Netwerkvereisten
Notitie
We hebben de naam van Microsoft Cloud App Security gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken worden de schermafbeeldingen en instructies hier en op gerelateerde pagina's bijgewerkt. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.
Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.
Dit artikel bevat een lijst met poorten en IP-adressen die u moet toestaan en toestaan om te werken met Microsoft Defender for Cloud Apps.
Uw datacenter weergeven
Enkele van de onderstaande vereisten zijn afhankelijk van het datacenter waarmee u bent verbonden.
Voer de volgende stappen uit om te zien met welk datacenter u verbinding maakt:
Selecteer in de Defender voor Cloud Apps-portal het vraagtekenpictogram in de menubalk. Selecteer Vervolgens Info.
In het scherm Defender voor Cloud Apps-versie ziet u de regio en het datacenter.
Portaltoegang
Voor toegang tot de Defender voor Cloud Apps-portal voegt u uitgaande poort 443 toe voor de volgende IP-adressen en DNS-namen aan de acceptatielijst van uw firewall:
portal.cloudappsecurity.com
*.portal.cloudappsecurity.com
cdn.cloudappsecurity.com
https://adaproddiscovery.azureedge.net
*.s-microsoft.com
*.msecnd.net
dev.virtualearth.net
*.cloudappsecurity.com
flow.microsoft.com
static2.sharepointonline.com
dc.services.visualstudio.com
*.blob.core.windows.net
Voor klanten van de Amerikaanse overheid GCC Hoge klanten moet u ook de volgende DNS-namen toevoegen aan de acceptatielijst van uw firewall om toegang te bieden voor de Defender voor Cloud Apps GCC High-portal:
portal.cloudappsecurity.us
*.portal.cloudappsecurity.us
cdn.cloudappsecurity.com
Daarnaast moeten de volgende items worden toegestaan, afhankelijk van het datacenter dat u gebruikt:
| Datacenter | IP-adressen | DNS-naam |
|---|---|---|
| VS1 | 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 | *.us.portal.cloudappsecurity.com |
| US2 | 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 | *.us2.portal.cloudappsecurity.com |
| US3 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 | *.us3.portal.cloudappsecurity.com |
| EU1 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 | *.eu.portal.cloudappsecurity.com |
| EU2 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 | *.eu2.portal.cloudappsecurity.com |
| Gov US1 | 13.72.19.4, 52.227.143.223 | *.us1.portal.cloudappsecurity.us |
| GCC | 52.227.23.181, 52.227.180.126 | portal.cloudappsecuritygov.com, *.portal.cloudappsecuritygov.com, *.us1.portal.cloudappsecuritygov.com |
Notitie
In plaats van een jokerteken (*) kunt u bijvoorbeeld alleen uw specifieke tenant-URL openen op basis van de bovenstaande schermopname: mod244533.us.portal.cloudappsecurity.com
Toegangs- en sessiebesturingselementen
Configureer uw firewall voor omgekeerde proxy met behulp van de instellingen die relevant zijn voor uw omgeving.
Commerciële klanten
Voor commerciële klanten, voor het inschakelen van Defender voor Cloud apps omgekeerde proxy, voegt u uitgaande poort 443 toe voor de volgende IP-adressen en DNS-namen aan de acceptatielijst van uw firewall:
*.cas.ms
*.mcas.ms
*.admin-mcas.ms
mcasproxy.azureedge.net
Bovendien moeten de volgende IP-adressen die worden gebruikt door onze omgekeerde proxyregio's worden toegestaan:
| IP-adressen | DNS-naam | |
|---|---|---|
| Sessiebesturingselementen | Australië - zuidoost: 40.81.58.184, 40.81.58.180, 20.40.163.96, 20.40.163.88, 40.81.62.221, 40.81.62.206, 20.40.160.184, 20.40.163.130 Brazilië - zuid: 191.235.123.114, 191.235.121.164, 191.235.122.101, 191.235.119.253, 191.233.23.29, 191.234.216.181, 191.233.21.52, 191.234.216.10 Canada - centraal: 40.82.187.211, 40.82.187.164, 52.139.18.234, 52.139.20.118, 40.82.187.199, 40.82.187.179, 52.139.19.215, 52.139.18.236 Centraal India: 20.193.137.191, 20.193.137.153, 20.193.138.1, 20.193.136.234, 20.193.131.246, 20.193.131.250, 20.193.131.247, 20.193.131.248 Europa - noord: 52.156.205.222, 52.156.204.99, 52.155.166.50, 52.142.127.127, 52.155.181.183, 52.155.168.45, 52.156.202.7, 52.142.124.23 Zuidoost-Azië: 40.65.170.125, 40.65.170.123, 52.139.245.40, 52.139.245.48, 40.119.203.158, 40.119.203.209, 20.184.61.67, 20.184.60.77 Europa - west: 52.157.233.49, 52.157.235.27, 51.105.164.234, 51.105.164.241 VK - west: 40.81.121.140, 40.81.121.135, 51.137.137.121, 51.137.137.118 VS - oost: 104.45.170.196, 104.45.170.182, 52.151.238.5, 52.151.237.243, 104.45.170.173, 104.45.170.176, 52.224.188.157, 52.224.188.168 US - west 2: 52.156.88.173, 52.149.61.128, 52.149.61.214, 52.149.63.211, 20.190.7.24, 20.190.6.224, 20.190.7.239, 20.190.7.233 |
*.mcas.ms *.admin-mcas.ms |
| Besturingselementen voor toegang | Australië - zuidoost: 40.81.63.7, 40.81.59.90, 40.81.62.222, 40.81.62.212, 20.42.228.161 Brazilië - zuid: 191.235.123.242, 191.235.122.224, 20.197.208.38, 20.197.208.36.191.235.228.36 Europa - noord: 40.67.251.0, 52.156.206.47, 52.155.182.49, 52.155.181.181, 20.50.64.15 Europa - west: 52.157.234.222, 52.157.236.195 Zuidoost-Azië: 40.65.170.137, 40.65.170.26, 40.119.203.98, 40.119.203.208, 20.43.132.128 VK - west: 40.81.127.139, 40.81.127.25, 51.137.163.32 VS - oost: 104.45.170.184, 104.45.170.185, 104.45.170.174, 104.45.170.127, 20.49.104.46 US - west 2: 52.149.59.151, 52.156.89.175, 20.72.216.133, 20.72.216.137.20.115.232.7 Canada - centraal: 20.48.202.161 |
*.access.mcas.ms *.us.access-control.cas.ms *.us2.access-control.cas.ms *.eu.access-control.cas.ms *.prod04.access-control.cas.ms *.prod05.access-control.cas.ms |
| SAML-proxy | Europa - noord: 20.50.64.15 VS - oost: 20.49.104.26 US - west 2: 20.42.128.102 |
*.us.saml.cas.ms *.us2.saml.cas.ms *.us3.saml.cas.ms *.eu.saml.cas.ms *.eu2.saml.cas.ms |
Aanbiedingen van de Amerikaanse overheid
Voeg voor amerikaanse overheid GCC High-klanten om omgekeerde proxy voor Defender voor Cloud Apps in te schakelen, uitgaande poort 443 toe voor de volgende DNS-namen aan de acceptatielijst van uw firewall:
*.mcas-gov.us
*.admin-mcas-gov.us
mcasproxy.azureedge.net
Bovendien moeten de volgende IP-adressen die worden gebruikt door onze omgekeerde proxyregio's, worden toegestaan:
Voor amerikaanse overheid GCC hoge klanten:
| IP-adressen | DNS-naam | |
|---|---|---|
| Sessiebesturingselementen | US Gov Arizona: 52.244.144.65, 52.244.43.90, 52.244.43.225, 52.244.215.117 US Gov Virginia: 13.72.27.223, 13.72.27.219, 13.72.27.220, 13.72.27.222 |
*.mcas-gov.us *.admin-mcas-gov.us |
| Besturingselementen voor toegang | US Gov Arizona: 52.244.215.83, 52.244.212.197 US Gov Virginia: 13.72.27.216, 13.72.27.215, 52.127.50.130 |
*.access.mcas-gov.us *.access.cloudappsecurity.us |
| SAML-proxy | US Gov Arizona: 20.140.49.129 US Gov Virginia: 52.227.216.80 |
*.saml.cloudappsecurity.us |
Voor klanten van de Amerikaanse overheid GCC:
| IP-adressen | DNS-naam | |
|---|---|---|
| Sessiebesturingselementen | US Gov Virginia: 52.245.225.0, 52.245.224.229, 52.245.224.234, 52.245.224.228 | *.mcas-gov.ms *.admin-mcas-gov.ms |
| Besturingselementen voor toegang | US Gov Virginia: 52.245.224.235, 52.245.224.227, 52.127.50.130 | *.access.mcas-gov.ms |
| SAML-proxy | US Gov Virginia: 52.227.216.80 | *.saml.cloudappsecuritygov.com |
SIEM-agentverbinding
Als u Defender voor Cloud Apps wilt inschakelen om verbinding te maken met uw SIEM, voegt u uitgaande poort 443 toe voor de volgende IP-adressen aan de acceptatielijst van uw firewall:
| Datacenter | IP-adressen |
|---|---|
| VS1 | 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 |
| US2 | 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 |
| VS3 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 |
| EU1 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 |
| EU2 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 |
| Gov US1 | 13.72.19.4, 52.227.143.223 |
| GCC | 52.227.23.181, 52.227.180.126 |
Notitie
- Als u geen proxy hebt opgegeven bij het instellen van de SIEM-agent van Defender voor Cloud Apps, moet u HTTP-verbindingen toestaan op poort 80 voor de URL's die worden vermeld op de pagina met wijzigingen in het Azure TLS-certificaat. Dit wordt gebruikt voor het controleren van de certificaatintrekkingsstatus wanneer u verbinding maakt met de Defender voor Cloud Apps-portal.
- Er is een echt Microsoft Defender for Cloud Apps certificaatgebruik vereist voor de VERBINDING met de SIEM-agent.
App-connector
Voor sommige apps van derden die toegankelijk zijn voor Defender voor Cloud Apps, kunnen deze IP-adressen worden gebruikt. Met de IP-adressen kunnen Defender voor Cloud Apps logboeken verzamelen en toegang bieden tot de Defender voor Cloud Apps-console.
Notitie
Mogelijk ziet u deze IP-adressen in activiteitenlogboeken van de leverancier, omdat Defender voor Cloud Apps beheeracties uitvoert en scans uitvoert op basis van deze IP-adressen.
Als u verbinding wilt maken met apps van derden, schakelt u Defender voor Cloud Apps in om verbinding te maken vanaf deze IP-adressen:
| Datacenter | IP-adressen |
|---|---|
| VS1 | 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.68.76.47, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.42.54.148, 104.209.35.177, 40.83.194.192, 40.83,.194.193, 40.83.194.194, 40.83.194.195, 40.83.194.196, 40.83.194.197, 40.83.194.198, 40.83.194.199, 40.83.194.200, 40.83.194.201, 40.83.194.202, 40.83.194.203, 40.83.194.204, 40.83.194.205, 40.83.194.206, 40.83.194.207 |
| US2 | 13.68.76.47, 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.42.54.148, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189, 20.57.54.192, 20.57.54.193, 20.57.54.194, 20.57.54.195, 20.57.54.196, 20.57.54.197, 20.57.54.198, 20.57.54.199, 20.57.54.200, 20.57.54.201, 20.57.54.202, 20.57.54.203, 20.57.54.204, 20.57.54.205, 20.57.54.206, 20.57.54.207 |
| VS3 | 13.68.76.47, 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242, 104.42.54.148, 52.156.123.128, 52.156.123.129, 52.156.123.130, 52.156.123.131, 52.156.123.132, 52.156.123.133, 52.156.123.134, 52.156.123.135, 52.156.123.136, 52.156.123.137, 52.156.123.138, 52.156.123.139, 52.156.123.140, 52.156.123.141, 52.156.123.142, 52.156.123.143 |
| EU1 | 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.115.25.50, 40.119.154.72, 51.105.55.62, 51.105.179.157, 51.137.200.32, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180, 20.73.240.208, 20.73.240.209, 20.73.240.210, 20.73.240.211, 20.73.240.212, 20.73.240.213, 20.73.240.214, 20.73.240.215, 20.73.240.216, 20.73.240.217, 20.73.240.218, 20.73.240.219, 20.73.240.220, 20.73.240.221, 20.73.240.222, 20.73.240.223 |
| EU2 | 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.105.55.62, 51.137.200.32, 51.145.108.227, 51.145.108.250, 20.58.119.224, 20.58.119.225, 20.58.119.226, 20.58.119.227, 20.58.119.228, 20.58.119.229, 20.58.119.230, 20.58.119.231, 20.58.119.232, 20.58.119.233, 20.58.119.234, 20.58.119.235, 20.58.119.236, 20.58.119.237, 20.58.119.238, 20.58.119.239 |
| Gov US1 | 52.227.138.248, 52.227.142.192, 52.227.143.223 |
| GCC | 52.227.23.181, 52.227.180.126 |
DLP-integratie van derden
Als u Defender voor Cloud Apps in staat wilt stellen om gegevens via uw tunnel naar uw ICAP-server te verzenden, opent u uw DMZ-firewall naar deze IP-adressen met een dynamisch bronpoortnummer.
- Bronadressen : deze adressen moeten worden toegestaan zoals hierboven vermeld voor apps van derden van de API-connector
- TCP-bronpoort - Dynamisch
- Doeladres(sen) - Een of twee IP-adressen van de stunnel die is verbonden met de externe ICAP-server
- Tcp-doelpoort - zoals gedefinieerd in uw netwerk
Notitie
- Standaard is het poortnummer van de tunnel ingesteld op 11344. U kunt deze indien nodig wijzigen in een andere poort, maar noteer het nieuwe poortnummer.
- Mogelijk ziet u deze IP-adressen in activiteitenlogboeken van de leverancier, omdat Defender voor Cloud Apps beheeracties uitvoert en scans uitvoert op basis van deze IP-adressen.
Als u verbinding wilt maken met apps van derden en wilt integreren met externe DLP-oplossingen, schakelt u Defender voor Cloud Apps in om verbinding te maken vanaf deze IP-adressen:
| Datacenter | IP-adressen |
|---|---|
| VS1 | 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.209.35.177 |
| US2 | 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189 |
| VS3 | 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242 |
| EU1 | 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.119.154.72, 51.105.179.157, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180 |
| EU2 | 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.145.108.227, 51.145.108.250 |
E-mailserver
Als u wilt inschakelen dat meldingen worden verzonden vanuit de standaardsjabloon en -instellingen, voegt u deze IP-adressen toe aan uw acceptatielijst voor antispam. De Defender voor Cloud toegewezen e-mailadressen voor apps zijn:
- 65.55.234.192/26
- 207.46.50.192/26
- 65.55.52.224/27
- 94.245.112.0/27
- 111.221.26.0/27
- 207.46.200.0/27
Als u de identiteit van de afzender van e-mail wilt aanpassen, Microsoft Defender for Cloud Apps aanpassingen mogelijk maakt met MailChimp®, een e-mailservice van derden. Als u dit wilt laten werken, gaat u in de Microsoft Defender for Cloud Apps-portal naar Instellingen. Selecteer E-mailinstellingen en controleer de servicevoorwaarden en privacyverklaring van MailChimp. Geef Vervolgens Microsoft toestemming om MailChimp namens u te gebruiken.
Als u de identiteit van de afzender niet aanpast, worden uw e-mailmeldingen verzonden met behulp van alle standaardinstellingen.
Als u met MailChimp wilt werken, voegt u dit IP-adres toe aan uw antispam-acceptatielijst om meldingen te verzenden: 198.2.134.139 (mail1.cloudappsecurity.com)
Logboekverzamelaar
Als u Cloud Discovery-functies wilt inschakelen met behulp van een logboekverzamelaar en Schaduw-IT in uw organisatie wilt detecteren, opent u de volgende items:
Hiermee staat u toe dat de logboekverzamelaar inkomend FTP- en Syslog-verkeer ontvangt zoals geconfigureerd voor de gegevensbronnen.
Hiermee staat u toe dat de logboekverzamelaar uitgaand verkeer naar de Defender voor Cloud Apps-portal (bijvoorbeeld
contoso.cloudappsecurity.com) op poort 443 en toegang tot poort 53 (DNS-services) kan initiëren.Sta toe dat de logboekverzamelaar uitgaand verkeer naar de Azure Blob-opslag initieert op poort 443:
Notitie
- Als uw firewall een lijst met statische IP-adrestoegang vereist en geen ondersteuning biedt voor toestaan op basis van URL, staat u de logboekverzamelaar toe om uitgaand verkeer te initiëren naar de IP-adresbereiken van het Microsoft Azure datacenter op poort 443.
- Als u geen proxy hebt opgegeven bij het instellen van de logboekverzamelaar, moet u http-verbindingen op poort 80 toestaan voor de URL's die worden vermeld op de pagina met wijzigingen in het Azure TLS-certificaat . Dit wordt gebruikt om de certificaatintrekkingsstatus te controleren wanneer u verbinding maakt met de Defender voor Cloud Apps-portal.
Volgende stappen
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning wilt krijgen voor uw productprobleem, opent u een ondersteuningsticket.