义URL任何 SharePoint 访问的类别:
- 在对象 > 安全配置文件 >URL筛选,新建URL过滤配置文件如下:
- 在安全中使用此配置文件policy允许受制裁的企业级访问办公室 365一个例子可能是安全性policy我们允许自定义的地方App-ID (见下文):
7. Office 365 访问控制和现有的 Office 365 支持矩阵
下面的矩阵也适用于办公室 365访问控制,因为它已应用于办公室 365App -ID。
App-ID | AV/AS | 文件标识 | 漏洞 | 数据标识 | 文件转发 | SSL 解密能力 | |||||
网络 | 视窗PC或 MacOS客户 | Windows 平板电脑客户端 | iOS | 安卓 | 拒绝的原因 | ||||||
ms-office365-base | 不 | 不 | 是的 | 不 | 不 | 是的 | 不 | 不 | 是的 | 是的 | SSL 固定 |
按需办公 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 不 | 不 | N/A | N/A | SSL 固定 |
ms-lync-在线 | 不 | 不 | 是的 | 不 | 不 | 是的 | 不 | 不 | 是的 | 是的 | SSL 客户端身份验证 |
在线分享点 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | |
展望网络在线 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 不 | 是的 | 是的 | SSL 固定 |
ms-lync-在线应用程序共享 | 不 | 不 | 是的 | 不 | 不 | 是的 | 不 | 不 | 是的 | 是的 | SSL 固定 |
ms-lync-在线文件传输 | 是的 | 是的 | 是的 | 不 | 是的 | 是的 | 不 | 不 | 是的 | 是的 | SSL 客户端身份验证 |
也可以看看