使用HTTP用于对 Office365 Enterprise 的批准访问的标头插入
Objective
以前仅允许 Office365 企业帐户的经批准实例并阻止未经批准的企业和消费者帐户是通过基于经批准的域创建自定义应用程序来完成的。 下面是之前的KB旧配置文章:
MICROSOFT OFFICE 365 ACCESS CONTROL FIELD SUPPORT GUIDE
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTDCA0
但是,由于 Microsoft 所做的一些更改现在导致与受制裁域的自定义应用程序对应的任何流量被识别为预定义应用程序,因此这不再可能office-365-基础.
这HTTP标题插入功能解决了这个问题。 该功能修改了HTTP GET带有允许组织网络上的用户访问的 Office365 租户列表的请求标头。 当。。。的时候HTTP GETMicrosoft 收到请求后,Microsoft 将确定用户登录的 Office365 帐户是否在允许的租户列表中。 如果该帐户不属于允许的租户,Microsoft 将阻止它。
本文将帮助您配置HTTP标头插入可阻止未经批准的企业和/或消费者帐户在您的组织网络内访问 Office365 应用程序。
Environment
- 帕洛阿尔托firewall跑步PAN-OS8.1 或更高版本。
- HTTP 标头插入功能。
Procedure
这3 基本配置要求HTTP与 Office365 一起使用的标头插入是:
到 Office365 登录域的流量必须解密.
A URL过滤配置文件HTTP标题插入条目。
A安全Policy那允许访问 Office365 登录域URL应用了 #2 的过滤配置文件。
配置:
(如果您有安全性则不需要Policy允许流量到 Microsoft 登录域AND解密Policy正在解密到 Microsoft 登录域的流量。)
登录.microsoftonline.com
登录.windows.net
登录.microsoft.com
1b) Microsoft 登录域允许以阻止消费者帐户:
登录.live.com
示例自定义URL类别
例子URL过滤配置文件
3) 在HTTP的页眉插入选项卡URL过滤配置文件,创建一个新条目。 您将需要单独输入以阻止外部企业帐户和阻止消费者帐户:
的例子HTTP标题插入条目
3a) 要阻止外部企业帐户的访问,请使用以下值:
名称:<为条目创建自定义名称>
类型:Microsoft Office365 租户限制
域名(自动填写):
登录.microsoftonline.com
登录.windows.net
登录.microsoft.com
标头:
限制访问租户:A您希望允许用户访问的以逗号分隔的租户列表。
限制访问上下文:A单一目录ID用于声明哪个租户正在设置租户限制。
(注意:您可以选中“日志”复选框以启用此标题插入条目的日志记录。)
3b) 要阻止对消费者帐户的访问,请使用以下值:
名称:<为条目创建自定义名称>
类型:定制
域名:login.live.com
标头:
sec-Restrict-Tenant-Access-Policy : 限制-msa
(注意:您可以选中“日志”复选框以启用此标题插入条目的日志记录。)
4) 创建解密Policy设置为“解密”并将类型设置为“SSL “选项”选项卡下的“转发代理”。 如果您创建了自定义URL类别,您可以在服务/下添加它URL类别选项卡以缩小范围policy.
示例解密 Policy
5)创建安全Policy允许从您的用户到 Microsoft 登录域的流量,并且具有URL第 2 步中的过滤配置文件应用于它。 如果您创建了自定义URL类别,您可以在服务/下添加它URL类别选项卡以缩小范围policy.
示例安全 Policy
当用户在您的网络上尝试访问外部企业帐户和/或消费者帐户时,您应该会看到 Microsoft 的以下响应页面:
Additional Information
在以下 Microsoft 文章中了解有关 Office365 租户限制及其标头插入配置的更多信息:
- 限制对租户的访问: https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions
- Office 365 网址和IP地址范围: https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?redirectSourcePath=%252farticle%252fOffice-365-URLs-and-IP-地址范围-8548a211-3fe7-47cb-abb1-355ea5aa88a2&view=o365-worldwide
帕洛阿尔托管理指南文章HTTP标题插入:
- HTTP标题插入: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -web-interface-help/objects/objects-security-profiles-url-filtering/http-header-insertion
- 创造HTTP使用预定义类型的标题插入条目: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -行政/app -id/http-header-insertion/http-header-insertion-create-predefined
- 创建自定义HTTP标题插入条目: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -行政/app -id/http-header-insertion/http-header-insertion-create-custom
其他有用的 Palo Alto 管理指南文章:
- 创建自定义URL类别: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -admin/url-filtering/custom-url-categories
- 配置URL过滤: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -admin/url-过滤/配置-url-过滤
- 配置SSL转发代理: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -admin/解密/configure-ssl-forward-proxy
- 创建一个安全Policy规则: https://docs.paloaltonetworks.com/pan-os /10-2/pan-os -行政/policy /安全-policy /创建安全-policy -规则
其他相关文章:
- HTTP HEADER INSERTION WORKAROUND FOR HTTP/2.0SAAS APPLICATIONS : https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VSRCA2