So blockieren Sie, dass sich Benutzer mithilfe der Kopfzeileneinfügung bei ihren persönlichen Microsoft-Konten anmelden
17019
Created On 04/04/23 15:07 PM - Last Modified 02/02/24 06:02 AM
Objective
Um Benutzer daran zu hindern, sich bei ihren persönlichen MS-Konten wie Outlook.com oder OneDrive anzumelden, verwenden Sie die Funktion zum Einfügen von Kopfzeilen, indem Sie den benutzerdefinierten Header auf die Domäne "login.live.com" anwenden.
Environment
- Palo Alto Firewalls
- Unterstütztes PAN-OS
- URL-Filter Profil
Procedure
- Erstellen Sie unter unserem URL-Filterprofil einen neuen Eintrag zum Einfügen von Headern:
- Name: Geben Sie einen Namen für diesen neuen Eintrag an, in unserem Test wäre es "Block-MS-Personal-Accounts"
- Wählen Sie unter Typ die Option "Benutzerdefiniert" aus.
- Fügen Sie unter Domänen diese Platzhalterdomäne "login.live.com" hinzu
- Fügen Sie unter Header den Header "sec-Restrict-Tenant-Access-Policy" mit dem Wert "restrict-msa" hinzu.
- Klicken Sie auf OK
- Fügen Sie die URL-Filterung an die gewünschte Sicherheitsrichtlinie an.
- Wenn der Benutzer versucht, sich zu authentifizieren, nachdem er seine Anmeldeinformationen angegeben hat, wird die folgende Fehlermeldung angezeigt.
Additional Information
- Sanktionierter Zugriff für Office365 mithilfe des Einfügens von HTTP-Headern
- Die vordefinierte Funktion "Microsoft Office365-Mandanteneinschränkungen" unter der Funktion zum Einfügen von Kopfzeilen blockiert nur die Authentifizierung von Benutzern mit einem anderen Unternehmenskonto. Dies gilt nicht für persönliche Microsoft-Konten.