Verwenden der HTTP Headereinfügung für den sanktionierten Zugriff auf Office365 Enterprise

24495

Created On 02/28/23 23:46 PM - Last Modified 03/25/24 19:46 PM

Objective

Bisher wurden nur sanktionierte Instanzen von Office365-Unternehmenskonten zugelassen und nicht sanktionierte Unternehmens- und Verbraucherkonten blockiert, indem eine benutzerdefinierte Anwendung basierend auf der sanktionierten Domäne erstellt wurde. Nachfolgend finden Sie den vorherigen KB Artikel für die alte Konfiguration:

MICROSOFT OFFICE 365 ACCESS CONTROL FIELD SUPPORT GUIDE

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTDCA0

Dies ist jedoch aufgrund einiger von Microsoft vorgenommener Änderungen nicht mehr möglich, was nun dazu führt, dass jeder Datenverkehr, der der benutzerdefinierten Anwendung für die sanktionierten Domänen entspricht, als vordefinierte Anwendung office-365-base identifiziert wird.

Die Funktion HTTP zum Einfügen von Kopfzeilen löst dieses Problem. Das Feature ändert den HTTP GET Anforderungsheader mit einer Liste von Mandanten für Office365, auf die Benutzer im Netzwerk Ihrer Organisation zugreifen dürfen. Wenn die HTTP GET Anforderung bei Microsoft eingeht, ermittelt Microsoft, ob das Office365-Konto, bei dem sich der Benutzer anmeldet, Teil der Liste der zulässigen Mandanten ist oder nicht. Wenn das Konto nicht Teil eines zulässigen Mandanten ist, wird es von Microsoft blockiert.

In diesem Artikel erfahren Sie, wie Sie das Einfügen von Kopfzeilen so konfigurieren HTTP , dass nicht genehmigte Unternehmens- und/oder Verbraucherkonten im Netzwerk Ihrer Organisation nicht autorisiert auf Office365-Anwendungen zugreifen können.

Environment

Palo Alto firewall mit PAN-OS 8.1 oder höher.
HTTP Funktion zum Einfügen von Headern.

Procedure

Die 3 grundlegenden Konfigurationsanforderungen für HTTP das Einfügen von Headern mit Office365 sind:

Der Datenverkehr zu den Office365-Anmeldedomänen muss entschlüsselt werden.
A URL Filterprofil mit einem HTTP Eintrag zum Einfügen von Headern.
A SicherheitPolicy, die den Zugriff auf die Office365-Anmeldedomänen mit dem angewendeten URL Filterprofil von #2 ermöglicht.

Konfigurationen:

1) (Optional, aber bewährte Methode) Erstellen Sie eine benutzerdefinierte URL Kategorie für die Microsoft-Anmeldedomänen, auf die Sie Zugriff gewähren möchten.
(Nicht erforderlich, wenn Sie über eine Sicherheit Policy verfügen, die Datenverkehr zu den Microsoft-Anmeldedomänen zulässt, eine EntschlüsselungPolicy, die Datenverkehr zu den Microsoft-Anmeldedomänen AND entschlüsselt.)

1a) Microsoft-Anmeldedomänen, die zum Blockieren von externen Unternehmenskonten zugelassen werden sollen:

1b) Microsoft-Anmeldedomänen, die zum Blockieren von Verbraucherkonten zugelassen werden sollen:

Beispiel für eine benutzerdefinierte URL Kategorie

2) Erstellen Sie ein URL Filterprofil. Wenn Sie eine benutzerdefinierte URL Kategorie erstellt haben, überprüfen Sie auf der Registerkarte Kategorien des URL Filterprofils, ob die Felder "Websitezugriff" und "Übermittlung von Benutzeranmeldeinformationen" auf "Zulassen" festgelegt sind.

Beispiel URL für ein Filterprofil

3) Erstellen Sie auf der HTTP Registerkarte Header-Einfügen des URL Filterprofils einen neuen Eintrag. Sie müssen separate Einträge für die Sperrung von externen Unternehmenskonten und die Sperrung von Verbraucherkonten vornehmen:

Beispiel für Einträge zum Einfügen von HTTP Kopfzeilen

3a) Um den Zugriff für externe Unternehmenskonten zu blockieren, verwenden Sie die folgenden Werte:

Name: <Erstellen Sie einen benutzerdefinierten Namen für den Eintrag>
Typ: Microsoft Office365-Mandanteneinschränkungen
Domain (wird automatisch gefüllt):
- login.microsoftonline.com
- login.windows.net
- login.microsoft.com
Header:
- Restrict-Access-To-Tenants: A Durch Kommas getrennte Liste von Mandanten, auf die Benutzer zugreifen sollen.
- Restrict-Access-Context: Einzelnes VerzeichnisID, A das verwendet wird, um zu deklarieren, welcher Mandant die Mandanteneinschränkungen festlegt.
- (Hinweis: Sie können das Kontrollkästchen Protokoll aktivieren, um die Protokollierung dieses Header-Einfügeeintrags zu aktivieren.)

3b) Um den Zugriff für Verbraucherkonten zu sperren, verwenden Sie die folgenden Werte:

Name: <Erstellen Sie einen benutzerdefinierten Namen für den Eintrag>
Typ: Custom
Domäne: login.live.com
Header:
- sec-Restrict-Tenant-Access-: restrict-msaPolicy
- (Hinweis: Sie können das Kontrollkästchen Protokoll aktivieren, um die Protokollierung dieses Header-Einfügeeintrags zu aktivieren.)

4) Erstellen Sie eine Entschlüsselung Policy , die auf "Entschlüsseln" eingestellt ist und deren Typ auf der Registerkarte "Optionen" auf "Forward Proxy"SSL festgelegt ist. Wenn Sie eine benutzerdefinierte URL Kategorie erstellt haben, können Sie diese auf der Registerkarte Service/URL Kategorie hinzufügen, um den Bereich von policy.

Beispiel für die Entschlüsselung Policy

5) Erstellen Sie eine Sicherheit Policy , die Datenverkehr von Ihren Benutzern zu den Microsoft-Anmeldedomänen zulässt und auf die das URL Filterprofil aus Schritt 2 angewendet wird. Wenn Sie eine benutzerdefinierte URL Kategorie erstellt haben, können Sie diese auf der Registerkarte Service/URL Kategorie hinzufügen, um den Bereich von policy.

Beispiel Sicherheit Policy

6) Überprüfen Sie, ob HTTP das Einfügen von Headern funktioniert.

Die folgende Antwortseite von Microsoft sollte angezeigt werden, wenn ein Benutzer versucht, auf ein externes Unternehmenskonto und/oder ein Verbraucherkonto zuzugreifen, während er sich in Ihrem Netzwerk befindet:

Additional Information

Weitere Informationen zu Office365-Mandanteneinschränkungen und den Konfigurationen zum Einfügen von Headern finden Sie in den folgenden Microsoft-Artikeln:

Beschränken des Zugriffs auf einen Mandanten: https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions
Office 365-URLs und IP Adressbereiche: https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?redirectSourcePath=%252farticle%252fOffice-365-URLs-and-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2&view=o365-worldwideIP-

Palo Alto Admin Guide Artikel zum Einfügen von HTTP Headern:

HTTP Header-Einfügung: https://docs.paloaltonetworks.com/pan-os/10-2/-web-interface-help/objects/objects-security-profiles-url-filtering/pan-oshttp-header-insertion
Schaffen HTTP Header-Einfügeeinträge mit vordefinierten Typen: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-predefined
Benutzerdefiniert HTTP erstellen Einträge zum Einfügen von Headern: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-custom

Weitere hilfreiche Artikel im Palo Alto Admin Guide:

Erstellen Sie eine benutzerdefinierte URL Kategorie: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-oscustom-url-categories
Filterung konfigurierenURL: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-osconfigure-url-filtering
Forward-Proxy konfigurierenSSL: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/decryption/pan-osconfigure-ssl-forward-proxy
Erstellen Sie eine SicherheitsregelPolicy: https://docs.paloaltonetworks.com/pan-os/10-2/-admin//security-/pan-ospolicycreate-a-security--policypolicyrule

Weitere verwandte Artikel: