Utilisation HTTP de l’insertion d’en-tête pour un accès autorisé à Office365 Entreprise

Utilisation HTTP de l’insertion d’en-tête pour un accès autorisé à Office365 Entreprise

24499
Created On 02/28/23 23:46 PM - Last Modified 03/25/24 19:46 PM


Objective


Auparavant, seules les instances sanctionnées des comptes d’entreprise Office365 et le blocage des comptes d’entreprise et grand public non sanctionnés se faisaient en créant une application personnalisée basée sur le domaine sanctionné. Vous trouverez ci-dessous l’article précédent KB pour l’ancienne configuration :
 

MICROSOFT OFFICE 365 ACCESS CONTROL FIELD SUPPORT GUIDE

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTDCA0
 

Cependant, cela n’est plus possible en raison de certaines modifications apportées par Microsoft qui font désormais en sorte que tout trafic correspondant à l’application personnalisée pour les domaines sanctionnés soit identifié comme l’application prédéfinie office-365-base.
 

La fonctionnalité HTTP d’insertion d’en-tête résout ce problème. La fonctionnalité modifie l' HTTP GET en-tête de demande avec une liste de locataires pour Office365 auxquels les utilisateurs du réseau de votre organisation sont autorisés à accéder. Lorsque la demande est reçue par Microsoft, Microsoft détermine si le compte Office365 auquel l’utilisateur se connecte fait partie de la HTTP GET liste des locataires autorisés ou non. Si le compte ne fait pas partie d’un client autorisé, Microsoft le bloquera.
 

Cet article vous aidera à configurer HTTP l'insertion d'en-tête pour empêcher les comptes d'entreprise et/ou grand public non autorisés d'accéder aux applications Office365 au sein du réseau de votre organisation.

Environment


  • Palo Alto firewall exécutant PAN-OS la version 8.1 ou ultérieure.
  • HTTP Fonction d’insertion d’en-tête.

Procedure


 Les 3 configurations de base requises pour HTTP que l’insertion d’en-tête fonctionne avec Office365 sont les suivantes :

  1. Le trafic vers les domaines de connexion Office365 doit être déchiffré.

  2.  A URL Filtrage du profil avec une HTTP entrée d’insertion d’en-tête.

  3. A Sécurité Policy qui permet d’accéder aux domaines de connexion Office365 avec le URL profil de filtrage de #2 appliqué.

 Configurations:

1) (Facultatif, mais meilleure pratique) Créez une catégorie personnalisée URL pour les domaines de connexion Microsoft auxquels vous souhaitez autoriser l’accès.
(Non nécessaire si vous disposez d’une sécurité Policy qui autorise le trafic vers les domaines de connexion Microsoft ou un déchiffrement Policy qui déchiffre le trafic vers les domaines de AND connexion Microsoft.)
 
1a) Domaines de connexion Microsoft à autoriser afin de bloquer les comptes d’entreprise externes:

  • login.microsoftonline.com

  • login.windows.net

  • login.microsoft.com

1b) Domaines de connexion Microsoft à autoriser afin de bloquer les comptes de consommateurs:

  • login.live.com

 

Exemple de catégorie personnalisée URL 

 

2) Créez un URL profil de filtrage. Si vous avez créé une catégorie personnalisée URL , vérifiez sous l’onglet Catégories du profil de filtrage que les champs Accès au site et Envoi des informations d’identification de URL l’utilisateur sont définis sur Autoriser.

Exemple URL de profil de filtrage


 

3) Dans l’onglet HTTP Insertion d’en-tête du profil de URL filtrage, créez une nouvelle entrée. Vous devrez créer des entrées distinctes pour bloquer les comptes d’entreprise externes et bloquer les comptes consommateurs :

 
Exemple d’entrées d’insertion d’en-tête HTTP



3a) Pour bloquer l’accès aux comptes d’entreprise externes, utilisez les valeurs suivantes :

  • Nom : <Créez un nom personnalisé pour l’entrée>

  • Type : Restrictions de locataire Microsoft Office365

  • Domaine (sera rempli automatiquement) :

    • login.microsoftonline.com

    • login.windows.net

    • login.microsoft.com

  • En-têtes :

    • Restrict-Access-To-Recipients : A liste de locataires séparés par des virgules auxquels vous souhaitez autoriser les utilisateurs à accéder.

    • Restrict-Access-Context : A répertoire ID unique utilisé pour déclarer quel client définit les restrictions de locataire.

    • (Remarque : vous pouvez cocher la case Journal pour activer la journalisation de cette entrée d’insertion d’en-tête.)



3b) Pour bloquer l’accès aux comptes consommateurs, utilisez les valeurs suivantes :

  • Nom : <Créez un nom personnalisé pour l’entrée>

  • Type : Personnalisé

  • Domaine: login.live.com

  • En-têtes :

    • sec-Restrict-Tenant-Access-: restrict-msaPolicy

    • (Remarque : vous pouvez cocher la case Journal pour activer la journalisation de cette entrée d’insertion d’en-tête.)

 

4) Créez un décryptage Policy qui est défini sur « Décrypter » et dont le Type est défini sur « SSL Proxy de transfert » sous l’onglet Options. Si vous avez créé une catégorie personnalisée URL , vous pouvez l’ajouter sous l’onglet Service/URL Catégorie pour réduire la portée du policyfichier .

 
Exemple de décryptage Policy


 

5) Créez une sécurité Policy qui autorise le trafic de vos utilisateurs vers les domaines de connexion Microsoft et qui applique le URL profil de filtrage de l’étape 2. Si vous avez créé une catégorie personnalisée URL , vous pouvez l’ajouter sous l’onglet Service/URL Catégorie pour réduire la portée du policyfichier .

 
Exemple de sécurité Policy


 

6) Vérifiez que HTTP l’insertion d’en-tête fonctionne.

Vous devez voir la page de réponse suivante de Microsoft lorsqu’un utilisateur tente d’accéder à un compte d’entreprise externe et/ou un compte consommateur alors qu’il est sur votre réseau :

  

Additional Information


Pour en savoir plus sur les restrictions de locataire Office365 et les configurations d’insertion d’en-tête, consultez les articles Microsoft ci-dessous :

  1. Restreindre l’accès à un locataire : https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions
  2. URL et IP plages d’adresses Office 365 : https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?redirectSourcePath=%252farticle%252fOffice-365-URLs-and-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2&view=o365-worldwideIP-

 

Articles du Guide d’administration de Palo Alto pour HTTP l’insertion d’en-tête:

  1. HTTP Insertion d’en-tête: https://docs.paloaltonetworks.com/pan-os/10-2/-web-interface-help/objects/objects-security-profiles-url-filtering/pan-oshttp-header-insertion
  2. Créer HTTP Entrées d’insertion d’en-tête utilisant des types prédéfinis : https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-predefined
  3. Créer une solution personnalisée HTTP Entrées d’insertion d’en-tête : https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-custom


Autres articles utiles du guide d’administration de Palo Alto:

  1. Créer une catégorie personnalisée URL: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-oscustom-url-categories
  2. Configurer URL le filtrage : https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-osconfigure-url-filtering
  3. Configurer SSL le proxy de transfert : https://docs.paloaltonetworks.com/pan-os/10-2/-admin/decryption/pan-osconfigure-ssl-forward-proxy
  4. Créer une règle de sécurité Policy: https://docs.paloaltonetworks.com/pan-os/10-2/-admin//security-/pan-ospolicycreate-a-security--policypolicyrule


Autres articles connexes:

  1. HTTP HEADER INSERTION WORKAROUND FOR HTTP/2.0 SAAS APPLICATIONS: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VSRCA2
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sayjCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language