使用 Azure 防火牆來保護 Office 365

您可以使用 Azure 防火牆內建服務標籤和 FQDN 標籤，允許與 Office 365 端點和 IP 位址 進行輸出通訊。

注意

只有 Azure 防火牆原則支援 Office 365 服務標籤和 FQDN 標籤。 傳統規則不支援它們。

標籤建立

針對每個 Office 365 產品和類別，Azure 防火牆會自動擷取所需的端點和 IP 位址，並據以建立標籤:

• 標籤名稱: 所有名稱的開頭均為 Office365 ，後面接著:
  • 產品: Exchange/Skype/SharePoint/Common
  • 類別: 最佳化/允許/預設
  • 必要/非必要 (選用)
• 標籤類型:
  • FQDN 標籤 只代表透過 HTTP/HTTPS (連接埠 80/443) 通訊的特定產品和類別所需的 FQDN，而且可在應用程式規則中用來保護這些 FQDN 和通訊協定的流量。
  • 服務標籤 只代表特定產品和類別所需的　 IPv4 位址和範圍，而且可在網路規則中用來保護這些 IP 位址和任何必要的連接埠的流量。

在下列案例中，您應該接受標籤可用於產品、類別和必要/非必要的特定組合:

• 針對服務標籤 – 此特定組合存在，且已列出必要的 IPv4 位址。
• 針對 FQDN 規則 – 此特定組合存在，並列出與連接埠 80/443 通訊的必要 FQDN。

標籤會自動更新，並修改必要的 IPv4 位址和 FQDN。 如果新增了產品與類別的新組合，未來也可能會自動建立新標籤。

網路規則集合:

應用程式規則集合:

規則設定

這些內建標籤會根據您的喜好設定和使用方式，提供細微性，以允許和保護對 Office 365 的輸出流量。 您可以只允許輸出流量流向特定來源的特定產品和類別。 您也可以使用 Azure 防火牆進階 TLS 檢查和 IDPS 來監視部分流量。 例如，預設類別中端點的流量可視為一般網際網路輸出流量。 如需 Office 365 端點類別的詳細資訊，請參閱 新的 Office 365 端點類別。

當您建立規則時，請確定您定義 Office 365 所需的 TCP 連接埠 (適用於網路規則) 和通訊協定(適用於應用程式規則)。 如果產品、類別和必要/非必要的特定組合同時具有服務標籤和 FQDN 標籤，您應該為這兩個標籤建立代表性規則，以完整涵蓋所需的通訊。

限制

如果產品、類別和必要/非必要的特定組合只需要 FQDN，但會使用不是 80/443 的 TCP 連接埠，就不會為此組合建立 FQDN 標籤。 應用程式規則只能涵蓋 HTTP、HTTPS 或 MSSQL。 若要允許與這些 FQDN 通訊，請使用這些 FQDN 和連接埠建立您自己的網路規則。 如需詳細資訊，請參閱 在網路規則中使用 FQDN 篩選。

下一步

• 如需詳細資訊，請參閱 使用 Azure 防火牆保護 Office365 和 Windows365。
• 深入了解 Office 365 網路連線能力: Microsoft 365 網路連線能力概觀