Verwenden der HTTP Headereinfügung für den sanktionierten Zugriff auf Office365 Enterprise
Objective
Bisher wurden nur sanktionierte Instanzen von Office365-Unternehmenskonten zugelassen und nicht sanktionierte Unternehmens- und Verbraucherkonten blockiert, indem eine benutzerdefinierte Anwendung basierend auf der sanktionierten Domäne erstellt wurde. Nachfolgend finden Sie den vorherigen KB Artikel für die alte Konfiguration:
MICROSOFT OFFICE 365 ACCESS CONTROL FIELD SUPPORT GUIDE
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTDCA0
Dies ist jedoch aufgrund einiger von Microsoft vorgenommener Änderungen nicht mehr möglich, was nun dazu führt, dass jeder Datenverkehr, der der benutzerdefinierten Anwendung für die sanktionierten Domänen entspricht, als vordefinierte Anwendung office-365-base identifiziert wird.
Die Funktion HTTP zum Einfügen von Kopfzeilen löst dieses Problem. Das Feature ändert den HTTP GET Anforderungsheader mit einer Liste von Mandanten für Office365, auf die Benutzer im Netzwerk Ihrer Organisation zugreifen dürfen. Wenn die HTTP GET Anforderung bei Microsoft eingeht, ermittelt Microsoft, ob das Office365-Konto, bei dem sich der Benutzer anmeldet, Teil der Liste der zulässigen Mandanten ist oder nicht. Wenn das Konto nicht Teil eines zulässigen Mandanten ist, wird es von Microsoft blockiert.
In diesem Artikel erfahren Sie, wie Sie das Einfügen von Kopfzeilen so konfigurieren HTTP , dass nicht genehmigte Unternehmens- und/oder Verbraucherkonten im Netzwerk Ihrer Organisation nicht autorisiert auf Office365-Anwendungen zugreifen können.
Environment
- Palo Alto firewall mit PAN-OS 8.1 oder höher.
- HTTP Funktion zum Einfügen von Headern.
Procedure
3 grundlegenden Konfigurationsanforderungen für HTTP das Einfügen von Headern mit Office365 sind:
DieDer Datenverkehr zu den Office365-Anmeldedomänen muss entschlüsselt werden.
A URL Filterprofil mit einem HTTP Eintrag zum Einfügen von Headern.
A SicherheitPolicy, die den Zugriff auf die Office365-Anmeldedomänen mit dem angewendeten URL Filterprofil von #2 ermöglicht.
Konfigurationen:
(Nicht erforderlich, wenn Sie über eine Sicherheit Policy verfügen, die Datenverkehr zu den Microsoft-Anmeldedomänen zulässt, eine EntschlüsselungPolicy, die Datenverkehr zu den Microsoft-Anmeldedomänen AND entschlüsselt.)
login.microsoftonline.com
login.windows.net
login.microsoft.com
1b) Microsoft-Anmeldedomänen, die zum Blockieren von Verbraucherkonten zugelassen werden sollen:
login.live.com
Beispiel für eine benutzerdefinierte URL Kategorie
Beispiel URL für ein Filterprofil
3) Erstellen Sie auf der HTTP Registerkarte Header-Einfügen des URL Filterprofils einen neuen Eintrag. Sie müssen separate Einträge für die Sperrung von externen Unternehmenskonten und die Sperrung von Verbraucherkonten vornehmen:
Beispiel für Einträge zum Einfügen von HTTP Kopfzeilen
3a) Um den Zugriff für externe Unternehmenskonten zu blockieren, verwenden Sie die folgenden Werte:
Name: <Erstellen Sie einen benutzerdefinierten Namen für den Eintrag>
Typ: Microsoft Office365-Mandanteneinschränkungen
Domain (wird automatisch gefüllt):
login.microsoftonline.com
login.windows.net
login.microsoft.com
Header:
Restrict-Access-To-Tenants: A Durch Kommas getrennte Liste von Mandanten, auf die Benutzer zugreifen sollen.
Restrict-Access-Context: Einzelnes VerzeichnisID, A das verwendet wird, um zu deklarieren, welcher Mandant die Mandanteneinschränkungen festlegt.
(Hinweis: Sie können das Kontrollkästchen Protokoll aktivieren, um die Protokollierung dieses Header-Einfügeeintrags zu aktivieren.)
3b) Um den Zugriff für Verbraucherkonten zu sperren, verwenden Sie die folgenden Werte:
Name: <Erstellen Sie einen benutzerdefinierten Namen für den Eintrag>
Typ: Custom
Domäne: login.live.com
Header:
sec-Restrict-Tenant-Access-: restrict-msaPolicy
(Hinweis: Sie können das Kontrollkästchen Protokoll aktivieren, um die Protokollierung dieses Header-Einfügeeintrags zu aktivieren.)
4) Erstellen Sie eine Entschlüsselung Policy , die auf "Entschlüsseln" eingestellt ist und deren Typ auf der Registerkarte "Optionen" auf "Forward Proxy"SSL festgelegt ist. Wenn Sie eine benutzerdefinierte URL Kategorie erstellt haben, können Sie diese auf der Registerkarte Service/URL Kategorie hinzufügen, um den Bereich von policy.
Beispiel für die Entschlüsselung Policy
5) Erstellen Sie eine Sicherheit Policy , die Datenverkehr von Ihren Benutzern zu den Microsoft-Anmeldedomänen zulässt und auf die das URL Filterprofil aus Schritt 2 angewendet wird. Wenn Sie eine benutzerdefinierte URL Kategorie erstellt haben, können Sie diese auf der Registerkarte Service/URL Kategorie hinzufügen, um den Bereich von policy.
Beispiel Sicherheit Policy
Die folgende Antwortseite von Microsoft sollte angezeigt werden, wenn ein Benutzer versucht, auf ein externes Unternehmenskonto und/oder ein Verbraucherkonto zuzugreifen, während er sich in Ihrem Netzwerk befindet:
Additional Information
Weitere Informationen zu Office365-Mandanteneinschränkungen und den Konfigurationen zum Einfügen von Headern finden Sie in den folgenden Microsoft-Artikeln:
- Beschränken des Zugriffs auf einen Mandanten: https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions
- Office 365-URLs und IP Adressbereiche: https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?redirectSourcePath=%252farticle%252fOffice-365-URLs-and-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2&view=o365-worldwideIP-
Palo Alto Admin Guide Artikel zum Einfügen von HTTP Headern:
- HTTP Header-Einfügung: https://docs.paloaltonetworks.com/pan-os/10-2/-web-interface-help/objects/objects-security-profiles-url-filtering/pan-oshttp-header-insertion
- Schaffen HTTP Header-Einfügeeinträge mit vordefinierten Typen: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-predefined
- Benutzerdefiniert HTTP erstellen Einträge zum Einfügen von Headern: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-custom
Weitere hilfreiche Artikel im Palo Alto Admin Guide:
- Erstellen Sie eine benutzerdefinierte URL Kategorie: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-oscustom-url-categories
- Filterung konfigurierenURL: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-osconfigure-url-filtering
- Forward-Proxy konfigurierenSSL: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/decryption/pan-osconfigure-ssl-forward-proxy
- Erstellen Sie eine SicherheitsregelPolicy: https://docs.paloaltonetworks.com/pan-os/10-2/-admin//security-/pan-ospolicycreate-a-security--policypolicyrule
Weitere verwandte Artikel:
- HTTP HEADER INSERTION WORKAROUND FOR HTTP/2,0 SAAS APPLICATIONS: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VSRCA2