Uso de HTTP la inserción de encabezados para el acceso autorizado a Office365 Enterprise

Uso de HTTP la inserción de encabezados para el acceso autorizado a Office365 Enterprise

24613
Created On 02/28/23 23:46 PM - Last Modified 03/25/24 19:46 PM


Objective


Anteriormente, solo permitía instancias autorizadas de cuentas empresariales de Office365 y bloqueaba cuentas empresariales y de consumidor no autorizadas mediante la creación de una aplicación personalizada basada en el dominio autorizado. A continuación se muestra el artículo anterior para la configuración anterior KB :
 

MICROSOFT OFFICE 365 ACCESS CONTROL FIELD SUPPORT GUIDE

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTDCA0
 

Sin embargo, esto ya no es posible debido a algunos cambios realizados por Microsoft que ahora hacen que cualquier tráfico correspondiente a la aplicación personalizada para los dominios sancionados se identifique como la aplicación predefinida office-365-base.
 

La característica HTTP de inserción de encabezado resuelve este problema. La característica modifica el encabezado de solicitud con una lista de inquilinos para Office365 a los que los usuarios de la red de HTTP GET su organización pueden acceder. Cuando Microsoft reciba la solicitud, Microsoft determinará si la cuenta de Office365 en la que el usuario está iniciando sesión forma parte de la HTTP GET lista de inquilinos permitidos o no. Si la cuenta no forma parte de un inquilino permitido, Microsoft la bloqueará.
 

Este artículo le ayudará a configurar HTTP la inserción de encabezado para impedir que las cuentas de empresa o de consumidor no autorizadas accedan a las aplicaciones de Office365 mientras se encuentran dentro de la red de su organización.

Environment


  • Palo Alto firewall con 8.1 PAN-OS o posterior.
  • HTTP Función de inserción de encabezado.

Procedure


 Los 3 requisitos básicos de configuración para que la inserción de HTTP encabezados funcione con Office365 son:

  1. El tráfico a los dominios de inicio de sesión de Office365 debe descifrarse.

  2.  A URL Perfil de filtrado con una HTTP entrada de inserción de encabezado.

  3. A Seguridad Policy que permite el acceso a los dominios de inicio de sesión de Office365 con el URL perfil de filtrado del #2 aplicado.

 Configuraciones:

1) (Opcional, pero se recomienda hacerlo) Cree una categoría personalizada para los dominios de inicio de sesión de URL Microsoft a los que desea permitir el acceso.
(No es necesario si tiene una seguridad Policy que permite el tráfico a los dominios de inicio de sesión de Microsoft, un descifrado Policy que descifra el tráfico a los dominios de inicio de sesión de AND Microsoft).
 
1a) Dominios de inicio de sesión de Microsoft para permitir el bloqueo de cuentas de empresa externas:

  • login.microsoftonline.com

  • login.windows.net

  • login.microsoft.com

1b) Dominios de inicio de sesión de Microsoft para permitir el bloqueo de cuentas de consumidor:

  • login.live.com

 

Categoría personalizada URL de ejemplo 

 

2) Crear un URL perfil de filtrado. Si ha creado una categoría personalizada URL , compruebe en la ficha Categorías del perfil de filtrado que los campos Acceso al sitio y Envío de credenciales de URL usuario están establecidos en Permitir.

Ejemplo URL de perfil de filtrado


 

3) En la HTTP pestaña Inserción de encabezado del perfil de URL filtrado, cree una nueva entrada. Deberá realizar entradas separadas para bloquear cuentas empresariales externas y bloquear cuentas de consumidor:

 
Ejemplo de entradas de inserción de HTTP encabezado



3a) Para bloquear el acceso de cuentas de empresa externas, utilice los siguientes valores:

  • Nombre: <Crear un nombre personalizado para la entrada>

  • Tipo: Restricciones de inquilino de Microsoft Office365

  • Dominio (se rellenará automáticamente):

    • login.microsoftonline.com

    • login.windows.net

    • login.microsoft.com

  • Cabeceras:

    • Restrict-Access-To-Tenants: A lista separada por comas de los inquilinos a los que desea permitir el acceso de los usuarios.

    • Restrict-Access-Context: A directorio ID único que se usa para declarar qué inquilino está estableciendo las restricciones de inquilino.

    • (Nota: Puede seleccionar la casilla de verificación Registro para habilitar el registro de esta entrada de inserción de encabezado).



3b) Para bloquear el acceso de las cuentas de consumidor, utilice los siguientes valores:

  • Nombre: <Crear un nombre personalizado para la entrada>

  • Tipo: Personalizado

  • Dominio: login.live.com

  • Cabeceras:

    • sec-Restrict-Tenant-Access-: restrict-msaPolicy

    • (Nota: Puede seleccionar la casilla de verificación Registro para habilitar el registro de esta entrada de inserción de encabezado).

 

4) Cree un descifrado Policy que esté establecido en "Descifrado" y tenga el Tipo establecido en "Proxy de reenvío"SSL en la pestaña Opciones. Si ha creado una categoría personalizada URL , puede agregarla en la pestaña Servicio/URL Categoría para limitar el alcance del policy.

 
Ejemplo de descifrado Policy


 

5) Cree una seguridad Policy que permita el tráfico de sus usuarios a los dominios de inicio de sesión de Microsoft y que le aplique el URL perfil de filtrado del paso 2. Si ha creado una categoría personalizada URL , puede agregarla en la pestaña Servicio/URL Categoría para limitar el alcance del policy.

 
Ejemplo de seguridad Policy


 

6) Verifique HTTP que la inserción del encabezado esté funcionando.

Debería ver la siguiente página de respuesta de Microsoft cuando un usuario intenta tener acceso a una cuenta de empresa externa o una cuenta de consumidor mientras se encuentra en la red:

  

Additional Information


Obtenga más información sobre las restricciones de inquilino de Office365 y las configuraciones de inserción de encabezado en los siguientes artículos de Microsoft:

  1. Restringir el acceso a un inquilino: https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions
  2. Intervalos de direcciones URL e IP intervalos de direcciones de Office 365: https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?redirectSourcePath=%252farticle%252fOffice-365-URLs-and-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2&view=o365-worldwideIP-

 

Artículos de la Guía de administración de Palo Alto para la inserción de HTTP encabezados:

  1. HTTP Inserción de encabezado: https://docs.paloaltonetworks.com/pan-os/10-2/-web-interface-help/objects/objects-security-profiles-url-filtering/pan-oshttp-header-insertion
  2. Crear HTTP Entradas de inserción de encabezado con tipos predefinidos: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-predefined
  3. Crear personalizado HTTP Entradas de inserción de encabezado: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-custom


Otros artículos útiles de la Guía de Administración de Palo Alto:

  1. Crear una categoría personalizadaURL: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-oscustom-url-categories
  2. Configurar URL filtrado: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-osconfigure-url-filtering
  3. Configurar SSL proxy de reenvío: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/decryption/pan-osconfigure-ssl-forward-proxy
  4. Crear una regla de seguridadPolicy: https://docs.paloaltonetworks.com/pan-os/10-2/-admin//security-/pan-ospolicycreate-a-security--policypolicyrule


Otros artículos relacionados:

  1. HTTP HEADER INSERTION WORKAROUND FOR HTTP/2.0 SAAS APPLICATIONS: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VSRCA2
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sayjCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language