tos-akibaのブログ

主に Microsoft 365 Security について

Azure Firewall で Office 365、Windows 365 を保護

組織のネットワークから Office 365 エンドポイントへのトラフィックを管理、保護するための Azure Firewall と Office 365 のインテグレーションが発表されました。
これにより、トラフィックを簡単に管理し Firewall のセキュリティ機能で保護できるようになります。
Protect Office365 and Windows365 with Azure Firewall - Microsoft Community Hub

 

Office 365 エンドポイントは複数のサービスとカテゴリに分割された数百の FQDN と IP アドレスで構成されており、それぞれの特性により複雑で、エンドポイントは新機能やサービス変更によって随時追加されます。

Azure Firewall と Office 365 の新しい統合により、特定の IP アドレスと FQDN へのトラフィックを許可しエンドポイント更新時に Azure Firewall ポリシーを更新するといった管理の代わりに、新しい組み込みのサービスタグと FQDN タグを使用できるようになりました。
これらのタグは、製品やカテゴリごとにエンドポイントをグループ化し、メンテナンスの手間を排してバックグラウンドで定期的に更新されます。

 

Office 365 を保護する Azure Firewall ポリシー構成

新しい組み込みの Office 365 サービスタグは、必要な IPv4 アドレスを Office365 サービスとカテゴリ別にグループ化します。
 例:「Office365.Exchange.Optimize」
    Exchange 接続に必要なすべての IPv4 アドレスのグループ

これらのサービスタグを Azure Firewall ネットワークルールの宛先として使用し、トラフィック許可できます。
ルール作成には、必要な TCP/UDP ポートを必ず定義します。
サービスタグは、アドレスが追加、変更されると Microsoft によって自動的に更新され、ルールで定義されたサービスタグは常に最新の IP アドレスリストに変換されるので、アクションは必要ありません。

 

同様に、新しい組み込み FQDN タグは Office 365 サービスとカテゴリ別にグループ化された必須 FQDN を表します。
 例:「Office365.SharePoint.Optimize」
    SharePoint に必要な FQDN エンドポイントのグループ

これらの FQDN タグを Azure Firewall ポリシーのアプリケーションルールの宛先として使用し、送信トラフィックを許可できます。
FQDN タグは、FQDN が追加、変更されると Microsoft によって自動的に更新され、アプリケーションルールで定義されている FQDN タグは常に最新の一覧に変換されます。

 

「既定」カテゴリの Office 365 エンドポイントの一部は、通常の送信インターネット トラフィックとして扱うことができ、これらのエンドポイントへの通信許可する場合は、Azure Firewall Premium のセキュリティ機能である IDPS、TLS 検査を追加の保護レイヤーとして活用できます。
トラフィックを複合化して悪意あるアクティビティをチェックし、IDPS エンジンで監視できます。

 

Windows 365 を保護する Azure Firewall ポリシー構成

Azure FirewallWindows 365 の統合により、 Windows 365 への送信トラフィックも同じように許可、保護する簡単で効率的な方法が提供されます。
必要な Windows 265 FQDN と必要な Azure 仮想デスクトップ FQDN を表す組み込み FQDN タグをアプリケーションルールで使用し、Windows 365 通信をシームレスに保護します。

すべての Windows 365 機能を許可、保護するために、他のルールを追加、有効化する必要がある場合があります。
Azure Firewallを使用してWindows 365環境を管理およびセキュリティで保護する | Microsoft Learn

 

(参考)
Azure Firewall を使用して Office 365 を保護する | Microsoft Learn

Azure Firewall Premium の機能 | Microsoft Learn