Wymagania dotyczące sieciNetwork requirements

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Ten artykuł zawiera listę portów i adresów IP, które musisz zezwolić na użycie i białą listę do pracy z Microsoft Cloud App Security.This article provides a list of ports and IP addresses you need to allow and white list to work with Microsoft Cloud App Security.

Wyświetl centrum danychView your data center

Niektóre poniższe wymagania zależą od w centrum danych, której nawiązano połączenie.Some of the requirements below depend on which data center you're connected to.

Aby zobaczyć, które centrum danych, w którym chcesz się połączyć, wykonaj następujące czynności:To see which data center you're connecting to, do the following steps:

  1. W portalu usługi Cloud App Security kliknij ikonę znaku zapytania na pasku menu.In the Cloud App Security portal, click the question mark icon in the menu bar. Następnie wybierz o.Then, select About.

    Kliknij przycisk — informacje

  2. Na ekranie Cloud App Security wersja widać, region i centrum danych.In the Cloud App Security version screen, you can see the region and the data center.

    Wyświetl centrum danych

Dostępu do portaluPortal access

Aby uzyskać dostęp do portalu Cloud App Security, należy dodać wychodząca przez port 443 dla następujących adresów IP i nazw DNS do zapory białą listę:For access to the Cloud App Security portal, add outbound port 443 for the following IP addresses and DNS names to your firewall's white list:

portal.cloudappsecurity.com
*.portal.cloudappsecurity.com
cdn.cloudappsecurity.com
https://adaproddiscovery.azureedge.net 
*.s-microsoft.com
*.msecnd.net
dev.virtualearth.net
*.cloudappsecurity.com
flow.microsoft.com
static2.sharepointonline.com
dc.services.visualstudio.com
*.blob.core.windows.net

Ponadto następujące elementy powinny być na liście dozwolonych, w zależności od tego, które centrum danych można użyć:Additionally, the following items should be whitelisted, depending on which data center you use:

Centrum danychData center Adresy IPIP addresses Nazwa DNSDNS name
USAUS 13.80.125.2213.80.125.22
52.183.75.6252.183.75.62
13.91.91.24313.91.91.243
*.us.portal.cloudappsecurity.com*.us.portal.cloudappsecurity.com
US2US2 13.80.125.2213.80.125.22
52.183.75.6252.183.75.62
52.184.165.8252.184.165.82
*.us2.portal.cloudappsecurity.com*.us2.portal.cloudappsecurity.com
US3US3 13.80.125.2213.80.125.22
52.183.75.6252.183.75.62
40.90.218.19840.90.218.198
40.90.218.19640.90.218.196
*. us3.portal.cloudappsecurity.com*.us3.portal.cloudappsecurity.com
EUEU 13.80.125.2213.80.125.22
52.183.75.6252.183.75.62
52.174.56.18052.174.56.180
*. eu.portal.cloudappsecurity.com <*.eu.portal.cloudappsecurity.com<
EU2EU2 13.80.125.2213.80.125.22
52.183.75.6252.183.75.62
40.81.156.15440.81.156.154
40.81.156.15640.81.156.156
*. eu2.portal.cloudappsecurity.com*.eu2.portal.cloudappsecurity.com

Uwaga

Zamiast symbolu wieloznacznego (*) można otworzyć adresu URL określonej dzierżawy, na przykład, oparte na powyższym zrzucie ekranu możesz otworzyć: mod244533.us.portal.cloudappsecurity.comInstead of a wildcard (*) you can open only your specific tenant URL, for example, based on the screenshot above you can open: mod244533.us.portal.cloudappsecurity.com

Połączenie agenta rozwiązania SIEMSIEM agent connection

Aby umożliwić usłudze Cloud App Security połączyć się z rozwiązania SIEM, Dodaj wychodząca przez port 443 dla następujących adresów IP do zapory białą listę:To enable Cloud App Security to connect to your SIEM, add outbound port 443 for the following IP addresses to your firewall's white list:

Centrum danychData center Adresy IPIP addresses
USAUS 13.91.91.24313.91.91.243
US2US2 52.184.165.8252.184.165.82
US3US3 40.90.218.19840.90.218.198
40.90.218.19640.90.218.196
EUEU 52.174.56.18052.174.56.180
EU2EU2 40.81.156.15440.81.156.154
40.81.156.15640.81.156.156

Uwaga

Jeśli nie określisz serwera proxy podczas konfigurowania agenta SIEM zabezpieczeń aplikacji w chmurze, musisz zezwolić na połączenia http z http://ocsp.msocsp.com/ na porcie 80.If you didn't specify a proxy when you set up the Cloud App Security SIEM agent, you need to allow http connections to http://ocsp.msocsp.com/ on port 80. Służy do sprawdzania stanu odwołania certyfikatu podczas łączenia z portalu usługi Cloud App Security.This is used for checking certificate revocation status when you connect to the Cloud App Security portal.

Łącznik aplikacjiApp connector

W przypadku niektórych aplikacji innych firm można uzyskać dostęp przez usługę Cloud App Security te adresy IP może być używane.For some third-party apps to be accessed by Cloud App Security, these IP addresses may be used. Adresy IP Cloud App Security włączyć zbieranie dzienników i zapewnić dostęp do konsoli usługi Cloud App Security.The IP addresses enable Cloud App Security to collect logs and provide access for the Cloud App Security console.

Uwaga

Te adresy IP w dziennikach aktywności od dostawcy mogą być wyświetlane, ponieważ usługa Cloud App Security wykonuje akcje nadzoru i skanuje z tych adresów IP.You may see these IP addresses in activity logs from the vendor because Cloud App Security performs governance actions and scans from these IP addresses.

Aby połączyć z aplikacji innych firm, należy włączyć Cloud App Security połączyć się z tych adresów IP:To connect to third-party apps, enable Cloud App Security to connect from these IP addresses:

Centrum danychData center Adresy IPIP addresses
USAUS 13.91.91.24313.91.91.243
104.209.35.177104.209.35.177
13.91.98.18513.91.98.185
40.118.211.17240.118.211.172
13.93.216.6813.93.216.68
13.91.61.24913.91.61.249
13.93.233.4213.93.233.42
13.64.196.2713.64.196.27
13.64.198.9713.64.198.97
13.64.199.4113.64.199.41
13.64.198.1913.64.198.19
US2US2 52.184.165.8252.184.165.82
40.84.4.9340.84.4.93
40.84.4.11940.84.4.119
40.84.2.8340.84.2.83
US3US3 40.90.218.19740.90.218.197
40.90.218.20340.90.218.203
EUEU 52.174.56.18052.174.56.180
13.80.22.7113.80.22.71
13.95.29.17713.95.29.177
13.95.30.4613.95.30.46
EU2EU2 40.81.156.15540.81.156.155
40.81.156.15340.81.156.153

Integracja DLP innych firmThird-party DLP integration

Aby umożliwić usłudze Cloud App Security do przesyłania danych za pośrednictwem usługi programu stunnel z serwerem ICAP, otwierania zapory sieci Obwodowej na te adresy IP, z numerem portu dynamicznego źródła.To enable Cloud App Security to send data through your stunnel to your ICAP server, open your DMZ firewall to these IP addresses with a dynamic source port number.

  1. Źródło adresów — te adresy powinna być umieszczona na białej liście wymienionym powyżej dla aplikacji innych firm łącznika interfejsu APISource addresses - These addresses should be whitelisted as listed above for API connector third-party apps
  2. Źródłowy TCP port — dynamicznySource TCP port - Dynamic
  3. Miejsce docelowe adresy — adres IP jednego lub dwóch stunnel podłączony do zewnętrznego serwera ICAPDestination address(es) - One or two IP address of the stunnel connected to the external ICAP server
  4. Docelowy port TCP — zgodnie z definicją w sieciDestination TCP port - As defined in your network

Uwaga

  • Domyślny numer portu programu stunnel jest ustawiony na 11344.By default the stunnel port number is set to 11344. Możesz zmienić ją na innym porcie, jeśli to konieczne, ale pamiętaj zanotować nowy numer portu.You can change it to another port if necessary, but be sure to make note of the new port number.
  • Te adresy IP w dziennikach aktywności od dostawcy mogą być wyświetlane, ponieważ usługa Cloud App Security wykonuje akcje nadzoru i skanuje z tych adresów IP.You may see these IP addresses in activity logs from the vendor because Cloud App Security performs governance actions and scans from these IP addresses.

Aby nawiązać połączenie z aplikacjami innych producentów i integracji z rozwiązaniami zewnętrznymi DLP, Włącz Cloud App Security połączyć się z tych adresów IP:To connect to third-party apps and integrate with external DLP solutions, enable Cloud App Security to connect from these IP addresses:

Centrum danychData center Adresy IPIP addresses
USAUS 13.91.91.24313.91.91.243
104.209.35.177104.209.35.177
13.91.98.18513.91.98.185
40.118.211.17240.118.211.172
13.93.216.6813.93.216.68
13.91.61.24913.91.61.249
13.93.233.4213.93.233.42
13.64.196.2713.64.196.27
13.64.198.9713.64.198.97
13.64.199.4113.64.199.41
13.64.198.1913.64.198.19
US2US2 52.184.165.8252.184.165.82
40.84.4.9340.84.4.93
40.84.4.11940.84.4.119
40.84.2.8340.84.2.83
US3US3 40.90.218.19740.90.218.197
40.90.218.20340.90.218.203
EUEU 52.174.56.18052.174.56.180
13.80.22.7113.80.22.71
13.95.29.17713.95.29.177
13.95.30.4613.95.30.46
EU2EU2 40.81.156.15540.81.156.155
40.81.156.15340.81.156.153

Serwer pocztyMail server

Aby włączyć powiadomienia, aby być wysyłane z domyślnego szablonu i ustawienia, należy dodać te adresy IP do Twojej listy dozwolonych antyspamowy.To enable notifications to be sent from the default template and settings, add these IP addresses to your anti-spam whitelist. Adresy IP usługa Cloud App Security w wersji dedykowanej wiadomości e-mail są:The Cloud App Security dedicated email IP addresses are:

  • 65.55.234.192/2665.55.234.192/26
  • 207.46.200.0/27207.46.200.0/27
  • 65.55.52.224/2765.55.52.224/27
  • 94.245.112.0/2794.245.112.0/27
  • 111.221.26.0/27111.221.26.0/27
  • 207.46.50.192/26207.46.50.192/26

Jeśli chcesz dostosować tożsamość nadawcy wiadomości e-mail, Microsoft Cloud App Security umożliwia dostosowanie za pomocą MailChimp®, usługa poczty e-mail innych firm.If you want to customize the email sender identity, Microsoft Cloud App Security enables customization by using MailChimp®, a third-party email service. Aby stał się praca w portalu Microsoft Cloud App Security, przejdź do ustawienia.To make it work, in the Microsoft Cloud App Security portal, go to Settings. Wybierz ustawienia poczty i przejrzyj warunki użytkowania i zasady zachowania poufności informacji w usłudze MailChimp.Select Mail settings and review MailChimp’s Terms of Service and Privacy Statement. Następnie w firmie Microsoft do użycia usługi MailChimp w Twoim imieniu.Then, give Microsoft permission to use MailChimp on your behalf.

Jeśli zrezygnujesz z dostosowania tożsamość nadawcy, powiadomienia e-mail będą wysyłane przy użyciu domyślnych ustawień.If you don’t customize the sender identity, your email notifications will be sent using all the default settings.

Aby pracować z usługi MailChimp, należy dodać ten adres IP do Twojej listy dozwolonych antyspamowy, aby umożliwić wysyłanie powiadomień do: 198.2.134.139 (mail1.cloudappsecurity.com)To work with MailChimp, add this IP address to your anti-spam whitelist to enable notifications to be sent: 198.2.134.139 (mail1.cloudappsecurity.com)

Moduł zbierający dziennikiLog collector

Aby włączyć funkcje rozwiązania Cloud Discovery z modułem zbierającym dzienniki i wykrywać niezatwierdzonych przez dział IT w Twojej organizacji, należy otworzyć następujące elementy:To enable Cloud Discovery features using a log collector and detect Shadow IT in your organization, open the following items:

  • Zezwalaj na moduł zbierania danych dzienników odbierać ruch przychodzący protokołu FTP i Syslog.Allow the log collector to receive inbound FTP and Syslog traffic.

  • Zezwalaj na zbierający dzienniki inicjował ruch wychodzący względem portalu (na przykład contoso.cloudappsecurity.com) na porcie 443.Allow the log collector to initiate outbound traffic to the portal (for example contoso.cloudappsecurity.com) on port 443.

  • Zezwalaj na moduł zbierania danych dzienników inicjować ruch wychodzący do usługi Azure blob storage w porcie 443:Allow the log collector to initiate outbound traffic to the Azure blob storage on port 443:

    Centrum danychData center Adres URLURL
    USAUS https://adaprodconsole.blob.core.windows.net/
    US2US2 https://prod03use2console1.blob.core.windows.net/
    US3US3 https://prod5usw2console1.blob.core.windows.net/
    EUEU https://prod02euwconsole1.blob.core.windows.net/
    EU2EU2 https://prod4uksconsole1.blob.core.windows.net/

Uwaga

  • Jeśli Zapora wymaga statycznej listy dostępu do adresów IP i nie obsługuje umieszczania na białej liście na podstawie adresu URL, Zezwalaj na moduł zbierania danych dzienników inicjować ruch wychodzący do zakresów adresów IP centrum danych Microsoft Azure na porcie 443.If your firewall requires a static IP address access list and does not support whitelisting based on URL, allow the log collector to initiate outbound traffic to the Microsoft Azure datacenter IP ranges on port 443.
  • Zezwalaj na zbierający dzienniki inicjował ruch wychodzący względem portalu Cloud App Security.Allow the log collector to initiate outbound traffic to the Cloud App Security portal.
  • Jeśli nie określisz serwera proxy podczas konfigurowania moduł zbierający, musisz zezwolić na połączenia http z http://ocsp.msocsp.com/ na porcie 80.If you didn't specify a proxy when you set up the log collector, you need to allow http connections to http://ocsp.msocsp.com/ on port 80. Służy do sprawdzania stanu odwołania certyfikatu podczas łączenia z portalu usługi Cloud App Security.This is used for checking certificate revocation status when you connect to the Cloud App Security portal.

Następne krokiNext steps

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium.Premier customers can also create a new support request directly in the Premier Portal.