常见问题-办公室 365 访问控制

在8月29日的一周, 2016 帕洛阿尔托网络发布了对微软^® Office 365™ 应用程序 ID 的更改. 若要允许我们的客户能够为这一变化作好准备，避免出现任何问题，帕洛阿尔托网络释放以下占位符应用程序 Id 和解码上下文作为应用程序和威胁更新版 597 的一部分。为确保现有的 Office 365 政策在8月29日的一周后继续工作, 我们强烈鼓励客户阅读并充分理解这份文件.

新的应用程序 （仅为现在的占位符）：

• office365-企业-访问
• office365 消费者访问 

自定义应用程序签名 （现在唯一占位符） 的"模式匹配"新解码上下文

• http-招聘-ms-子域

常问的问题：

问： 为什么帕洛阿尔托网络进行此更改？

A。目前, 为了安全地启用 Office 365, 我们的客户使用 "ms-office365" 和 "ms onedrive" 应用程序 id. 然而，我们发现客户还想实现以下目标：  

• 要深入了解 Office 365 他们网络中的企业和消费者使用。
• 同时禁止擅自的存取到 Office 365，无论是从未经批准的企业帐户或消费者帐户允许特定制裁的实例的 Office 365 企业帐户。
• 要有能力阻止消费者访问 Office 365 服务。
• 要控制和限制跨租户共享的"sharepoint 在线"的能力。

问： 由于这种更改获得哪些新功能？

A。由于此更改, 客户将获得以下新功能:

• 对企业和消费者的可见性在他们的网络使用了 Office365。
• 创建"自定义应用程序"为他们特定的 Office 365 企业登录。此应用程序 ID 将基于用来登录到办公室 365 企业帐户的域名。例如, 如果用户使用诸如 user@mydomain.org user@mydomain、user@mydomain.com user@mydomain com 或 user@mydomain.onmicrosoft.com user@mydomain 等登录名登录到 Office 365, 则可以创建一个 "自定义应用程序" 来查找域名 "onmicrosoft". 一旦创建，可以在政策和现有办公室 365 应用程序-Id 来限制对 Office 365 只使用认可的企业广泛帐户访问中配置此应用程序 ID。
• 阻止对消费者版的 Office 365 服务的访问。
• 客户可以有选择性地控制跨租户共享的"sharepoint 在线"使用 URL 过滤和自定义应用程序 Id。

我需要启用 SSL 解密，若要使用此功能吗？

是的, 需要 SSL 解密才能拥有此功能.

问： 我会受到此更改如果我不使用 SSL 解密为 Office 365 交通吗？

不, 如果您没有为 Office 365 通信使用 SSL 解密, 则此更改不会影响您.

问： 我，我受此更改，如果上游设备执行 SSL 解密，并且防火墙只获取解密的通信量。

A.在这种情况下，是的你会受此更改，您应该更改以下建议。

问： 如何创建"自定义应用程序"我具体实例的 Office365 帐户？

A。步骤1。 对象下 > 应用程序 — — 点击"添加"和配置的值，如下所示。

   步骤 2. 单击"签名"选项卡和配置的值，如下所示。

步骤 3. 将保存。提交配置。

问： 我会如何受到这种变化？如何保证业务连续性安全启用 Office 365 应用程序？

A。截至 7月6日, 2016 与内容版本 597, 帕洛阿尔托网络正在添加 "office365-enterprise-access" 和 "office365-consumer-access" 作为占位符应用程序 id 到我们的应用程序目录. 这些应用程序 Id 被提供作为占位符，从而使我们的客户对他们提前的防火墙进行必要的政策变化。这两个占位符应用程序 id 将不会影响防火墙策略处理, 或任何现有的应用程序 id 驱动规则, 直到 8月29日2016的一周, 当它们在功能上启用时.

帕洛阿尔托网络将取代占位符应用程序 id 与正式的应用程序 id "office365-enterprise-access" 和 "office365-consumer-access" 在8月29日的一周, 2016.

为了促进这种过渡，帕洛阿尔托网络打算按照时间轴概述如下：

• 7月5日, 2016: 帕洛阿尔托网络提供占位符应用程序 id "office365-enterprise-access" 和 "office365-consumer-access",每周内容应用程序和威胁更新 596. 有了这个内容版本, 帕洛阿尔托网络还发布了一个 "http-必需-ms-子域" 的自定义解码上下文。如上这可以用于创建所需的自定义应用程序 Id，用于标识特定认可的企业进入办公室 365。这些两个的应用程序 Id，除了自定义的应用程序 Id 可以用于安全地更新防火墙策略和准备宣布更改。

• 示例过渡策略以启用 Office 365 的所有访问权限。

• 示例策略与自定义应用程序 ID，"只是"使 Office 365 获得认可的企业帐户。

• 示例策略以"只"启用 Office 365 访问任何企业帐户。

•  8月30日^日, 2016: 帕洛阿尔托网络功能上启用 "office365-enterprise-access" 和 "office365-consumer-access" 应用程序 id. 这些应用程序 Id 将充分运作和配置的策略会强加任何交通注定 Office 365 服务。如果按照上述指导已更新安全策略，客户现在将有办公室 365 服务的访问控制。

Q.如果我不添加 "office365-enterprise-access" 或为企业登录到 Office 365 创建的自定义应用程序 ID 会发生什么情况 ？

A.如果不允许使用 "office365-enterprise-access" 或企业特定的自定义应用程序 ID, Office365 服务将无法正常工作. 我们强烈建议客户将上面描述的更改包括在内, 以便为我们打算在 8月29日2016周内提供的更新做好准备.

如果我不做将"office365-消费者-访问"应用程序 Id 添加到我的政策，会发生什么？

如果没有明确允许的 "office365-consumer-access", 用户将无法访问 Office 365 服务的使用者版本. 我们强烈建议客户将上面描述的更改包括在内, 以便为我们打算在 8月29日2016周内提供的更新做好准备.

问： 如何将这种变化影响现有的"ms office365"和"ms 另"应用程序 Id？

A。现有的应用程序 id 将继续工作到 8月28日2016. 但是, 随着 8月29日2016周的内容更新^{, 与}用户登录相关的部分流量将被标识为所有 ms-office365 应用程序 id 的 "office365-enterprise-access" 或 "office365-consumer-access". 这意味着这些应用程序 Id 应该存在于安全策略按照上文所作的建议。

问： 什么版本的泛 OS 会受此更改？

A。所有当前支持的泛 OS 软件版本更新到8月29日或以后的一周或更远的版本的内容和威胁更新时, 可能会受到此更改的影响.

问： 我有更改的上述建议，但我看不到新的应用程序 Id 或自定义的应用程序 ID 被触发。

在2016年8月29日的内容更新后, 这些占位符应用程序 id 和解码上下文将在功能上启用时才会起作用. 然后直到这些占位符应用程序 Id 的想法和解码方面协助我们的客户是为 2016 年 8 月 29 日的变化做好准备。

请参见

Microsoft Office 365 访问控制领域支持指南

向@msandhu 或 @nasingh 发送注释, 或在下面的评论部分中留下评论或问题.