Requisitos de red

Se aplica a: Microsoft Cloud App Security

Importante

Los nombres de productos de protección contra amenazas de Microsoft están cambiando. Obtenga más información sobre esta y otras actualizaciones en este artículo. Vamos a actualizar los nombres de los productos y en los documentos en un futuro próximo.

En este artículo se proporciona una lista de puertos y direcciones IP que debe permitir y permitir que funcionen con Microsoft Cloud App Security.

Consultar el centro de datos

Algunos de los siguientes requisitos dependen del centro de datos al que esté conectado.

Para ver el centro de datos al que se está conectando, siga estos pasos:

  1. En el portal Cloud App Security, seleccione el icono de signo de interrogación en la barra de menús. Después, seleccione Acerca de.

    Haga clic en Acerca de.

  2. En la pantalla de versión de Cloud App Security, podrá ver la región y el centro de datos.

    Ver el centro de datos.

Acceso al portal

Para acceder al portal de Cloud App Security, agregue el puerto de salida 443 para las siguientes direcciones IP y nombres DNS a la lista de permitidos del firewall:

portal.cloudappsecurity.com
*.portal.cloudappsecurity.com
cdn.cloudappsecurity.com
https://adaproddiscovery.azureedge.net
*.s-microsoft.com
*.msecnd.net
dev.virtualearth.net
*.cloudappsecurity.com
flow.microsoft.com
static2.sharepointonline.com
dc.services.visualstudio.com
*.blob.core.windows.net

Para los clientes de GCC High para la Administración GCC Estados Unidos, también es necesario agregar los siguientes nombres DNS a la lista de permitidos del firewall para proporcionar acceso al portal Cloud App Security GCC High:

portal.cloudappsecurity.us
*.portal.cloudappsecurity.us
cdn.cloudappsecurity.com

Además, se deben permitir los siguientes elementos, en función del centro de datos que use:

Centro de datos Direcciones IP Nombre DNS
Estados Unidos 1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us.portal.cloudappsecurity.com
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 *.us2.portal.cloudappsecurity.com
US3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us3.portal.cloudappsecurity.com
Unión Europea 1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 *.eu.portal.cloudappsecurity.com
EU2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.eu2.portal.cloudappsecurity.com
Gov US1 13.72.19.4, 52.227.143.223 *.us1.portal.cloudappsecurity.us
GCC 52.227.23.181, 52.227.180.126 portal.cloudappsecuritygov.com, *.portal.cloudappsecuritygov.com, * .us1.portal.cloudappsecuritygov.com

Nota

En lugar de un carácter comodín (*), puede abrir solo la dirección URL del inquilino específico, por ejemplo, de acuerdo con la captura de pantalla anterior, puede abrir: mod244533.us.portal.cloudappsecurity.com

Controles de acceso y sesión

Configure el firewall para el proxy inverso mediante la configuración pertinente para su entorno.

Clientes comerciales

Para los clientes comerciales, para habilitar Cloud App Security proxy inverso, agregue el puerto de salida 443 para las siguientes direcciones IP y nombres DNS a la lista de permitidos del firewall:

*.cas.ms
*.mcas.ms
*.admin-mcas.ms
mcasproxy.azureedge.net

Además, se deben permitir los siguientes elementos, en función del centro de datos que use:

Direcciones IP Nombre DNS
Sudeste de Australia: 40.81.58.184, 40.81.58.180, 20.40.163.96, 20.40.163.88, 40.81.62.221, 40.81.62.206, 20.40.160.184, 20.40.163.130

Sur de Brasil: 191.235.123.114, 191.235.121.164, 191.235.122.101, 191.235.119.253, 191.233.23.29, 191.234.216.181, 191.233.21.52, 191.234.216.10

Centro de Canadá: 40.82.187.211, 40.82.187.164, 52.139.18.234, 52.139.20.118, 40.82.187.199, 40.82.187.179, 52.139.19.215, 52.139.18.236

Centro de la India: 20.193.137.191, 20.193.137.153, 20.193.138.1, 20.193.136.234, 20.193.131.246, 20.193.131.250, 20.193.131.247, 20.193.131.248

Norte de Europa: 52.156.205.222, 52.156.204.99, 52.155.166.50, 52.142.127.127, 52.155.181.183, 52.155.168.45, 52.156.202.7, 52.142.124.23

Sudeste Asiático: 40.65.170.125, 40.65.170.123, 52.139.245.40, 52.139.245.48, 40.119.203.158, 40.119.203.209, 20.184.61.67, 20.184.60.77

Oeste de Europa: 52.157.233.49, 52.157.235.27, 51.105.164.234, 51.105.164.241

Oeste de Reino Unido: 40.81.121.140, 40.81.121.135, 51.137.137.121, 51.137.137.118

Este de EE. UU.: 104.45.170.196, 104.45.170.182, 52.151.238.5, 52.151.237.243, 104.45.170.173, 104.45.170.176, 52.224.188.157, 52.224.188.168

Oeste de EE. UU. 2: 52.156.88.173, 52.149.61.128, 52.149.61.214, 52.149.63.211, 20.190.7.24, 20.190.6.224, 20.190.7.239, 20.190.7.233
*.mcas.ms
*.admin-mcas.ms
Sudeste de Australia: 40.81.63.7, 40.81.59.90, 40.81.62.222, 40.81.62.212, 20.42.228.161

Sur de Brasil: 191.235.123.242, 191.235.122.224, 20.197.208.38, 20.197.208.36

Norte de Europa: 40.67.251.0, 52.156.206.47, 52.155.182.49, 52.155.181.181, 20.50.64.15

Oeste de Europa: 52.157.234.222, 52.157.236.195

Sudeste Asiático: 40.65.170.137, 40.65.170.26, 40.119.203.98, 40.119.203.208, 20.43.132.128

Oeste de Reino Unido: 40.81.127.139, 40.81.127.25, 51.137.163.32

Este de EE. UU.: 104.45.170.184, 104.45.170.185, 104.45.170.174, 104.45.170.127, 20.49.104.46

Oeste de EE. UU. 2: 52.149.59.151, 52.156.89.175, 20.72.216.133, 20.72.216.137
*.access.mcas.ms
*.us.access-control.cas.ms
*.us2.access-control.cas.ms
*.eu.access-control.cas.ms
*.prod04.access-control.cas.ms
*.prod05.access-control.cas.ms
Norte de Europa: 20.50.64.15

Este de EE. UU.: 20.49.104.26

Oeste de EE. UU. 2: 20.42.128.102
*.us.saml.cas.ms * .us2.saml.cas.ms * .us3.saml.cas.ms * .eu.saml.cas.ms *.eu2.saml.cas.ms

Ofertas del Gobierno de EE. UU.

Para los clientes de GCC High de Us Government Cloud App Security, para habilitar un proxy inverso, agregue el puerto de salida 443 para los siguientes nombres DNS a la lista de permitidos del firewall:

*.mcas-gov.us
*.admin-mcas-gov.us
mcasproxy.azureedge.net

Además, se deben permitir los siguientes elementos:

Para los clientes de GCC High para la Administración GCC Estados Unidos:

Direcciones IP Nombre DNS
US Gov Arizona: 52.244.144.65, 52.244.43.90, 52.244.43.225, 52.244.215.117

US Gov Virginia: 13.72.27.223, 13.72.27.219, 13.72.27.220, 13.72.27.222
*.mcas-gov.us
*.admin-mcas-gov.us
US Gov Arizona: 52.244.215.83, 52.244.212.197

US Gov Virginia: 13.72.27.216, 13.72.27.215
*.access.mcas-gov.us
*.access.cloudappsecurity.us
US Gov Arizona: 20.140.49.129

US Gov Virginia: 52.227.216.80
*.saml.cloudappsecurity.us

Para los clientes de GCC gobierno de EE. UU.:

Direcciones IP Nombre DNS
US Gov Virginia: 52.245.225.0, 52.245.224.229, 52.245.224.234, 52.245.224.228 *.mcas-gov.ms
*.admin-mcas-gov.ms
US Gov Virginia: 52.245.224.235, 52.245.224.227 *.access.mcas-gov.ms
US Gov Virginia: 52.227.216.80 *.saml.cloudappsecuritygov.com

Conexión del agente SIEM

Para habilitar Cloud App Security conectarse al SIEM, agregue el puerto de salida 443 para las siguientes direcciones IP a la lista de permitidos del firewall:

Centro de datos Direcciones IP
Estados Unidos 1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82
US3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62
Unión Europea 1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62
EU2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62
Gov US1 13.72.19.4, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

Nota

  • Si no especificó un proxy al configurar el agente SIEM de Cloud App Security, debe permitir conexiones HTTP en el puerto 80 para las direcciones URL enumeradas en la página de cambios del certificado TLS de Azure. Esto sirve para comprobar el estado de revocación de certificado al conectarse al portal de Cloud App Security.
  • Se requiere un Microsoft Cloud App Security de certificado original para la conexión del agente SIEM.

Conector de la aplicación

Se pueden usar estas direcciones IP para que Cloud App Security pueda acceder a algunas aplicaciones de terceros. Las direcciones IP permiten a Cloud App Security recopilar registros y proporcionan acceso a la consola de Cloud App Security.

Nota

Puede que vea estas direcciones IP en los registros de actividad del proveedor, ya que Cloud App Security realiza acciones de gobernanza y exámenes desde ellas.

Para conectarse a aplicaciones de terceros, habilite Cloud App Security para permitir la conexión desde estas direcciones IP:

Centro de datos Direcciones IP
Estados Unidos 1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.68.76.47, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.42.54.148, 104.209.35.177, 40.83.194.192, 40.83,.194.193, 40.83.194.194, 40.83.194.195, 40.83.194.196, 40.83.194.197, 40.83.194.198, 40.83.194.199, 40.83.194.200, 40.83.194.201, 40.83.194.202, 40.83.194.203, 40.83.194.204, 40.83.194.205, 40.83.194.206, 40.83.194.207
US2 13.68.76.47, 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.42.54.148, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189, 20.57.54.192, 20.57.54.193, 20.57.54.194, 20.57.54.195, 20.57.54.196, 20.57.54.197, 20.57.54.198, 20.57.54.199, 20.57.54.200, 20.57.54.201, 20.57.54.202, 20.57.54.203, 20.57.54.204, 20.57.54.205, 20.57.54.206, 20.57.54.207
US3 13.68.76.47, 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242, 104.42.54.148, 52.156.123.128, 52.156.123.129, 52.156.123.130, 52.156.123.131, 52.156.123.132, 52.156.123.133, 52.156.123.134, 52.156.123.135, 52.156.123.136, 52.156.123.137, 52.156.123.138, 52.156.123.139, 52.156.123.140, 52.156.123.141, 52.156.123.142, 52.156.123.143
Unión Europea 1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.115.25.50, 40.119.154.72, 51.105.55.62, 51.105.179.157, 51.137.200.32, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180, 20.73.240.208, 20.73.240.209, 20.73.240.210, 20.73.240.211, 20.73.240.212, 20.73.240.213, 20.73.240.214, 20.73.240.215, 20.73.240.216, 20.73.240.217, 20.73.240.218, 20.73.240.219, 20.73.240.220, 20.73.240.221, 20.73.240.222, 20.73.240.223
EU2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.105.55.62, 51.137.200.32, 51.145.108.227, 51.145.108.250, 20.58.119.224, 20.58.119.225, 20.58.119.226, 20.58.119.227, 20.58.119.228, 20.58.119.229, 20.58.119.230, 20.58.119.231, 20.58.119.232, 20.58.119.233, 20.58.119.234, 20.58.119.235, 20.58.119.236, 20.58.119.237, 20.58.119.238, 20.58.119.239
Gov US1 52.227.138.248, 52.227.142.192, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

Integración de DLP de terceros

Para permitir que Cloud App Security envíe datos a través de Stunnel al servidor ICAP, abra el firewall de red perimetral a estas direcciones IP con un número de puerto de origen dinámico.

  1. Direcciones de origen: estas direcciones deben permitirse tal y como se mencionó anteriormente para las aplicaciones de terceros del conector de API.
  2. Puerto TCP de origen: dinámico
  3. Direcciones de destino: una o dos direcciones IP del servidor Stunnel conectado al servidor ICAP externo
  4. Puerto TCP de destino: según se defina en la red

Nota

  • El número de puerto de Stunnel está establecido de forma predeterminada en 11344. Si es necesario, puede cambiarlo y usar otro, pero no olvide anotar el número de puerto nuevo.
  • Puede que vea estas direcciones IP en los registros de actividad del proveedor, ya que Cloud App Security realiza acciones de gobernanza y exámenes desde ellas.

Para conectar aplicaciones de terceros e integrar soluciones de DLP externas, habilite la conexión de Cloud App Security desde estas direcciones IP:

Centro de datos Direcciones IP
Estados Unidos 1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.209.35.177
US2 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189
US3 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242
Unión Europea 1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.119.154.72, 51.105.179.157, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180
EU2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.145.108.227, 51.145.108.250

Servidor de correo

Para permitir que las notificaciones se envíen desde la plantilla y la configuración predeterminadas, agregue estas direcciones IP a la lista de permitidos contra correo no deseado. Las direcciones IP de correo electrónico dedicadas de Cloud App Security son:

  • 65.55.234.192/26
  • 207.46.50.192/26
  • 65.55.52.224/27
  • 94.245.112.0/27
  • 111.221.26.0/27
  • 207.46.200.0/27

Si desea personalizar la identidad del remitente del correo electrónico, Microsoft Cloud App Security personalización mediante MailChimp ® , un servicio de correo electrónico de terceros. Para facilitar el trabajo en el portal de Microsoft Cloud App Security, vaya a Configuración. Seleccione Configuración de correo y revise los términos de servicio y la declaración de privacidad de MailChimp. Después, conceda permiso a Microsoft para usar MailChimp en su nombre.

Si no personaliza la identidad del remitente, las notificaciones por correo electrónico se enviarán con toda la configuración predeterminada.

Para trabajar con MailChimp, agregue esta dirección IP a la lista de permitidos anti spam para permitir que se envíen notificaciones: 198.2.134.139 ( mail1.cloudappsecurity.com )

Recopilador de registros

Para habilitar características de Cloud Discovery por medio de un recopilador de registros y detectar Shadow TI en la organización, abra los siguientes elementos:

Nota

  • Si el firewall requiere una lista de acceso a direcciones IP estáticas y no admite la posibilidad de permitir en función de la dirección URL, permita que el recopilador de registros inicie el tráfico saliente a los intervalos IP del centro de datos de Microsoft Azure en el puerto 443.
  • Si no especificó un proxy al configurar el recopilador de registros, debe permitir conexiones HTTP en el puerto 80 para las direcciones URL enumeradas en la página de cambios del certificado TLS de Azure. Esto sirve para comprobar el estado de revocación de certificado al conectarse al portal de Cloud App Security.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.