Requisitos da rede
Nota
Rebaptizámo-Microsoft Cloud App Security. Agora chama-se Microsoft Defender for Cloud Apps. Nas próximas semanas, atualizaremos as imagens e instruções aqui e em páginas relacionadas. Para mais informações sobre a mudança, consulte este anúncio. Para saber mais sobre o recente renomeamento dos serviços de segurança da Microsoft, consulte o blog Microsoft Ignite Security.
Microsoft Defender for Cloud Apps agora faz parte da Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem as suas tarefas de segurança num local. Isto simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorizar e gerir a segurança através das suas identidades, dados, dispositivos, apps e infraestruturas da Microsoft. Para mais informações sobre estas alterações, consulte Microsoft Defender for Cloud Apps em Microsoft 365 Defender.
Este artigo fornece uma lista de portas e endereços IP que você precisa permitir e permitir que a lista trabalhe com Microsoft Defender for Cloud Apps.
Ver o seu centro de dados
Alguns dos requisitos abaixo dependem do centro de dados a que está ligado.
Para ver a que centro de dados está a ligar, faça os seguintes passos:
No portal Defender para a Cloud Apps, selecione o ícone de ponto de interrogação na barra de menu. Então, selecione Sobre.
No ecrã de versão Defender para a Cloud Apps, pode ver a região e o centro de dados.
Acesso ao portal
Para aceder ao portal Defender para a Cloud Apps, adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS à lista de dispositivos da sua firewall:
portal.cloudappsecurity.com
*.portal.cloudappsecurity.com
cdn.cloudappsecurity.com
https://adaproddiscovery.azureedge.net
*.s-microsoft.com
*.msecnd.net
dev.virtualearth.net
*.cloudappsecurity.com
flow.microsoft.com
static2.sharepointonline.com
dc.services.visualstudio.com
*.blob.core.windows.net
Para os clientes GCC High do Governo dos EUA, também é necessário adicionar os seguintes nomes DNS à lista de dispositivos de acesso ao portal Defender para a Cloud Apps GCC High:
portal.cloudappsecurity.us
*.portal.cloudappsecurity.us
cdn.cloudappsecurity.com
Além disso, devem ser permitidos os seguintes itens, dependendo do data center que utiliza:
| Centro de dados | Endereços IP | Nome DNS |
|---|---|---|
| US1 | 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 | *.us.portal.cloudappsecurity.com |
| US2 | 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 | *.us2.portal.cloudappsecurity.com |
| US3 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 | *.us3.portal.cloudappsecurity.com |
| UE1 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 | *.eu.portal.cloudappsecurity.com |
| UE2 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 | *.eu2.portal.cloudappsecurity.com |
| Gov US1 | 13.72.19.4, 52.227.143.223 | *.us1.portal.cloudappsecurity.us |
| GCC | 52.227.23.181, 52.227.180.126 | portal.cloudappsecuritygov.com*.portal.cloudappsecuritygov.com, *.us1.portal.cloudappsecuritygov.com |
Nota
Em vez de um wildcard (*) você pode abrir apenas o seu URL de inquilino específico, por exemplo, com base na imagem acima que você pode abrir: mod244533.us.portal.cloudappsecurity.com
Controlos de acesso e sessão
Configure a sua firewall para procuração inversa utilizando as definições relevantes para o seu ambiente.
Clientes comerciais
Para clientes comerciais, para permitir Defender para a Cloud Aplicações reverter proxy, adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS na lista de admissões da sua firewall:
*.cas.ms
*.mcas.ms
*.admin-mcas.ms
mcasproxy.azureedge.net
Além disso, devem ser permitidos os seguintes endereços IP utilizados pelas nossas regiões de procuração inversa:
| Endereços IP | Nome DNS | |
|---|---|---|
| Controlos de sessão | Sudeste da Austrália: 40.81.58.184, 40.81.58.180, 20.40.163.96, 20.40.163.88, 40.81.62.221, 40.81.62.206, 20.40.160.184, 20.40.163.130 Brasil Sul: 191.235.123.114, 191.235.121.164, 191.235.122.101, 191.235.119.253, 191.233.23.29, 191.234.216.181, 191.233.21.52, 191.234.216.10 Canadá Central: 40.82.187.211, 40.82.187.164, 52.139.18.234, 52.139.20.118, 40.82.187.199, 40.82.187.179, 52.139.19.215, 52.139.18.236 Centro da Índia: 20.193.137.191, 20.193.137.153, 20.193.138.1, 20.193.136.234, 20.193.131.246, 20.193.131.250, 20.193.131.247, 20.193.131.248 Norte da Europa: 52.156.205.222, 52.156.204.99, 52.155.166.50, 52.142.127.127, 52.155.181.183, 52.155.168.45, 52.156.202.7, 52.142.124.23 Sudeste Asiático: 40.65.170.125, 40.65.170.123, 52.139.245.40, 52.139.245.48, 40.119.203.158, 40.119.203.209, 20.184.61.67, 20.184.60.77 Europa Ocidental: 52.157.233.49, 52.157.235.27, 51.105.164.234, 51.105.164.241 Uk West: 40.81.121.140, 40.81.121.135, 51.137.137.121, 51.137.137.118 Leste dos EUA: 104.45.170.196, 104.45.170.182, 52.151.238.5, 52.151.237.243, 104.45.170.173, 104.45.170.176, 52.224.188.157, 52.224.188.168 West US 2: 52.156.88.173, 52.149.61.128, 52.149.61.214, 52.149.63.211, 20.190.7.24, 20.190.6.224, 20.190.7.239, 20.190.7.233 |
*.mcas.ms *.admin-mcas.ms |
| Controlos de acesso | Sudeste da Austrália: 40.81.63.7, 40.81.59.90, 40.81.62.222, 40.81.62.212, 20.42.228.161 Brasil Sul: 191.235.123.242, 191.235.122.224, 20.197.208.38, 20.197.208.36.191.235.228.36 Norte da Europa: 40.67.251.0, 52.156.206.47, 52.155.182.49, 52.155.181.181, 20.50.64.15 Europa Ocidental: 52.157.234.222, 52.157.236.195 Sudeste Asiático: 40.65.170.137, 40.65.170.26, 40.119.203.98, 40.119.203.208, 20.43.132.128 Uk West: 40.81.127.139, 40.81.127.25, 51.137.163.32 Leste dos EUA: 104.45.170.184, 104.45.170.185, 104.45.170.174, 104.45.170.127, 20.49.104.46 West US 2: 52.149.59.151, 52.156.89.175, 20.72.216.133, 20.72.216.137.20.115.232.7 Canadá Central: 20.48.202.161 |
*.access.mcas.ms *.us.access-control.cas.ms *.us2.access-control.cas.ms *.eu.access-control.cas.ms *.prod04.access-control.cas.ms *.prod05.access-control.cas.ms |
| Procuração SAML | Norte da Europa: 20.50.64.15 Leste dos EUA: 20.49.104.26 Oeste DOS EUA 2: 20.42.128.102 |
*.us.saml.cas.ms *.us2.saml.cas.ms *.us3.saml.cas.ms *.eu.saml.cas.ms *.eu2.saml.cas.ms |
Ofertas do Governo dos EUA
Para o Governo dos EUA GCC clientes high, para permitir Defender para a Cloud Aplicações reverter proxy, adicione a porta de saída 443 para os seguintes nomes DNS na lista de admissões da sua firewall:
*.mcas-gov.us
*.admin-mcas-gov.us
mcasproxy.azureedge.net
Além disso, devem ser permitidos os seguintes endereços IP utilizados pelas nossas regiões de procuração inversa:
Para o Governo dos EUA GCC clientes altos:
| Endereços IP | Nome DNS | |
|---|---|---|
| Controlos de sessão | EUA Gov Arizona: 52.244.144.65, 52.244.43.90, 52.244.43.225, 52.244.215.117 Us Gov Virginia: 13.72.27.223, 13.72.27.219, 13.72.27.220, 13.72.27.222 |
*.mcas-gov.us *.admin-mcas-gov.us |
| Controlos de acesso | EUA Gov Arizona: 52.244.215.83, 52.244.212.197 Us Gov Virginia: 13.72.27.216, 13.72.27.215, 52.127.50.130 |
*.access.mcas-gov.us *.access.cloudappsecurity.us |
| Procuração SAML | EUA Gov Arizona: 20.140.49.129 Eua Gov Virginia: 52.227.216.80 |
*.saml.cloudappsecurity.us |
Para os clientes GCC do Governo dos EUA:
| Endereços IP | Nome DNS | |
|---|---|---|
| Controlos de sessão | Us Gov Virginia: 52.245.225.0, 52.245.224.229, 52.245.224.234, 52.245.224.228 | *.mcas-gov.ms *.admin-mcas-gov.ms |
| Controlos de acesso | Us Gov Virginia: 52.245.224.235, 52.245.224.227, 52.127.50.130 | *.access.mcas-gov.ms |
| Procuração SAML | Eua Gov Virginia: 52.227.216.80 | *.saml.cloudappsecuritygov.com |
Ligação do agente SIEM
Para permitir que Defender para a Cloud Aplicações se conectem ao seu SIEM, adicione a porta de saída 443 para os seguintes endereços IP à lista de admissões da sua firewall:
| Centro de dados | Endereços IP |
|---|---|
| US1 | 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 |
| US2 | 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 |
| US3 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 |
| UE1 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 |
| UE2 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 |
| Gov US1 | 13.72.19.4, 52.227.143.223 |
| GCC | 52.227.23.181, 52.227.180.126 |
Nota
- Se não especificou um representante quando configura o agente SIEM Defender para a Cloud Apps, tem de permitir ligações http na porta 80 para os URLs listados na página de alterações do certificado Azure TLS. Isto é usado para verificar o estado de revogação do certificado quando se conecta ao portal Defender para a Cloud Apps.
- É necessária uma utilização genuína do certificado Microsoft Defender for Cloud Apps para a ligação do agente SIEM.
Conector de aplicações
Para que algumas aplicações de terceiros sejam acedidas por Defender para a Cloud Aplicações, estes endereços IP podem ser utilizados. Os endereços IP permitem Defender para a Cloud Aplicações recolher registos e fornecer acesso à consola Defender para a Cloud Apps.
Nota
Pode ver estes endereços IP nos registos de atividade do fornecedor porque Defender para a Cloud Aplicações executa ações de governação e digitaliza a partir destes endereços IP.
Para se conectar a aplicações de terceiros, permita que Defender para a Cloud Aplicações se conectem a partir destes endereços IP:
| Centro de dados | Endereços IP |
|---|---|
| US1 | 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.68.76.47, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.42.54.148, 104.209.35.177, 40.83.194.192, 40.83,.194.193, 40.83.194.194, 40.83.194.195, 40.83.194.196, 40.83.194.197, 40.83.194.198, 40.83.194.199, 40.83.194.200, 40.83.194.201, 40.83.194.202, 40.83.194.203, 40.83.194.204, 40.83.194.205, 40.83.194.206, 40.83.194.207 |
| US2 | 13.68.76.47, 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.42.54.148, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189, 20.57.54.192, 20.57.54.193, 20.57.54.194, 20.57.54.195, 20.57.54.196, 20.57.54.197, 20.57.54.198, 20.57.54.199, 20.57.54.200, 20.57.54.201, 20.57.54.202, 20.57.54.203, 20.57.54.204, 20.57.54.205, 20.57.54.206, 20.57.54.207 |
| US3 | 13.68.76.47, 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242, 104.42.54.148, 52.156.123.128, 52.156.123.129, 52.156.123.130, 52.156.123.131, 52.156.123.132, 52.156.123.133, 52.156.123.134, 52.156.123.135, 52.156.123.136, 52.156.123.137, 52.156.123.138, 52.156.123.139, 52.156.123.140, 52.156.123.141, 52.156.123.142, 52.156.123.143 |
| UE1 | 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.115.25.50, 40.119.154.72, 51.105.55.62, 51.105.179.157, 51.137.200.32, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180, 20.73.240.208, 20.73.240.209, 20.73.240.210, 20.73.240.211, 20.73.240.212, 20.73.240.213, 20.73.240.214, 20.73.240.215, 20.73.240.216, 20.73.240.217, 20.73.240.218, 20.73.240.219, 20.73.240.220, 20.73.240.221, 20.73.240.222, 20.73.240.223 |
| UE2 | 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.105.55.62, 51.137.200.32, 51.145.108.227, 51.145.108.250, 20.58.119.224, 20.58.119.225, 20.58.119.226, 20.58.119.227, 20.58.119.228, 20.58.119.229, 20.58.119.230, 20.58.119.231, 20.58.119.232, 20.58.119.233, 20.58.119.234, 20.58.119.235, 20.58.119.236, 20.58.119.237, 20.58.119.238, 20.58.119.239 |
| Gov US1 | 52.227.138.248, 52.227.142.192, 52.227.143.223 |
| GCC | 52.227.23.181, 52.227.180.126 |
Integração DLP de terceiros
Para permitir que Defender para a Cloud Aplicações enviem dados através do seu atordoador para o seu servidor ICAP, abra a sua firewall DMZ para estes endereços IP com um número de porta de origem dinâmico.
- Endereços de origem - Estes endereços devem ser permitidos como listados acima para aplicações de terceiros conector API
- Fonte TCP porta - Dinâmico
- Endereço de destino(es) - Um ou dois endereços IP do atordoador ligado ao servidor ICAP externo
- Porto TCP destino - Conforme definido na sua rede
Nota
- Por predefinição, o número da porta de atordoação está definido para 11344. Pode mudá-lo para outra porta, se necessário, mas certifique-se de tomar nota do novo número da porta.
- Pode ver estes endereços IP nos registos de atividade do fornecedor porque Defender para a Cloud Aplicações executa ações de governação e digitaliza a partir destes endereços IP.
Para conectar-se a aplicações de terceiros e integrar-se com soluções DLP externas, permita que Defender para a Cloud Aplicações se conectem a partir destes endereços IP:
| Centro de dados | Endereços IP |
|---|---|
| US1 | 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.209.35.177 |
| US2 | 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189 |
| US3 | 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242 |
| UE1 | 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.119.154.72, 51.105.179.157, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180 |
| UE2 | 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.145.108.227, 51.145.108.250 |
Servidor de correio
Para permitir que as notificações sejam enviadas a partir do modelo e definições predefinidos, adicione estes endereços IP à sua lista de permitem-no de anti-correio publicitário não enviado. Os Defender para a Cloud aplicações de endereços IP dedicados ao e-mail são:
- 65.55.234.192/26
- 207.46.50.192/26
- 65.55.52.224/27
- 94.245.112.0/27
- 111.221.26.0/27
- 207.46.200.0/27
Se quiser personalizar a identidade do remetente de e-mail, Microsoft Defender for Cloud Apps permite a personalização utilizando o MailChimp®, um serviço de e-mail de terceiros. Para que funcione, no portal Microsoft Defender for Cloud Apps, vá a Definições. Selecione as definições de Correio e reveja os Termos de Serviço e Declaração de Privacidade do MailChimp. Em seguida, dê permissão à Microsoft para usar o MailChimp em seu nome.
Se não personalizar a identidade do remetente, as suas notificações de e-mail serão enviadas utilizando todas as definições predefinidos.
Para trabalhar com o MailChimp, adicione este endereço IP à sua lista de dispositivos anti-correio publicitário não solicitado para permitir o envio de notificações: 198.2.134.139 (mail1.cloudappsecurity.com)
Recoletor de registos
Para ativar as funcionalidades do Cloud Discovery utilizando um colecionador de registos e detetar Shadow IT na sua organização, abra os seguintes itens:
Permita que o colecionador de registos receba o tráfego de FTP e Syslog de entrada configurados para as fontes de dados.
Permita ao coletor de registos iniciar o tráfego de saída para o portal Defender para a Cloud Apps (por exemplo
contoso.cloudappsecurity.com) na porta 443 e acesso à porta 53 (serviços DNS).Permitir que o colecionador de madeira inicie o tráfego de saída para o armazenamento da bolha Azure na porta 443:
Nota
- Se a sua firewall necessitar de uma lista de acesso a endereço IP estático e não suportar permitindo com base em URL, permita que o colecionador de registos inicie o tráfego de saída para as gamas IP do centro de dados Microsoft Azure na porta 443.
- Se não especificou um representante quando configura o colecionador de registos, tem de permitir ligações http na porta 80 para os URLs listados na página de alterações do certificado Azure TLS . Isto é usado para verificar o estado de revogação do certificado quando se conecta ao portal Defender para a Cloud Apps.
Passos seguintes
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.