Utilisation HTTP de l’insertion d’en-tête pour un accès autorisé à Office365 Entreprise
Objective
Auparavant, seules les instances sanctionnées des comptes d’entreprise Office365 et le blocage des comptes d’entreprise et grand public non sanctionnés se faisaient en créant une application personnalisée basée sur le domaine sanctionné. Vous trouverez ci-dessous l’article précédent KB pour l’ancienne configuration :
MICROSOFT OFFICE 365 ACCESS CONTROL FIELD SUPPORT GUIDE
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTDCA0
Cependant, cela n’est plus possible en raison de certaines modifications apportées par Microsoft qui font désormais en sorte que tout trafic correspondant à l’application personnalisée pour les domaines sanctionnés soit identifié comme l’application prédéfinie office-365-base.
La fonctionnalité HTTP d’insertion d’en-tête résout ce problème. La fonctionnalité modifie l' HTTP GET en-tête de demande avec une liste de locataires pour Office365 auxquels les utilisateurs du réseau de votre organisation sont autorisés à accéder. Lorsque la demande est reçue par Microsoft, Microsoft détermine si le compte Office365 auquel l’utilisateur se connecte fait partie de la HTTP GET liste des locataires autorisés ou non. Si le compte ne fait pas partie d’un client autorisé, Microsoft le bloquera.
Cet article vous aidera à configurer HTTP l'insertion d'en-tête pour empêcher les comptes d'entreprise et/ou grand public non autorisés d'accéder aux applications Office365 au sein du réseau de votre organisation.
Environment
- Palo Alto firewall exécutant PAN-OS la version 8.1 ou ultérieure.
- HTTP Fonction d’insertion d’en-tête.
Procedure
3 configurations de base requises pour HTTP que l’insertion d’en-tête fonctionne avec Office365 sont les suivantes :
LesLe trafic vers les domaines de connexion Office365 doit être déchiffré.
A URL Filtrage du profil avec une HTTP entrée d’insertion d’en-tête.
A Sécurité Policy qui permet d’accéder aux domaines de connexion Office365 avec le URL profil de filtrage de #2 appliqué.
Configurations:
(Non nécessaire si vous disposez d’une sécurité Policy qui autorise le trafic vers les domaines de connexion Microsoft ou un déchiffrement Policy qui déchiffre le trafic vers les domaines de AND connexion Microsoft.)
login.microsoftonline.com
login.windows.net
login.microsoft.com
1b) Domaines de connexion Microsoft à autoriser afin de bloquer les comptes de consommateurs:
login.live.com
Exemple de catégorie personnalisée URL
Exemple URL de profil de filtrage
3) Dans l’onglet HTTP Insertion d’en-tête du profil de URL filtrage, créez une nouvelle entrée. Vous devrez créer des entrées distinctes pour bloquer les comptes d’entreprise externes et bloquer les comptes consommateurs :
Exemple d’entrées d’insertion d’en-tête HTTP
3a) Pour bloquer l’accès aux comptes d’entreprise externes, utilisez les valeurs suivantes :
Nom : <Créez un nom personnalisé pour l’entrée>
Type : Restrictions de locataire Microsoft Office365
Domaine (sera rempli automatiquement) :
login.microsoftonline.com
login.windows.net
login.microsoft.com
En-têtes :
Restrict-Access-To-Recipients : A liste de locataires séparés par des virgules auxquels vous souhaitez autoriser les utilisateurs à accéder.
Restrict-Access-Context : A répertoire ID unique utilisé pour déclarer quel client définit les restrictions de locataire.
(Remarque : vous pouvez cocher la case Journal pour activer la journalisation de cette entrée d’insertion d’en-tête.)
3b) Pour bloquer l’accès aux comptes consommateurs, utilisez les valeurs suivantes :
Nom : <Créez un nom personnalisé pour l’entrée>
Type : Personnalisé
Domaine: login.live.com
En-têtes :
sec-Restrict-Tenant-Access-: restrict-msaPolicy
(Remarque : vous pouvez cocher la case Journal pour activer la journalisation de cette entrée d’insertion d’en-tête.)
4) Créez un décryptage Policy qui est défini sur « Décrypter » et dont le Type est défini sur « SSL Proxy de transfert » sous l’onglet Options. Si vous avez créé une catégorie personnalisée URL , vous pouvez l’ajouter sous l’onglet Service/URL Catégorie pour réduire la portée du policyfichier .
Exemple de décryptage Policy
5) Créez une sécurité Policy qui autorise le trafic de vos utilisateurs vers les domaines de connexion Microsoft et qui applique le URL profil de filtrage de l’étape 2. Si vous avez créé une catégorie personnalisée URL , vous pouvez l’ajouter sous l’onglet Service/URL Catégorie pour réduire la portée du policyfichier .
Exemple de sécurité Policy
Vous devez voir la page de réponse suivante de Microsoft lorsqu’un utilisateur tente d’accéder à un compte d’entreprise externe et/ou un compte consommateur alors qu’il est sur votre réseau :
Additional Information
Pour en savoir plus sur les restrictions de locataire Office365 et les configurations d’insertion d’en-tête, consultez les articles Microsoft ci-dessous :
- Restreindre l’accès à un locataire : https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions
- URL et IP plages d’adresses Office 365 : https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?redirectSourcePath=%252farticle%252fOffice-365-URLs-and-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2&view=o365-worldwideIP-
Articles du Guide d’administration de Palo Alto pour HTTP l’insertion d’en-tête:
- HTTP Insertion d’en-tête: https://docs.paloaltonetworks.com/pan-os/10-2/-web-interface-help/objects/objects-security-profiles-url-filtering/pan-oshttp-header-insertion
- Créer HTTP Entrées d’insertion d’en-tête utilisant des types prédéfinis : https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-predefined
- Créer une solution personnalisée HTTP Entrées d’insertion d’en-tête : https://docs.paloaltonetworks.com/pan-os/10-2/-admin/-id/http-header-insertion/pan-osapphttp-header-insertion-create-custom
Autres articles utiles du guide d’administration de Palo Alto:
- Créer une catégorie personnalisée URL: https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-oscustom-url-categories
- Configurer URL le filtrage : https://docs.paloaltonetworks.com/pan-os/10-2/-admin/url-filtering/pan-osconfigure-url-filtering
- Configurer SSL le proxy de transfert : https://docs.paloaltonetworks.com/pan-os/10-2/-admin/decryption/pan-osconfigure-ssl-forward-proxy
- Créer une règle de sécurité Policy: https://docs.paloaltonetworks.com/pan-os/10-2/-admin//security-/pan-ospolicycreate-a-security--policypolicyrule
Autres articles connexes:
- HTTP HEADER INSERTION WORKAROUND FOR HTTP/2.0 SAAS APPLICATIONS: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VSRCA2