Grupo de políticas para solo permitir Microsoft 365

NachoZuvic
Here to help

Grupo de políticas para solo permitir Microsoft 365

Buenas Tardes Comunidad Meraki.
                                                        Estaban pensando en implementar una Política de Grupo para asignar a algunos clientes que solo tenga uso LAN y solo salida de aplicaciones de Microsoft 365.  Esta pensada para puesto de seguridad o trabajos de noche. Mayormente utilizan una gran parte del ancho de banda en temas de video ( Peliculas, youtube, etc). La ideas eso en algunos usuarios, no en la red.

Como Ejemplo la red de la empresa es 192.168.0.0/16 y la red de Usuario 192.168.10.0/24.

NachoZuvic_1-1612382642620.png

La primera política permite todo todo el trafico interno, y la tercera política deniega todo lo demás, es decir, niega la salida a internet.
Donde tengo dudas es la política 2 o mas (destinatario en blanco). Como permitir las aplicaciones de Microsoft 365 y Microsoft 365 web.
Encontré las Url e IP's de Microsoft en su documentación. 
https://docs.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-world...

Pero tendría que realizar demasiadas reglas o políticas para permitir Exchange, Sharepoint, o365 web, etc.

Alguien tiene alguna experiencia parecida o alguna idea de como implementar esto de la mejor forma.


Saludos y excelente semana.


 




2 REPLIES 2
bmehta
Meraki Alumni (Retired)
Meraki Alumni (Retired)

Hola @NachoZuvic ,
Si está agregando una regla de firewall "denegar todo", deberá permitir IP y rangos específicos.
Sin embargo, también puede bloquear la transmisión y otras opciones de Internet a través de las reglas L7. De esa forma, no tendría que bloquear todo el tráfico en esa subred. Además, puede utilizar el filtrado de contenido en esa subred y bloquear sitios web de esa manera.
Más importante aún, recomendaría configurar un límite de ancho de banda del cliente en esa VLAN para que los clientes no utilicen el ancho de banda de la red.
Espero que esto te ayude.

Muchas Gracias por tus observación.
Por el momento tengo un Regla L7 que restringe la mayoría del trafico de video, películas, etc. 
Mas mi ideas es buscar un Política de grupo que solo te permita las aplicaciones de Microsoft 365. 
Ejemplo, la misma política mostrada pero permitiendo correo y portal web.

NachoZuvic_0-1612986736114.png


Agregar cada servicio creo que quedaría un poco larga. Estoy buscando como seria la forma mas correcta.
Saludos y gracias por tus comentarios. 

Get notified when there are additional replies to this discussion.