إنشاء قائمة فعالة لعدم فك تشفير خدمات Microsoft 365 في الوصول الآمن
المقدمة
يصف هذا المستند الطريقة الفعالة لإنشاء قائمة عدم فك التشفير لتخطي مجالات Microsoft 365 من فك تشفير IPS في الوصول الآمن.
المشكلة
يعرف عن حركة مرور Microsoft 365 أنها تسبب مشاكل عند تمريرها عبر محركات فحص SSL أو الوكيل أو IPS.
تقترح Microsoft تجاوز المجالات و IPs المصنفة ك "السماح" وتحسينها، استنادا إلى مقالة قاعدة المعارف:
لا تنطبق ميزة التوافق الحالية ل Microsoft 365 في "الوصول الآمن" إلا على حركة المرور المرور عبر الوكيل.
ونتيجة لذلك، عند تمكين هذه الميزة، لا يتم تطبيق أي فك تشفير أو فحص على حركة المرور هذه على مستوى الوكيل، ومع ذلك فما زالت إعدادات فك تشفير IPS العمومية مطبقة.
عند تمكين ميزة فك تشفير IPS والتوافق مع Microsoft 365، لا يزال يتم فك تشفير حركة مرور البيانات الموجهة بالإنترنت في السيناريوهات:
- نفق كامل
- الوصول الآمن إلى الإنترنت عبر نفق VPN
الأعراض النموذجية للمشاكل الناجمة عن فك تشفير حركة مرور بيانات Microsoft 365:
- تسليم بريد إلكتروني بطيء عبر Outlook
- مشاكل الأداء مع SharePoint
- تجربة مستخدم غير صحيحة عند إستخدام Teams
حل بديل مؤقت
يجب على العملاء تجاوز حركة المرور الموجهة إلى المجالات المصنفة على أنها السماح والتحسين من فك تشفير IPS:
يعد إنشاء هذه القائمة يدويا مهمة مرهقة إلى حد ما، ومن ثم يمكن إستخدام برنامج Python النصي لسحب القائمة ديناميكيا من واجهة برمجة التطبيقات (API) من Microsoft:
https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed1-bad1-445f-b386-b919946339a7
import requests
def get_fqdns(url):
try:
response = requests.get(url)
response.raise_for_status()
data = response.json()
fqdns = []
for item in data:
if item.get('category') in ['Allow', 'Optimize']:
for fqdn in item.get('urls', []):
fqdns.append(fqdn)
return fqdns
except requests.exceptions.RequestException as e:
print(f"Error fetching data: {e}")
return []
# URL to fetch the endpoint data
url = "https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed1-bad1-445f-b386-b919946339a7"
# Get FQDNs and print them
fqdns = get_fqdns(url)
for fqdn in fqdns:
print(fqdn)
مثال على مخرجات هذا النص بدءا من 31 أكتوبر 2024:
outlook.cloud.microsoft
outlook.office.com
outlook.office365.com
outlook.office365.com
smtp.office365.com
*.protection.outlook.com
*.mail.protection.outlook.com
*.mx.microsoft
*.lync.com
*.teams.cloud.microsoft
*.teams.microsoft.com
teams.cloud.microsoft
teams.microsoft.com
*.sharepoint.com
*.officeapps.live.com
*.online.office.com
office.live.com
*.auth.microsoft.com
*.msftidentity.com
*.msidentity.com
account.activedirectory.windowsazure.com
accounts.accesscontrol.windows.net
adminwebservice.microsoftonline.com
api.passwordreset.microsoftonline.com
autologon.microsoftazuread-sso.com
becws.microsoftonline.com
ccs.login.microsoftonline.com
clientconfig.microsoftonline-p.net
companymanager.microsoftonline.com
device.login.microsoftonline.com
graph.microsoft.com
graph.windows.net
login.microsoft.com
login.microsoftonline.com
login.microsoftonline-p.com
login.windows.net
logincert.microsoftonline.com
loginex.microsoftonline.com
login-us.microsoftonline.com
nexus.microsoftonline-p.com
passwordreset.microsoftonline.com
provisioningapi.microsoftonline.com
*.protection.office.com
*.security.microsoft.com
compliance.microsoft.com
defender.microsoft.com
protection.office.com
purview.microsoft.com
security.microsoft.com
يمكن الآن إضافة مجالات من القائمة إلى قائمة عدم فك تشفير النظام المقدمة:
يجب إضافة FQDNs في لا تقوم قائمة فك تشفير النظام المتوفرة، من أجل تجاوز فك تشفير IPS.
لا يمكن تطبيق قائمة عدم فك التشفير المخصصة إلا على توصيفات التأمين.
الحل
يعمل فريق التفاوض من Cisco على تحسين ميزة التوافق ل Microsoft 365، والتي من شأنها سحب هذه القائمة تلقائيا والسماح للمسؤول بتمكين وظيفة الالتفاف من لوحة معلومات الوصول الآمن.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
09-Dec-2024 |
الإصدار الأولي |
التعليقات