Configuration requise pour le réseau

S’applique à : Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour. Nous allons très prochainement mettre à jour les noms des produits et des documents.

Cet article fournit la liste des ports et des adresses IP que vous devez autoriser et allowlist à utiliser avec Microsoft Cloud App Security.

Afficher votre centre de données

Certaines exigences stipulées ci-dessous varient en fonction du centre de données auquel vous êtes connecté.

Pour savoir à quel centre de données vous vous connectez, effectuez les étapes suivantes :

  1. Dans le portail Cloud App Security, sélectionnez l' icône point d’interrogation dans la barre de menus. Ensuite, sélectionnez À propos de.

    cliquez sur À propos de

  2. Dans l’écran de la version Cloud App Security, vous pouvez voir la région et le centre de données.

    Afficher votre centre de données

Accès au portail

Pour accéder au portail Cloud App Security, ajoutez le port de sortie 443 pour les adresses IP et les noms DNS suivants à l’allowlist de votre pare-feu :

portal.cloudappsecurity.com
*.portal.cloudappsecurity.com
cdn.cloudappsecurity.com
https://adaproddiscovery.azureedge.net
*.s-microsoft.com
*.msecnd.net
dev.virtualearth.net
*.cloudappsecurity.com
flow.microsoft.com
static2.sharepointonline.com
dc.services.visualstudio.com
*.blob.core.windows.net

Pour les clients des États-Unis, il est également nécessaire d’ajouter les noms DNS suivants dans le allowlist de votre pare-feu pour fournir l’accès au portail haute disponibilité Cloud App Security GCC :

portal.cloudappsecurity.us
*.portal.cloudappsecurity.us
cdn.cloudappsecurity.com

En outre, les éléments suivants doivent être autorisés, en fonction du centre de données que vous utilisez :

Centre de données Adresses IP Nom DNS
US1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us.portal.cloudappsecurity.com
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 *.us2.portal.cloudappsecurity.com
US3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us3.portal.cloudappsecurity.com
EU1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 *.eu.portal.cloudappsecurity.com
EU2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.eu2.portal.cloudappsecurity.com
Gov US1 13.72.19.4, 52.227.143.223 *. us1.portal.cloudappsecurity.us
GCC 52.227.23.181, 52.227.180.126 portal.cloudappsecuritygov.com, *. portal.cloudappsecuritygov.com

Notes

Au lieu d’un caractère générique (*) vous pouvez ouvrir seulement l’URL de votre locataire spécifique. Par exemple, d’après la capture d’écran ci-dessus, vous pouvez ouvrir : mod244533.us.portal.cloudappsecurity.com

Contrôles d’accès et de session

Configurez votre pare-feu pour le proxy inverse à l’aide des paramètres relatifs à votre environnement.

Clients commerciaux

Pour les clients commerciaux, pour activer Cloud App Security proxy inverse, ajoutez le port de sortie 443 pour les adresses IP et les noms DNS suivants à l’allowlist de votre pare-feu :

*.cas.ms
*.mcas.ms
*.admin-mcas.ms
mcasproxy.azureedge.net

En outre, les éléments suivants doivent être autorisés, en fonction du centre de données que vous utilisez :

Adresses IP Nom DNS
40.81.58.184, 40.81.58.180, 20.40.163.96, 20.40.163.88, 191.235.123.114, 191.235.121.164, 191.235.122.101, 191.235.119.253, 40.82.187.211, 40.82.187.164, 52.139.18.234, 52.139.20.118, 20.193.137.191, 20.193.137.153, 20.193.138.1, 20.193.136.234, 52.156.205.222, 52.156.204.99, 52.155.166.50, 52.142.127.127, 40.65.170.125, 40.65.170.123, 52.139.245.40, 52.139.245.48, 40.81.121.140, 40.81.121.135, 51.137.137.121, 51.137.137.118, 104.45.170.196, 104.45.170.182, 52.151.238.5, 52.151.237.243

40.81.62.221, 40.81.62.206, 20.40.160.184, 20.40.163.130, 191.233.23.29, 191.234.216.181, 191.233.21.52, 191.234.216.10, 40.82.187.199, 40.82.187.179, 52.139.19.215, 52.139.18.236, 20.193.131.246, 20.193.131.250, 20.193.131.247, 20.193.131.248, 52.155.181.183, 52.155.168.45, 52.156.202.7, 52.142.124.23, 52.157.233.49, 52.157.235.27, 51.105.164.234, 51.105.164.241, 40.119.203.158, 40.119.203.209, 20.184.61.67, 20.184.60.77, 104.45.170.173, 104.45.170.176, 52.224.188.157, 52.224.188.168
*. mcas.ms
*. admin-mcas.ms
40.81.63.7, 40.81.59.90, 191.235.123.242, 191.235.122.224, 40.67.251.0, 52.156.206.47, 40.65.170.137, 40.65.170.26, 40.81.127.139, 40.81.127.25, 104.45.170.184, 104.45.170.185, 52.149.59.151, 52.156.89.175

40.81.62.222, 40.81.62.212, 20.197.208.38, 20.197.208.36, 52.155.182.49, 52.155.181.181, 52.157.234.222, 52.157.236.195, 40.119.203.98, 40.119.203.208, 104.45.170.174, 104.45.170.127, 20.72.216.133, 20.72.216.137
*. access.mcas.ms
*. us.access-control.cas.ms
*. us2.access-control.cas.ms
*. eu.access-control.cas.ms
*. prod04.access-control.cas.ms
*. prod05.access-control.cas.ms
40.71.11.134, 13.69.228.51 *. us.saml.cas.ms * . US2.SAML.cas.ms * . us3.saml.cas.ms. * eu.saml.cas.ms *. EU2.SAML.cas.ms

Offres gouvernementales américaines

Pour les clients des États-Unis, GCC High Customers, pour activer Cloud App Security proxy inverse, ajoutez le port de sortie 443 pour les noms DNS suivants à l’allowlist de votre pare-feu :

*.mcas-gov.us
*.admin-mcas-gov.us
mcasproxy.azureedge.net

En outre, les éléments suivants doivent être autorisés :

Pour les clients du gouvernement des États-Unis, GCC High :

Adresses IP Nom DNS
13.72.27.223, 13.72.27.219, 13.72.27.220, 13.72.27.222

52.244.144.65, 52.244.43.90, 52.244.43.225, 52.244.215.117
*. mcas-gov.us
*. admin-mcas-gov.us
13.72.27.216, 13.72.27.215

52.244.215.83, 52.244.212.197
*. access.mcas-gov.us
*. access.cloudappsecurity.us
20.140.49.129, 52.227.216.80 *. saml.cloudappsecurity.us

Connexion de l’agent SIEM

Pour permettre à Cloud App Security de se connecter à votre serveur SIEM, ajoutez le port de sortie 443 pour les adresses IP suivantes à l’allowlist de votre pare-feu :

Centre de données Adresses IP
US1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82
US3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62
EU1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62
EU2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62
Gov US1 13.72.19.4, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

Notes

Si vous n’avez pas spécifié de proxy lors de la configuration de l’agent SIEM Cloud App Security, vous devez autoriser les connexions http sur le port 80 pour les URL listées dans la page modifications du certificat TLS Azure . Il est utilisé pour vérifier l’état de révocation du certificat lorsque vous vous connectez au portail Cloud App Security.

Connecteur d’applications

Pour que certaines applications tierces soient accessibles par Cloud App Security, ces adresses IP peuvent être utilisées. Les adresses IP permettent à Cloud App Security de collecter les journaux et de fournir un accès pour la console Cloud App Security.

Notes

Vous verrez peut-être ces adresses IP dans les journaux d’activité du fournisseur, car Cloud App Security effectue des actions de gouvernance et des analyses à partir de ces adresses IP.

Pour se connecter à des applications tierces, autorisez Cloud App Security à se connecter à partir de ces adresses IP :

Centre de données Adresses IP
US1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.68.76.47, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.42.54.148, 104.209.35.177
US2 13.68.76.47, 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.42.54.148, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189
US3 13.68.76.47, 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242, 104.42.54.148
EU1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.115.25.50, 40.119.154.72, 51.105.55.62, 51.105.179.157, 51.137.200.32, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180
EU2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.105.55.62, 51.137.200.32, 51.145.108.227, 51.145.108.250
Gov US1 52.227.138.248, 52.227.142.192, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

Intégration de solutions DLP tierces

Pour que Cloud App Security puisse envoyer des données via votre stunnel à votre serveur ICAP, ouvrez votre pare-feu DMZ à ces adresses IP avec un numéro de port source dynamique.

  1. Adresses sources : ces adresses doivent être autorisées comme indiqué ci-dessus pour les applications tierces du connecteur d’API
  2. Port TCP source : dynamique
  3. Adresse(s) de destination : une ou deux adresses IP du stunnel connecté au serveur ICAP externe
  4. Port TCP de destination : comme défini dans votre réseau

Notes

  • Par défaut, le numéro de port du stunnel a la valeur 11344. Vous pouvez le remplacer par un autre port si nécessaire, mais n’oubliez pas de noter le nouveau numéro de port.
  • Vous verrez peut-être ces adresses IP dans les journaux d’activité du fournisseur, car Cloud App Security effectue des actions de gouvernance et des analyses à partir de ces adresses IP.

Pour se connecter à des applications tierces et s’intégrer à des solutions DLP externes, autorisez Cloud App Security à se connecter à partir de ces adresses IP :

Centre de données Adresses IP
US1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.209.35.177
US2 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189
US3 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242
EU1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.119.154.72, 51.105.179.157, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180
EU2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.145.108.227, 51.145.108.250

Serveur de messagerie

Pour permettre l’envoi de notifications à partir du modèle et des paramètres par défaut, ajoutez ces adresses IP à votre allowlist anti-spam. Les adresses IP de courrier dédiées à Cloud App Security sont les suivantes :

  • 65.55.234.192/26
  • 207.46.50.192/26
  • 65.55.52.224/27
  • 94.245.112.0/27
  • 111.221.26.0/27
  • 207.46.200.0/27

Si vous souhaitez personnaliser l’identité de l’expéditeur du courrier électronique, Microsoft Cloud App Security active la personnalisation à l’aide de MailChimp ® , un service de messagerie tiers. Pour cela, dans le portail Microsoft Cloud App Security, accédez à Paramètres. Sélectionnez paramètres de messagerie et passez en revue les conditions d’entretien et la déclaration de confidentialité de MailChimp. Ensuite, autorisez Microsoft à utiliser MailChimp en votre nom.

Si vous ne personnalisez pas l’identité de l’expéditeur, vos notifications par courrier électronique sont envoyées à l’aide de tous les paramètres par défaut.

Pour utiliser MailChimp, ajoutez cette adresse IP à votre allowlist anti-spam pour permettre l’envoi de notifications : 198.2.134.139 ( mail1.cloudappsecurity.com )

Collecteur de journaux

Pour activer les fonctionnalités Cloud Discovery à l’aide d’un collecteur de journaux et détecter l’informatique fantôme dans votre organisation, ouvrez les éléments suivants :

Notes

  • Si votre pare-feu nécessite une liste d’accès à une adresse IP statique et ne prend pas en charge l’autorisation basée sur l’URL, autorisez le collecteur de journaux à initier le trafic sortant vers les plages IP du centre de Microsoft Azure Datacenter sur le port 443.
  • Autorisez le collecteur de journaux à diriger le trafic sortant vers le portail Cloud App Security.
  • Si vous n’avez pas spécifié de proxy lors de la configuration du collecteur de journaux, vous devez autoriser les connexions http sur le port 80 pour les URL listées dans la page modifications du certificat TLS Azure . Il est utilisé pour vérifier l’état de révocation du certificat lorsque vous vous connectez au portail Cloud App Security.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.