使用するHTTPOffice365 Enterprise への認可されたアクセスのためのヘッダー挿入
Objective
以前は、認可されたドメインに基づいてカスタム アプリケーションを作成することで、認可された Office365 エンタープライズ アカウントのインスタンスのみを許可し、認可されていないエンタープライズ アカウントと消費者アカウントをブロックしていました。 以下は以前のKB古い構成の記事:
MICROSOFT OFFICE 365 ACCESS CONTROL FIELD SUPPORT GUIDE
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTDCA0
ただし、これは Microsoft によって行われたいくつかの変更により、許可されたドメインのカスタム アプリケーションに対応するトラフィックが事前定義されたアプリケーションとして識別されるようになったため、もはや不可能です。オフィス-365 ベース.
のHTTPヘッダー挿入機能はこの問題を解決します。 フィーチャーはHTTP GET組織のネットワーク上のユーザーがアクセスを許可されている Office365 のテナントのリストを含むリクエスト ヘッダー。 ときHTTP GET要求が Microsoft によって受信されると、Microsoft は、ユーザーがログインしている Office365 アカウントが許可されたテナント リストに含まれているかどうかを判断します。 アカウントが許可されたテナントの一部でない場合、Microsoft はそれをブロックします。
この記事は設定に役立ちますHTTP承認されていないエンタープライズ アカウントやコンシューマー アカウントが、組織のネットワーク内で Office365 アプリケーションにアクセスするのをブロックするためのヘッダー挿入。
Environment
- パロアルトfirewallランニングPAN-OS8.1 以降。
- HTTP ヘッダー挿入機能。
Procedure
のの 3 つの基本的な構成要件HTTPOffice365 で動作するヘッダー挿入は次のとおりです。
Office365 ログイン ドメインへのトラフィック復号化する必要があります.
A URLによるプロファイルのフィルタリングHTTPヘッダー挿入エントリ。
A安全Policyそれか許可しますOffice365ログインドメインへのアクセスURL#2 のフィルタリング プロファイルが適用されます。
構成:
(証券をお持ちの方は不要です。Policy Microsoft ログイン ドメインへのトラフィックを許可するAND復号化Policyこれにより、Microsoft ログイン ドメインへのトラフィックが復号化されます。)
login.microsoftonline.com
login.windows.net
login.microsoft.com
1b) 消費者アカウントをブロックするために許可する Microsoft ログイン ドメイン:
login.live.com
例 カスタムURLカテゴリー
例URLフィルタリング プロファイル
3) でHTTPのヘッダー挿入タブURLフィルタリング プロファイル、新しいエントリを作成します。 外部のエンタープライズ アカウントをブロックするためと、消費者アカウントをブロックするために、別々のエントリを作成する必要があります。
の例HTTPヘッダー挿入エントリ
3a) 外部のエンタープライズ アカウントのアクセスをブロックするには、次の値を使用します。
名前: <エントリのカスタム名を作成>
タイプ: Microsoft Office365 テナントの制限
ドメイン (自動的に入力されます):
login.microsoftonline.com
login.windows.net
login.microsoft.com
ヘッダー:
テナントへのアクセス制限:Aユーザーにアクセスを許可するテナントのコンマ区切りリスト。
制限アクセス コンテキスト:A単一のディレクトリIDどのテナントがテナント制限を設定しているかを宣言するために使用されます。
(注: [ログ] チェックボックスを選択して、このヘッダー挿入エントリのログを有効にすることができます。)
3b) コンシューマー アカウントのアクセスをブロックするには、次の値を使用します。
名前: <エントリのカスタム名を作成>
タイプ: カスタム
ドメイン: login.live.com
ヘッダー:
sec-Restrict-Tenant-Access-Policy : 制限-msa
(注: [ログ] チェックボックスを選択して、このヘッダー挿入エントリのログを有効にすることができます。)
4) 復号化を作成するPolicy「復号化」に設定され、タイプが「」に設定されているSSL[オプション] タブの [フォワード プロキシ] をクリックします。 カスタムを作成した場合URLカテゴリ、Service/の下に追加できますURLカテゴリ タブで、policy .
復号化の例 Policy
5) 証券を作成するPolicyユーザーから Microsoft ログイン ドメインへのトラフィックを許可し、URLステップ 2 のフィルタリング プロファイルが適用されます。 カスタムを作成した場合URLカテゴリ、Service/の下に追加できますURLカテゴリ タブで、policy .
セキュリティの例 Policy
ユーザーがネットワーク上で外部の企業アカウントや消費者アカウントにアクセスしようとすると、Microsoft から次の応答ページが表示されます。
Additional Information
Office365 テナントの制限とそのヘッダー挿入構成の詳細については、以下の Microsoft の記事を参照してください。
- テナントへのアクセスを制限する: https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions
- Office 365 の URL とIPアドレス範囲: https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?redirectSourcePath=%252farticle%252fOffice-365-URLs-and-IP-アドレス範囲-8548a211-3fe7-47cb-abb1-355ea5aa88a2&view=o365-worldwide
パロアルト管理者ガイドの記事HTTPヘッダー挿入:
- HTTPヘッダー挿入: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -web-interface-help/objects/objects-security-profiles-url-filtering/http-header-insertion
- 作成HTTP定義済みタイプを使用したヘッダー挿入エントリ: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -管理者/app -id/http-header-insertion/http-header-insertion-create-predefined
- カスタムを作成HTTPヘッダー挿入エントリ: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -管理者/app -id/http-header-insertion/http-header-insertion-create-custom
その他の役立つパロアルト管理者ガイドの記事:
- カスタムを作成するURLカテゴリー: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -admin/url-filtering/custom-url-categories
- 構成、設定URLフィルタリング: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -admin/url-filtering/configure-url-filtering
- 構成、設定SSLフォワード プロキシ: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -admin/decryption/configure-ssl-forward-proxy
- 証券を作成するPolicyルール: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -管理者/policy /安全-policy /create-a-security-policy -ルール
その他の関連記事:
- HTTP HEADER INSERTION WORKAROUND FOR HTTP/2.0SAAS APPLICATIONS : https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VSRCA2