Usar o Firewall do Azure para proteger o Microsoft 365

Use as etiquetas de serviço incorporadas do Azure Firewall e as etiquetas FQDN para permitir a comunicação de saída para endpoints e endereços IP do Microsoft 365.

Criação de tags

Para cada produto e categoria do Microsoft 365, o Firewall do Azure recupera automaticamente os pontos de extremidade e endereços IP necessários e cria tags de acordo.

• Nome da tag: todos os nomes começam com Microsoft365 e são seguidos por:
  • Produto: Exchange, Skype, SharePoint ou Common
  • Categoria:
    • Otimizar e Permitir: Os endpoints de rede com a categoria Otimizar ou Permitir transportam maior volume de tráfego e são sensíveis à latência e desempenho da rede. Esses pontos de extremidade têm endereços IP listados com o domínio.
    • Padrão: Os endpoints de rede na categoria Padrão não têm endereços IP associados porque são dinâmicos por natureza e os endereços IP mudam ao longo do tempo.
  • Obrigatório ou Não Obrigatório (opcional)
• Tipo de etiqueta:
  • A etiqueta FQDN representa apenas os FQDNs necessários para o produto e categoria específicos que comunicam via HTTP/HTTPS (portas 80/443). Use estas etiquetas nas Regras de Aplicação para proteger o tráfego para estes FQDNs e protocolos.
  • A etiqueta de serviço representa apenas os endereços e intervalos IPv4 necessários para o produto e categoria específicos. Use estas etiquetas nas Regras de Rede para proteger o tráfego para estes endereços IP e para qualquer porta necessária.

Aceitar uma etiqueta para uma combinação específica de produto, categoria, e obrigatório ou não nos seguintes casos:

• Para um Tag de Serviço – esta combinação específica existe e tem endereços IPv4 necessários listados.
• Para uma Regra FQDN – esta combinação específica existe e tem FQDNs listados que comunicam com as portas 80/443.

O Azure Firewall atualiza automaticamente as etiquetas com quaisquer modificações nos endereços IPv4 e FQDNs necessários. No futuro, o Azure Firewall poderá criar automaticamente novas etiquetas se forem adicionadas novas combinações de produto e categoria.

Coleção de regras de rede:

Coleção de regras de aplicativo:

Configuração de regras

Essas tags internas fornecem granularidade para permitir e proteger o tráfego de saída para o Microsoft 365 com base em suas preferências e uso. Você pode permitir o tráfego de saída apenas para produtos e categorias específicos para uma fonte específica. Você também pode usar a Inspeção TLS e o IDPS do Firewall Premium do Azure para monitorar parte do tráfego. Por exemplo, tráfego para pontos de extremidade na categoria Padrão que pode ser tratado como tráfego de saída normal da Internet. Para obter mais informações sobre as categorias de ponto de extremidade do Microsoft 365, consulte Novas categorias de ponto de extremidade do Microsoft 365.

Ao criar as regras, certifique-se de definir as portas TCP necessárias (para regras de rede) e protocolos (para regras de aplicativo), conforme exigido pelo Microsoft 365. Se uma combinação específica de produto, categoria e estatuto de obrigatório ou não exigido tiver tanto uma Etiqueta de Serviço como uma etiqueta FQDN, crie regras representativas para ambas as etiquetas para cobrir totalmente a comunicação necessária.

Limitações

Se uma combinação específica de produto, categoria e estado obrigatório ou não tiver apenas FQDNs exigidos mas usar portas TCP que não sejam 80 ou 443, o sistema não cria uma etiqueta FQDN para esta combinação. As Regras de Aplicação só podem cobrir HTTP, HTTPS ou MSSQL. Para permitir a comunicação com esses FQDNs, crie suas próprias regras de rede com esses FQDNs e portas. Para obter mais informações, consulte Usar filtragem FQDN em regras de rede.

Próximos passos

• Para obter mais informações, consulte Proteger o Microsoft 365 e o Windows 365 com o Firewall do Azure.
• Saiba mais sobre a conectividade de rede do Microsoft 365: Visão geral da conectividade de rede do Microsoft 365.