Comment empêcher les utilisateurs de se connecter à leurs comptes personnels Microsoft à l’aide de l’insertion d’en-tête
17015
Created On 04/04/23 15:07 PM - Last Modified 02/02/24 06:02 AM
Objective
Pour empêcher les utilisateurs de se connecter à leurs comptes personnels MS tels que Outlook.com ou OneDrive, utilisez la fonction d’insertion d’en-tête en appliquant l’en-tête personnalisé au domaine « login.live.com ».
Environment
- Pare-feu Palo Alto
- PAN-OS pris en charge
- Profil de filtrage d'URL
Procedure
- Sous notre profil de filtrage d’URL , créez une nouvelle entrée d’insertion d’en-tête :
- Nom : Donnez un nom à cette nouvelle entrée, dans notre test ce serait « Block-MS-Personal-Accounts »
- Sous type, choisissez « personnalisé »
- Sous Domaines, ajoutez ce domaine générique « login.live.com »
- Sous En-têtes, ajoutez l’en-tête « sec-Restrict-Tenant-Access-Policy » avec la valeur « restrict-msa ».
- Cliquez sur OK
- Attachez le filtrage d’URL à la stratégie de sécurité souhaitée.
- Lorsque l’utilisateur tente de s’authentifier, après avoir fourni ses informations d’identification, le message d’erreur suivant s’affiche.
Additional Information
- Accès autorisé pour Office365 à l’aide de l’insertion d’en-tête HTTP
- La fonctionnalité prédéfinie d’insertion d’en-tête « Restrictions de locataire Microsoft Office365 » empêche uniquement les utilisateurs de s’authentifier à l’aide d’un autre compte d’entreprise. Cela ne s’applique pas aux comptes Microsoft Personal.