Requisitos da rede

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Este artigo fornece uma lista de portas e endereços IP que você precisa permitir e permitir que a lista trabalhe com Microsoft Cloud App Security.

Ver o seu centro de dados

Alguns dos requisitos abaixo dependem do centro de dados a que está ligado.

Para ver a que centro de dados está a ligar, faça os seguintes passos:

  1. No portal Cloud App Security, selecione o ícone de ponto de interrogação na barra de menu. Então, selecione About.

    clique sobre.

  2. No ecrã de versão Cloud App Security, pode ver a região e o centro de dados.

    Veja o seu centro de dados.

Acesso ao portal

Para aceder ao portal Cloud App Security, adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS na lista de admissões da sua firewall:

portal.cloudappsecurity.com
*.portal.cloudappsecurity.com
cdn.cloudappsecurity.com
https://adaproddiscovery.azureedge.net
*.s-microsoft.com
*.msecnd.net
dev.virtualearth.net
*.cloudappsecurity.com
flow.microsoft.com
static2.sharepointonline.com
dc.services.visualstudio.com
*.blob.core.windows.net

Para os clientes GCC High do Governo dos EUA, também é necessário adicionar os seguintes nomes DNS à lista de dispositivos de acesso do portal Cloud App Security GCC High:

portal.cloudappsecurity.us
*.portal.cloudappsecurity.us
cdn.cloudappsecurity.com

Além disso, devem ser permitidos os seguintes itens, dependendo do data center que utiliza:

Centro de dados Endereços IP Nome DNS
US1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us.portal.cloudappsecurity.com
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 *.us2.portal.cloudappsecurity.com
US3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.us3.portal.cloudappsecurity.com
UE1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 *.eu.portal.cloudappsecurity.com
UE2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 *.eu2.portal.cloudappsecurity.com
Gov US1 13.72.19.4, 52.227.143.223 *.us1.portal.cloudappsecurity.us
GCC 52.227.23.181, 52.227.180.126 portal.cloudappsecuritygov.com*.portal.cloudappsecuritygov.com, * us1.portal.cloudappsecuritygov.com

Nota

Em vez de um wildcard * () você pode abrir apenas o seu URL de inquilino específico, por exemplo, com base na imagem acima que você pode abrir: mod244533.us.portal.cloudappsecurity.com

Controlos de acesso e sessão

Configure a sua firewall para procuração inversa utilizando as definições relevantes para o seu ambiente.

Clientes comerciais

Para os clientes comerciais, para permitir Cloud App Security procuração inversa, adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS na lista de admissões da sua firewall:

*.cas.ms
*.mcas.ms
*.admin-mcas.ms
mcasproxy.azureedge.net

Além disso, devem ser permitidos os seguintes itens, dependendo do data center que utiliza:

Endereços IP Nome DNS
Sudeste da Austrália: 40.81.58.184, 40.81.58.180, 20.40.163.96, 20.40.163.88, 40.81.62.221, 40.81.62.206, 20.40.160.184, 20.40.163.130

Brasil Sul: 191.235.123.114, 191.235.121.164, 191.235.122.101, 191.235.119.253, 191.233.23.29, 191.234.216.181, 191.233.21.52, 191.234.216.10

Canadá Central: 40.82.187.211, 40.82.187.164, 52.139.18.234, 52.139.20.118, 40.82.187.199, 40.82.187.179, 52.139.19.215, 52.139.18.236

Centro da Índia: 20.193.137.191, 20.193.137.153, 20.193.138.1, 20.193.136.234, 20.193.131.246, 20.193.131.250, 20.193.131.247, 20.193.131.248

Norte da Europa: 52.156.205.222, 52.156.204.99, 52.155.166.50, 52.142.127.127, 52.155.181.183, 52.155.168.45, 52.156.202.7, 52.142.124.23

Sudeste Asiático: 40.65.170.125, 40.65.170.123, 52.139.245.40, 52.139.245.48, 40.119.203.158, 40.119.203.209, 20.184.61.67, 20.184.60.77

Europa Ocidental: 52.157.233.49, 52.157.235.27, 51.105.164.234, 51.105.164.241

Uk West: 40.81.121.140, 40.81.121.135, 51.137.137.121, 51.137.137.118

Leste dos EUA: 104.45.170.196, 104.45.170.182, 52.151.238.5, 52.151.237.243, 104.45.170.173, 104.45.170.176, 52.224.188.157, 52.224.188.168

West US 2: 52.156.88.173, 52.149.61.128, 52.149.61.214, 52.149.63.211, 20.190.7.24, 20.190.6.224, 20.190.7.239, 20.190.7.233
*.mcas.ms
*.admin-mcas.ms
Sudeste da Austrália: 40.81.63.7, 40.81.59.90, 40.81.62.222, 40.81.62.212, 20.42.228.161

Brasil Sul: 191.235.123.242, 191.235.122.224, 20.197.208.38, 20.197.208.36

Norte da Europa: 40.67.251.0, 52.156.206.47, 52.155.182.49, 52.155.181.181, 20.50.64.15

Europa Ocidental: 52.157.234.222, 52.157.236.195

Sudeste Asiático: 40.65.170.137, 40.65.170.26, 40.119.203.98, 40.119.203.208, 20.43.132.128

Uk West: 40.81.127.139, 40.81.127.25, 51.137.163.32

Leste dos EUA: 104.45.170.184, 104.45.170.185, 104.45.170.174, 104.45.170.127, 20.49.104.46

West US 2: 52.149.59.151, 52.156.89.175, 20.72.216.133, 20.72.216.137
*.access.mcas.ms
*.us.access-control.cas.ms
*.us2.access-control.cas.ms
*.eu.access-control.cas.ms
*.prod04.access-control.cas.ms
*.prod05.access-control.cas.ms
Norte da Europa: 20.50.64.15

Leste dos EUA: 20.49.104.26

Oeste DOS EUA 2: 20.42.128.102
*.us.saml.cas.ms * * .us2.saml.cas.ms * .us3.saml.cas.ms .eu.saml.cas.ms *.eu2.saml.cas.ms

Ofertas do Governo dos EUA

Para o Governo dos EUA GCC clientes altos, para permitir Cloud App Security procuração inversa, adicione a porta de saída 443 para os seguintes nomes DNS na lista de admissões da sua firewall:

*.mcas-gov.us
*.admin-mcas-gov.us
mcasproxy.azureedge.net

Além disso, devem ser permitidos os seguintes itens:

Para o Governo dos EUA GCC clientes altos:

Endereços IP Nome DNS
EUA Gov Arizona: 52.244.144.65, 52.244.43.90, 52.244.43.225, 52.244.215.117

Us Gov Virginia: 13.72.27.223, 13.72.27.219, 13.72.27.220, 13.72.27.222
*.mcas-gov.us
*.admin-mcas-gov.us
EUA Gov Arizona: 52.244.215.83, 52.244.212.197

Eua Gov Virginia: 13.72.27.216, 13.72.27.215
*.access.mcas-gov.us
*.access.cloudappsecurity.us
EUA Gov Arizona: 20.140.49.129

Eua Gov Virginia: 52.227.216.80
*.saml.cloudappsecurity.us

Para os clientes GCC do Governo dos EUA:

Endereços IP Nome DNS
Us Gov Virginia: 52.245.225.0, 52.245.224.229, 52.245.224.234, 52.245.224.228 *.mcas-gov.ms
*.admin-mcas-gov.ms
Us Gov Virginia: 52.245.224.235, 52.245.224.227 *.access.mcas-gov.ms
Eua Gov Virginia: 52.227.216.80 *.saml.cloudappsecuritygov.com

Ligação do agente SIEM

Para permitir Cloud App Security ligar ao seu SIEM, adicione a porta de saída 443 para os seguintes endereços IP à lista de admissões da sua firewall:

Centro de dados Endereços IP
US1 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62
US2 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82
US3 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62
UE1 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62
UE2 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62
Gov US1 13.72.19.4, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

Nota

  • Se não especificou um representante quando configura o Cloud App Security agente SIEM, tem de permitir ligações http na porta 80 para os URLs listados na página de alterações do certificado Azure TLS. Isto é utilizado para verificar o estado de revogação do certificado quando se liga ao portal Cloud App Security.
  • É necessária uma utilização genuína do certificado Microsoft Cloud App Security para a ligação do agente SIEM.

Conector de aplicações

Para que algumas aplicações de terceiros sejam acedidas por Cloud App Security, estes endereços IP podem ser utilizados. Os endereços IP permitem Cloud App Security recolher registos e fornecer acesso à consola Cloud App Security.

Nota

Pode ver estes endereços IP nos registos de atividade do fornecedor porque Cloud App Security executa ações de governação e digitaliza a partir destes endereços IP.

Para se ligar a aplicações de terceiros, permita que Cloud App Security se conectem a partir destes endereços IP:

Centro de dados Endereços IP
US1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.68.76.47, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.42.54.148, 104.209.35.177, 40.83.194.192, 40.83,.194.193, 40.83.194.194, 40.83.194.195, 40.83.194.196, 40.83.194.197, 40.83.194.198, 40.83.194.199, 40.83.194.200, 40.83.194.201, 40.83.194.202, 40.83.194.203, 40.83.194.204, 40.83.194.205, 40.83.194.206, 40.83.194.207
US2 13.68.76.47, 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.42.54.148, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189, 20.57.54.192, 20.57.54.193, 20.57.54.194, 20.57.54.195, 20.57.54.196, 20.57.54.197, 20.57.54.198, 20.57.54.199, 20.57.54.200, 20.57.54.201, 20.57.54.202, 20.57.54.203, 20.57.54.204, 20.57.54.205, 20.57.54.206, 20.57.54.207
US3 13.68.76.47, 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242, 104.42.54.148, 52.156.123.128, 52.156.123.129, 52.156.123.130, 52.156.123.131, 52.156.123.132, 52.156.123.133, 52.156.123.134, 52.156.123.135, 52.156.123.136, 52.156.123.137, 52.156.123.138, 52.156.123.139, 52.156.123.140, 52.156.123.141, 52.156.123.142, 52.156.123.143
UE1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.115.25.50, 40.119.154.72, 51.105.55.62, 51.105.179.157, 51.137.200.32, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180, 20.73.240.208, 20.73.240.209, 20.73.240.210, 20.73.240.211, 20.73.240.212, 20.73.240.213, 20.73.240.214, 20.73.240.215, 20.73.240.216, 20.73.240.217, 20.73.240.218, 20.73.240.219, 20.73.240.220, 20.73.240.221, 20.73.240.222, 20.73.240.223
UE2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.105.55.62, 51.137.200.32, 51.145.108.227, 51.145.108.250, 20.58.119.224, 20.58.119.225, 20.58.119.226, 20.58.119.227, 20.58.119.228, 20.58.119.229, 20.58.119.230, 20.58.119.231, 20.58.119.232, 20.58.119.233, 20.58.119.234, 20.58.119.235, 20.58.119.236, 20.58.119.237, 20.58.119.238, 20.58.119.239
Gov US1 52.227.138.248, 52.227.142.192, 52.227.143.223
GCC 52.227.23.181, 52.227.180.126

Integração DLP de terceiros

Para que Cloud App Security enviem dados através do seu atordoador para o seu servidor ICAP, abra a sua firewall DMZ para estes endereços IP com um número de porta de origem dinâmico.

  1. Endereços de origem - Estes endereços devem ser permitidos como listados acima para aplicações de terceiros conector API
  2. Fonte TCP porta - Dinâmico
  3. Endereço de destino(es) - Um ou dois endereços IP do atordoador ligado ao servidor ICAP externo
  4. Porto TCP destino - Conforme definido na sua rede

Nota

  • Por predefinição, o número da porta de atordoação está definido para 11344. Pode mudá-lo para outra porta, se necessário, mas certifique-se de tomar nota do novo número da porta.
  • Pode ver estes endereços IP nos registos de atividade do fornecedor porque Cloud App Security executa ações de governação e digitaliza a partir destes endereços IP.

Conectar-se a aplicações de terceiros e integrar-se com soluções DLP externas, permita que Cloud App Security se conectem a partir destes endereços IP:

Centro de dados Endereços IP
US1 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.209.35.177
US2 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189
US3 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242
UE1 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.119.154.72, 51.105.179.157, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180
UE2 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.145.108.227, 51.145.108.250

Servidor de correio

Para permitir que as notificações sejam enviadas a partir do modelo e definições predefinidos, adicione estes endereços IP à sua lista de permitem-no de anti-correio publicitário não enviado. Os Cloud App Security endereços IP de e-mail dedicados são:

  • 65.55.234.192/26
  • 207.46.50.192/26
  • 65.55.52.224/27
  • 94.245.112.0/27
  • 111.221.26.0/27
  • 207.46.200.0/27

Se quiser personalizar a identidade do remetente de e-mail, Microsoft Cloud App Security permite a personalização utilizando o MailChimp ® , um serviço de e-mail de terceiros. Para que funcione, no portal Microsoft Cloud App Security, vá a Definições. Selecione as definições de Correio e reveja os Termos de Serviço e Declaração de Privacidade do MailChimp. Em seguida, dê permissão à Microsoft para usar o MailChimp em seu nome.

Se não personalizar a identidade do remetente, as suas notificações de e-mail serão enviadas utilizando todas as definições predefinidos.

Para trabalhar com o MailChimp, adicione este endereço IP à sua lista de dispositivos anti-correio publicitário não solicitado para permitir o envio de notificações: 198.2.134.139 ( mail1.cloudappsecurity.com )

Recoletor de registos

Para ativar as funcionalidades do Cloud Discovery utilizando um colecionador de registos e detetar Shadow IT na sua organização, abra os seguintes itens:

Nota

  • Se a sua firewall necessitar de uma lista de acesso a endereços IP estático e não suportar permitindo com base em URL, permita que o colecionador de registos inicie o tráfego de saída para as gamas IP do centro de dados Microsoft Azure na porta 443.
  • Se não especificou um representante quando configura o colecionador de registos, tem de permitir ligações http na porta 80 para os URLs listados na página de alterações do certificado Azure TLS. Isto é utilizado para verificar o estado de revogação do certificado quando se liga ao portal Cloud App Security.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.