こんにちは。ネットワールドSEの林です。
本ブログでは個人的に気になったFortinet社の公開するナレッジベースの内容を紹介します。
今回は問い合わせの多い、FortiGateのISDBを使ったOffice365通信の制御方法について、気になったKBがありましたので、共有させて頂きます。
FortiGateには、Office365通信で使われるIPアドレス群をデータベース化したオブジェクトがございます。
なのですが、下記のKBではOffice 365通信を制御するには、Microsoftサービスと依存関係にあるAkamai-CDNも含める必要があることが示唆されています。
<FortiGuard Labs: Internet Services Akamai-CDN>
Internet Services | FortiGuard Labs
もし、Office 365のアドレスオブジェクトのみ許可していても、
上手く制御できないという方は、Akamai-CDNの許可を試してみると事象が改善されるかもしれません。
また、弊社検証環境で動作確認してみると、WindowsUpdate実施後もAkamai-CDN宛の通信が急増しているのが見受けられました。
Microsoftサービスということでは、WindowsUpdateもAkamai-CDNを利用してそうですね。
なお、本動作に関しましては、FortiOSバージョンだけでなく、Office 365の動作が変更される可能性もございますので、事前検証の実施はもちろんですが、運用中にも各仕様動作の変更に注意が必要かと存じます。
その他
FortiGateのISDBには、Office 365に関係するISDBアドレスオブジェクトは複数あります。うまく行かない場合、もしかしたら、適切なISDBアドレスオブジェクトを選択出来ていない可能性があります。下記KBではそれぞれの違いについて説明がされていますので、こちらも参考になれば幸いです。
<Technical Tip: Different Internet Service Database groups for Microsoft Office 365>
それでは、今回はこの辺で失礼します。
ありがとうございました。
