Usar o Firewall do Azure para proteger o Office 365

Você pode usar as tags de serviço internas do Firewall do Azure e as tags FQDN para permitir a comunicação de saída com pontos de extremidade e endereços IP do Office 365.

Nota

As etiquetas de serviço do Office 365 e as etiquetas FQDN são suportadas apenas na política da Firewall do Azure. Eles não são suportados em regras clássicas.

Criação de tags

Para cada produto e categoria do Office 365, o Firewall do Azure recupera automaticamente os pontos de extremidade e endereços IP necessários e cria marcas de acordo:

  • Nome da etiqueta: todos os nomes começam com Office365 e são seguidos por:
    • Produto: Exchange / Skype / SharePoint / Comum
    • Categoria: Otimizar / Permitir / Padrão
    • Obrigatório / Não obrigatório (opcional)
  • Tipo de etiqueta:
    • A tag FQDN representa apenas os FQDNs necessários para o produto e categoria específicos que se comunicam por HTTP/HTTPS (portas 80/443) e pode ser usada em Regras de Aplicativo para proteger o tráfego para esses FQDNs e protocolos.
    • A etiqueta de serviço representa apenas os endereços IPv4 e intervalos necessários para o produto e categoria específicos e pode ser usada em Regras de Rede para proteger o tráfego para esses endereços IP e para qualquer porta necessária.

Você deve aceitar uma tag disponível para uma combinação específica de produto, categoria e obrigatório / não obrigatório nos seguintes casos:

  • Para uma etiqueta de serviço – esta combinação específica existe e exigiu endereços IPv4 listados.
  • Para uma regra FQDN – esta combinação específica existe e exigiu FQDNs listados que se comunicam com as portas 80/443.

As tags são atualizadas automaticamente com quaisquer modificações nos endereços IPv4 e FQDNs necessários. Novas tags também podem ser criadas automaticamente no futuro, se novas combinações de produto e categoria forem adicionadas.

Coleção de regras de rede: Screenshot showing Office 365 network rule collection.

Coleção de regras de aplicação: Screenshot showing Office 365 application rule collection.

Configuração de regras

Estas etiquetas incorporadas fornecem granularidade para permitir e proteger o tráfego de saída para o Office 365 com base nas suas preferências e utilização. Você pode permitir o tráfego de saída apenas para produtos e categorias específicos para uma fonte específica. Você também pode usar a Inspeção TLS e o IDPS do Firewall Premium do Azure para monitorar parte do tráfego. Por exemplo, tráfego para pontos de extremidade na categoria Padrão que pode ser tratado como tráfego de saída normal da Internet. Para obter mais informações sobre as categorias de pontos de extremidade do Office 365, consulte Novas categorias de pontos de extremidade do Office 365.

Ao criar as regras, certifique-se de definir as portas TCP necessárias (para regras de rede) e protocolos (para regras de aplicativo), conforme exigido pelo Office 365. Se uma combinação específica de produto, categoria e obrigatório/não obrigatório tiver uma etiqueta de serviço e uma tag FQDN, você deverá criar regras representativas para ambas as tags para cobrir totalmente a comunicação necessária.

Limitações

Se uma combinação específica de produto, categoria e obrigatório/não necessário tiver apenas FQDNs necessários, mas usar portas TCP que não sejam 80/443, uma tag FQDN não será criada para essa combinação. As Regras de Aplicação só podem abranger HTTP, HTTPS ou MSSQL. Para permitir a comunicação com esses FQDNs, crie suas próprias regras de rede com esses FQDNs e portas. Para obter mais informações, consulte Usar filtragem FQDN em regras de rede.

Próximos passos