Мы только что перенесли нашу корпоративную электронную почту в office365. Чтобы предоставить доступ к нашим серверам Outlook Exchange, нам необходимо было открыть нашу веб-фильтрацию, допустив ряд дополнительных доменов Microsoft. Сюда входят такие домены, как outlook.com, live.com, office356.com, office.com и т. Д.
Однако это также позволяет сотрудникам получать доступ к личным учетным записям веб-почты, хранящимся на серверах outlook.com. Анализ трафика данных при запуске клиента Windows показывает, что клиент рабочего стола использует те же домены для синхронизации с обменом. Весь доступ осуществляется по ssl, что значительно усложнит глубокую проверку трафика, проходящего через прокси.
Поскольку политика компании заключается в блокировании доступа к веб-почте для наших пользователей, можно ли каким-либо образом настроить списки доступа, чтобы позволить настольному клиенту получать доступ к нашему экземпляру обмена на office365, блокируя при этом весь другой доступ к веб-почте для наших пользователей?
Возможность ограничить доступ только к бизнес-аккаунтам может помочь, но в идеале мы бы хотели, чтобы пользователи имели доступ только к своей корпоративной электронной почте в корпоративных системах.
В настоящее время мы используем squid для нашего веб-прокси, а не любую крупную коммерческую платформу, поэтому в идеале мы предпочли бы продолжить с этим, если это возможно, но если кто-то знает коммерческий веб-прокси / фильтр, который имеет такой вид точного управления из коробки, мы были бы интересно.
Я видел некоторые продукты, способные делать это с бизнес-аккаунтами gmail, но поскольку gmail запускает бизнес-аккаунты электронной почты на отдельных доменах в зависимости от рассматриваемого бизнеса, это намного проще. Я полагаю, что Microsoft управляет всеми почтовыми службами office365 на одних и тех же внешних серверах, поддерживающих лазурь.
Если вы не хотите блокировать клиентские машины, вам нужно контролировать это на грани через брандмауэр или прокси. Вы заявили, что используете Squid - поэтому, если все клиенты должны пропускать туда трафик, все будет в порядке. У меня нет большого опыта работы с Squid, но я считаю, что вы можете создать ACL, который может блокировать доступ на основе URL-адреса. Если вам нужно что-то, что блокирует по категориям и использует интеллектуальную фильтрацию, вам понадобится другое устройство или сервис (WebSense, Sophos и т. Д.).
Если у вас есть полный контроль над рабочими станциями, вы можете сделать это с помощью групповой политики и ограничить использование сторонних браузеров. Однако это точно так же, как указано выше, и вам необходимо иметь URL-адрес для блокировки или утверждения.
Если вы используете сторонний пакет вредоносных программ с централизованным управлением - некоторые из них также предоставляют методы блокировки по категориям - и он будет работать для всех браузеров и приложений на компьютере. Преимущество этого в том, что правила распространяются вместе с машинами.
Вы также можете изучить такой сервис, как OpenDNS, который предлагает фильтрацию контента, или клиентские прокси с открытым исходным кодом, такие как DansGaurdian.
да, просто отключите функцию веб-почты в office365, тогда она будет работать только с почтовым клиентом