Netwerkvereisten

Notitie

  • We hebben de naam van Microsoft Cloud App Security gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken worden de schermafbeeldingen en instructies hier en op gerelateerde pagina's bijgewerkt. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Dit artikel bevat een lijst met poorten en IP-adressen die u moet toestaan en toestaan om te werken met Microsoft Defender for Cloud Apps.

Uw datacenter weergeven

Enkele van de onderstaande vereisten zijn afhankelijk van het datacenter waarmee u bent verbonden.

Voer de volgende stappen uit om te zien met welk datacenter u verbinding maakt:

  1. Selecteer in de Defender voor Cloud Apps-portal het vraagtekenpictogram in de menubalk. Selecteer Vervolgens Info.

    click About.

  2. In het scherm Defender voor Cloud Apps-versie ziet u de regio en het datacenter.

    View your data center.

Portaltoegang

Voor toegang tot de Defender voor Cloud Apps-portal voegt u uitgaande poort 443 toe voor de volgende IP-adressen en DNS-namen aan de acceptatielijst van uw firewall:

portal.cloudappsecurity.com
*.portal.cloudappsecurity.com
cdn.cloudappsecurity.com
https://adaproddiscovery.azureedge.net
*.s-microsoft.com
*.msecnd.net
dev.virtualearth.net
*.cloudappsecurity.com
flow.microsoft.com
static2.sharepointonline.com
dc.services.visualstudio.com
*.blob.core.windows.net

Voor klanten van de Amerikaanse overheid GCC Hoge klanten moet u ook de volgende DNS-namen toevoegen aan de acceptatielijst van uw firewall om toegang te bieden voor de Defender voor Cloud Apps GCC High-portal:

portal.cloudappsecurity.us
*.portal.cloudappsecurity.us
cdn.cloudappsecurity.com

Daarnaast moeten de volgende items worden toegestaan, afhankelijk van het datacenter dat u gebruikt:

Datacenter IP-adressen DNS-naam
VS1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us.portal.cloudappsecurity.com
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 *.us2.portal.cloudappsecurity.com
US3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us3.portal.cloudappsecurity.com
EU1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 *.eu.portal.cloudappsecurity.com
EU2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.eu2.portal.cloudappsecurity.com
Gov US1 13.72.19.4, 52.227.143.223 *.us1.portal.cloudappsecurity.us
GCC 52.227.23.181, 52.227.180.126 portal.cloudappsecuritygov.com, *.portal.cloudappsecuritygov.com, *.us1.portal.cloudappsecuritygov.com

Notitie

In plaats van een jokerteken (*) kunt u bijvoorbeeld alleen uw specifieke tenant-URL openen op basis van de bovenstaande schermopname: mod244533.us.portal.cloudappsecurity.com

Toegangs- en sessiebesturingselementen

Configureer uw firewall voor omgekeerde proxy met behulp van de instellingen die relevant zijn voor uw omgeving.

Commerciële klanten

Voor commerciële klanten, voor het inschakelen van Defender voor Cloud apps omgekeerde proxy, voegt u uitgaande poort 443 toe voor de volgende IP-adressen en DNS-namen aan de acceptatielijst van uw firewall:

*.cas.ms
*.mcas.ms
*.admin-mcas.ms
mcasproxy.azureedge.net

Bovendien moeten de volgende IP-adressen die worden gebruikt door onze omgekeerde proxyregio's worden toegestaan:

IP-adressen DNS-naam
Sessiebesturingselementen Australië - zuidoost: 40.81.58.184, 40.81.58.180, 20.40.163.96, 20.40.163.88, 40.81.62.221, 40.81.62.206, 20.40.160.184, 20.40.163.130

Brazilië - zuid: 191.235.123.114, 191.235.121.164, 191.235.122.101, 191.235.119.253, 191.233.23.29, 191.234.216.181, 191.233.21.52, 191.234.216.10

Canada - centraal: 40.82.187.211, 40.82.187.164, 52.139.18.234, 52.139.20.118, 40.82.187.199, 40.82.187.179, 52.139.19.215, 52.139.18.236

Centraal India: 20.193.137.191, 20.193.137.153, 20.193.138.1, 20.193.136.234, 20.193.131.246, 20.193.131.250, 20.193.131.247, 20.193.131.248

Europa - noord: 52.156.205.222, 52.156.204.99, 52.155.166.50, 52.142.127.127, 52.155.181.183, 52.155.168.45, 52.156.202.7, 52.142.124.23

Zuidoost-Azië: 40.65.170.125, 40.65.170.123, 52.139.245.40, 52.139.245.48, 40.119.203.158, 40.119.203.209, 20.184.61.67, 20.184.60.77

Europa - west: 52.157.233.49, 52.157.235.27, 51.105.164.234, 51.105.164.241

VK - west: 40.81.121.140, 40.81.121.135, 51.137.137.121, 51.137.137.118

VS - oost: 104.45.170.196, 104.45.170.182, 52.151.238.5, 52.151.237.243, 104.45.170.173, 104.45.170.176, 52.224.188.157, 52.224.188.168

US - west 2: 52.156.88.173, 52.149.61.128, 52.149.61.214, 52.149.63.211, 20.190.7.24, 20.190.6.224, 20.190.7.239, 20.190.7.233
*.mcas.ms
*.admin-mcas.ms
Besturingselementen voor toegang Australië - zuidoost: 40.81.63.7, 40.81.59.90, 40.81.62.222, 40.81.62.212, 20.42.228.161

Brazilië - zuid: 191.235.123.242, 191.235.122.224, 20.197.208.38, 20.197.208.36.191.235.228.36

Europa - noord: 40.67.251.0, 52.156.206.47, 52.155.182.49, 52.155.181.181, 20.50.64.15

Europa - west: 52.157.234.222, 52.157.236.195

Zuidoost-Azië: 40.65.170.137, 40.65.170.26, 40.119.203.98, 40.119.203.208, 20.43.132.128

VK - west: 40.81.127.139, 40.81.127.25, 51.137.163.32

VS - oost: 104.45.170.184, 104.45.170.185, 104.45.170.174, 104.45.170.127, 20.49.104.46

US - west 2: 52.149.59.151, 52.156.89.175, 20.72.216.133, 20.72.216.137.20.115.232.7

Canada - centraal: 20.48.202.161
*.access.mcas.ms
*.us.access-control.cas.ms
*.us2.access-control.cas.ms
*.eu.access-control.cas.ms
*.prod04.access-control.cas.ms
*.prod05.access-control.cas.ms
SAML-proxy Europa - noord: 20.50.64.15

VS - oost: 20.49.104.26

US - west 2: 20.42.128.102
*.us.saml.cas.ms *.us2.saml.cas.ms *.us3.saml.cas.ms *.eu.saml.cas.ms *.eu2.saml.cas.ms

Aanbiedingen van de Amerikaanse overheid

Voeg voor amerikaanse overheid GCC High-klanten om omgekeerde proxy voor Defender voor Cloud Apps in te schakelen, uitgaande poort 443 toe voor de volgende DNS-namen aan de acceptatielijst van uw firewall:

*.mcas-gov.us
*.admin-mcas-gov.us
mcasproxy.azureedge.net

Bovendien moeten de volgende IP-adressen die worden gebruikt door onze omgekeerde proxyregio's, worden toegestaan:

Voor amerikaanse overheid GCC hoge klanten:

IP-adressen DNS-naam
Sessiebesturingselementen US Gov Arizona: 52.244.144.65, 52.244.43.90, 52.244.43.225, 52.244.215.117

US Gov Virginia: 13.72.27.223, 13.72.27.219, 13.72.27.220, 13.72.27.222
*.mcas-gov.us
*.admin-mcas-gov.us
Besturingselementen voor toegang US Gov Arizona: 52.244.215.83, 52.244.212.197

US Gov Virginia: 13.72.27.216, 13.72.27.215, 52.127.50.130
*.access.mcas-gov.us
*.access.cloudappsecurity.us
SAML-proxy US Gov Arizona: 20.140.49.129

US Gov Virginia: 52.227.216.80
*.saml.cloudappsecurity.us

Voor klanten van de Amerikaanse overheid GCC:

IP-adressen DNS-naam
Sessiebesturingselementen US Gov Virginia: 52.245.225.0, 52.245.224.229, 52.245.224.234, 52.245.224.228 *.mcas-gov.ms
*.admin-mcas-gov.ms
Besturingselementen voor toegang US Gov Virginia: 52.245.224.235, 52.245.224.227, 52.127.50.130 *.access.mcas-gov.ms
SAML-proxy US Gov Virginia: 52.227.216.80 *.saml.cloudappsecuritygov.com

SIEM-agentverbinding

Als u Defender voor Cloud Apps wilt inschakelen om verbinding te maken met uw SIEM, voegt u uitgaande poort 443 toe voor de volgende IP-adressen aan de acceptatielijst van uw firewall:

Datacenter IP-adressen
VS1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82
VS3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62
EU1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62
EU2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62
Gov US1 13.72.19.4, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

Notitie

  • Als u geen proxy hebt opgegeven bij het instellen van de SIEM-agent van Defender voor Cloud Apps, moet u HTTP-verbindingen toestaan op poort 80 voor de URL's die worden vermeld op de pagina met wijzigingen in het Azure TLS-certificaat. Dit wordt gebruikt voor het controleren van de certificaatintrekkingsstatus wanneer u verbinding maakt met de Defender voor Cloud Apps-portal.
  • Er is een echt Microsoft Defender for Cloud Apps certificaatgebruik vereist voor de VERBINDING met de SIEM-agent.

App-connector

Voor sommige apps van derden die toegankelijk zijn voor Defender voor Cloud Apps, kunnen deze IP-adressen worden gebruikt. Met de IP-adressen kunnen Defender voor Cloud Apps logboeken verzamelen en toegang bieden tot de Defender voor Cloud Apps-console.

Notitie

Mogelijk ziet u deze IP-adressen in activiteitenlogboeken van de leverancier, omdat Defender voor Cloud Apps beheeracties uitvoert en scans uitvoert op basis van deze IP-adressen.

Als u verbinding wilt maken met apps van derden, schakelt u Defender voor Cloud Apps in om verbinding te maken vanaf deze IP-adressen:

Datacenter IP-adressen
VS1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.68.76.47, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.42.54.148, 104.209.35.177, 40.83.194.192, 40.83,.194.193, 40.83.194.194, 40.83.194.195, 40.83.194.196, 40.83.194.197, 40.83.194.198, 40.83.194.199, 40.83.194.200, 40.83.194.201, 40.83.194.202, 40.83.194.203, 40.83.194.204, 40.83.194.205, 40.83.194.206, 40.83.194.207
US2 13.68.76.47, 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.42.54.148, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189, 20.57.54.192, 20.57.54.193, 20.57.54.194, 20.57.54.195, 20.57.54.196, 20.57.54.197, 20.57.54.198, 20.57.54.199, 20.57.54.200, 20.57.54.201, 20.57.54.202, 20.57.54.203, 20.57.54.204, 20.57.54.205, 20.57.54.206, 20.57.54.207
VS3 13.68.76.47, 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242, 104.42.54.148, 52.156.123.128, 52.156.123.129, 52.156.123.130, 52.156.123.131, 52.156.123.132, 52.156.123.133, 52.156.123.134, 52.156.123.135, 52.156.123.136, 52.156.123.137, 52.156.123.138, 52.156.123.139, 52.156.123.140, 52.156.123.141, 52.156.123.142, 52.156.123.143
EU1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.115.25.50, 40.119.154.72, 51.105.55.62, 51.105.179.157, 51.137.200.32, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180, 20.73.240.208, 20.73.240.209, 20.73.240.210, 20.73.240.211, 20.73.240.212, 20.73.240.213, 20.73.240.214, 20.73.240.215, 20.73.240.216, 20.73.240.217, 20.73.240.218, 20.73.240.219, 20.73.240.220, 20.73.240.221, 20.73.240.222, 20.73.240.223
EU2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.105.55.62, 51.137.200.32, 51.145.108.227, 51.145.108.250, 20.58.119.224, 20.58.119.225, 20.58.119.226, 20.58.119.227, 20.58.119.228, 20.58.119.229, 20.58.119.230, 20.58.119.231, 20.58.119.232, 20.58.119.233, 20.58.119.234, 20.58.119.235, 20.58.119.236, 20.58.119.237, 20.58.119.238, 20.58.119.239
Gov US1 52.227.138.248, 52.227.142.192, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

DLP-integratie van derden

Als u Defender voor Cloud Apps in staat wilt stellen om gegevens via uw tunnel naar uw ICAP-server te verzenden, opent u uw DMZ-firewall naar deze IP-adressen met een dynamisch bronpoortnummer.

  1. Bronadressen : deze adressen moeten worden toegestaan zoals hierboven vermeld voor apps van derden van de API-connector
  2. TCP-bronpoort - Dynamisch
  3. Doeladres(sen) - Een of twee IP-adressen van de stunnel die is verbonden met de externe ICAP-server
  4. Tcp-doelpoort - zoals gedefinieerd in uw netwerk

Notitie

  • Standaard is het poortnummer van de tunnel ingesteld op 11344. U kunt deze indien nodig wijzigen in een andere poort, maar noteer het nieuwe poortnummer.
  • Mogelijk ziet u deze IP-adressen in activiteitenlogboeken van de leverancier, omdat Defender voor Cloud Apps beheeracties uitvoert en scans uitvoert op basis van deze IP-adressen.

Als u verbinding wilt maken met apps van derden en wilt integreren met externe DLP-oplossingen, schakelt u Defender voor Cloud Apps in om verbinding te maken vanaf deze IP-adressen:

Datacenter IP-adressen
VS1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.209.35.177
US2 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189
VS3 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242
EU1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.119.154.72, 51.105.179.157, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180
EU2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.145.108.227, 51.145.108.250

E-mailserver

Als u wilt inschakelen dat meldingen worden verzonden vanuit de standaardsjabloon en -instellingen, voegt u deze IP-adressen toe aan uw acceptatielijst voor antispam. De Defender voor Cloud toegewezen e-mailadressen voor apps zijn:

  • 65.55.234.192/26
  • 207.46.50.192/26
  • 65.55.52.224/27
  • 94.245.112.0/27
  • 111.221.26.0/27
  • 207.46.200.0/27

Als u de identiteit van de afzender van e-mail wilt aanpassen, Microsoft Defender for Cloud Apps aanpassingen mogelijk maakt met MailChimp®, een e-mailservice van derden. Als u dit wilt laten werken, gaat u in de Microsoft Defender for Cloud Apps-portal naar Instellingen. Selecteer E-mailinstellingen en controleer de servicevoorwaarden en privacyverklaring van MailChimp. Geef Vervolgens Microsoft toestemming om MailChimp namens u te gebruiken.

Als u de identiteit van de afzender niet aanpast, worden uw e-mailmeldingen verzonden met behulp van alle standaardinstellingen.

Als u met MailChimp wilt werken, voegt u dit IP-adres toe aan uw antispam-acceptatielijst om meldingen te verzenden: 198.2.134.139 (mail1.cloudappsecurity.com)

Logboekverzamelaar

Als u Cloud Discovery-functies wilt inschakelen met behulp van een logboekverzamelaar en Schaduw-IT in uw organisatie wilt detecteren, opent u de volgende items:

Notitie

  • Als uw firewall een lijst met statische IP-adrestoegang vereist en geen ondersteuning biedt voor toestaan op basis van URL, staat u de logboekverzamelaar toe om uitgaand verkeer te initiëren naar de IP-adresbereiken van het Microsoft Azure datacenter op poort 443.
  • Als u geen proxy hebt opgegeven bij het instellen van de logboekverzamelaar, moet u http-verbindingen op poort 80 toestaan voor de URL's die worden vermeld op de pagina met wijzigingen in het Azure TLS-certificaat . Dit wordt gebruikt om de certificaatintrekkingsstatus te controleren wanneer u verbinding maakt met de Defender voor Cloud Apps-portal.

Volgende stappen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning wilt krijgen voor uw productprobleem, opent u een ondersteuningsticket.