在SWA中配置Microsoft O365租户限制

步骤1.为网站创建自定义URL类别。

第1.1步：从GUI导航到网络安全管理器，然后选择自定义和外部URL类别。

第1.2步：单击Add Category以创建新的Custom URL Category。

步骤1.3.输入新类别的Name。

第1.4步：在“站点”部分定义以下URL:

login.microsoft.com, login.microsoftonline.com, login.windows.net

步骤1.5.提交更改。

图像 — 自定义URL类别

提示：有关如何配置自定义URL类别的详细信息，请访问：https://www.cisco.com/c/en/us/support/docs/security/secure-web-appliance-virtual/220557-configure-custom-url-categories-in-secur.html

步骤2.解密流量。

第2.1步：从GUI中，导航到Web Security Manager并选择解密策略

第2.2步：点击Add Policy。

第2.3步：输入Name作为新策略。

第2.4步：选择需要应用此策略的标识配置文件。

提示：如果您绕过Microsoft URL的身份验证，并且要为所有用户配置此策略，请选择：所有标识配置文件>所有用户

第2.5步：从策略成员定义部分，点击URL类别链接以添加自定义URL类别。

第2.6步：选择在步骤1中创建的URL类别。

第2.7步。单击提交。

映像 — 配置解密策略

第2.8步：在解密策略页面中，点击新策略的URL过滤中的链接。

图像 — 编辑URL过滤操作

第2.9步：选择Decrypt作为“自定义URL类别”的操作。

第2.10步。单击提交。

图像 — 解密自定义URL类别

步骤3.创建HTTP重写配置文件。

第3.1步：从GUI中，导航到Web Security Manager并选择HTTP ReWrite Profiles。

第3.2步：点击添加配置文件。

第3.3步：输入新配置文件的名称。

第3.4步将Restrict-Access-To-Tenants用作第一个报头名称。

第3.5步：对于Restrict-Access-To-Tenants设置，请使用<permitted tenant list>值，该值必须是允许用户访问的租户的逗号分隔列表。

第3.6步。单击添加行

第3.7步：使用Restrict-Access-Context作为第二个报头名称。

第3.8步。对于Restrict-Access-Context设置，请使用单个目录ID的值指定定义租户限制的租户。

第3.9步。单击提交。

图像 — 添加HTTP重写配置文件

提示：有关租户限制以及如何收集租户信息的更多信息，请访问：Microsoft学习 — 限制对租户的访问。

步骤4.创建访问策略。

第4.1步：从GUI中，导航到Web Security Manager并选择访问策略

第4.2步。单击Add Policy。

第4.3步：输入Name作为新策略。

第4.4步：选择需要应用此策略的标识配置文件。

提示：如果您绕过Microsoft URL的身份验证，并且要为所有用户配置此策略，请选择：所有标识配置文件 > 所有用户。

第4.5步：从策略成员定义部分，点击URL类别链接以添加自定义URL类别。

第4.6步：选择在步骤1中创建的URL类别。

第4.7步。单击提交。

映像 — 创建访问策略

第4.8步：在Access Policies页中，确保URL Filtering的操作设置为Monitor。

第4.9步：单击HTTP ReWrite Profile中的链接，将HTTP Header Profile添加到此策略中。

映像 — 访问策略属性

第4.10步。选择在步骤[3]中创建的HTTP重写配置文件。

图像 — 添加HTTP重写配置文件

第4.11步。单击提交。

步骤4.12.提交更改。