Verbindungen zu Office 365 – Proxy & Firewall umgehen

Microsoft empfiehlt den Netzwerkverkehr für die Office 365 Dienste direkt zu routen und dabei den eigenen Proxy oder Firewall zu umgehen. Insbesondere das Aufbrechen und Inspizieren der SSL-Verbindungen und die Proxy Authentifizierung sind mit den meisten Office 365 Diensten nicht kompatibel. Im ungünstigsten Fall könnten wichtige Dienste wie die Synchronisation des lokalen Active Directory jetzt oder in Zukunft nicht mehr funktionieren. Da sich die von Microsoft genutzten IP-Bereiche und URLs ständig ändern, muss hierfür eine Lösung gefunden werden, welche auf diese Änderungen dynamisch reagieren kann.

Konfiguration direkt im Proxy

Einige Proxies wie z. B. Sophos UTM müssen im transparent mode so konfiguriert werden, dass die IP-Bereiche und URLs vom SSL-Aufbrechen und der Proxy Authentifizierung ausgenommen werden. Diese Konfiguration muss jeweils spezifisch für den eingesetzten Proxy vorgenommen werden. Die IP-Bereiche und URLs müssen dabei über einen Webservice von Microsoft ausgelesen werden.

Für Sophos UTM gibt es das PowerShell Modul SophosEndpoints, welches über die PowerShell Gallery bereitgestellt wird und entsprechend einfach installiert werden kann. Öffnen Sie hierzu eine PowerShell mit erweiterten Rechten und führen Sie folgendes cmdlet aus:

Install-Module SophosEndpoints
01-install-sophosendpoints.png

Anschließend können über die API der Sophos die entsprechenden Ausnahmen automatisch gesetzt werden. Ein Aufruf per PowerShell sieht hierbei wie folgt aus:

Set-EndpointsInUtm -UtmApiUrl "https://sophos.testlab.live:4444/api" -UtmApiKey "kjAHGansdzyPdsYhmILKgOWsh" -TenantName testlab -LogFilePath "Set-EndpointsInUtm.log"

Wie dabei der API-Zugriff auf die Sophos konfiguriert wird, und wie die Konfiguration der Sophos mit Hilfe eines scheduled Task aktuell gehalten wird, ist im Artikel Auto Update Sophos UTM with Microsoft Endpoints ausführlich beschrieben.

Proxy Auto-Config (PAC)

Falls es der Proxy erlaubt, kann auch eine direkte Konfiguration der Clients per PAC-Datei vorgenommen werden. Diese gibt dem Web-Browser vor, welche Anfragen über den Proxy und welche direkt aufgelöst werden. Zur Erstellung einer solchen PAC-Datei bietet Microsoft ein PowerShell-Script an, welches über die PowerShell Gallery bereitgestellt wird und entsprechend einfach installiert werden kann. Öffnen Sie hierzu eine PowerShell mit erweiterten Rechten und führen Sie folgendes cmdlet aus:

Install-Script -Name Get-PacFile

Anschließend kann eine PAC-Datei wie folgt erzeugt werden:

Get-PacFile -Type 2 -Instance Worldwide -TenantName escde -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Dabei müssen die Parameter wie folgt angepasst werden:

ClientRequestId
Hier wird eine GUID eingegeben, welche die Maschine identifiziert, von der die Anfrage an den Webservice gestartet wird. Dieser gibt die aktuellen IP-Bereiche und URLs zurück.
Eine GUID kann in der PowerShell wie folgt generiert werden:

[guid]::NewGuid()
02-newguid.png

Instance
Die Office 365 Service-Instanz. Wenn Sie sich nicht in Asien befinden, ist dies seit Abschaltung der Microsoft Deutschland Cloud immer Worldwide.

TenantName
Ihr Office 365 Tenantname – also der *-Teil von *.onmicrosoft.com – welcher genutzt wird um einige URLs zu personalisieren. Beispielsweise die Adressen von SharePoint.

Type
Mit Option 1 wird lediglich Traffic direkt geroutet, welcher von Microsoft in die Kategorie Optimize fällt. Mit Option 2 Traffic, welcher in die Kategorie Optimize oder Allow fällt.

Anschließend kann die so generierte PAC-Datei an die Clients verteilt werden. Um so wenig wie möglich manuell konfigurieren zu müssen, sollte die PAC-Datei direkt in ein Web-Verzeichnis auf dem Webserver erstellt werden. Für den Microsoft Webserver IIS kann die Veröffentlichung der PAC-Datei wie hier beschrieben vorgenommen werden.

Wenn die PAC-Datei nun veröffentlicht ist, bietet es sich an eine GPO zu erstellen, welche die Einstellung Auto-proxy URL (die PAC-Datei auf dem Webserver) an die Clients verteilt.

Die zugehörige GPO befindet sich unter User Configuration > Preferences > Control Panel Settings > Internet Settings

03-gpo.png

Hier erstellen wir mit einem Rechtsklick > New > Internet Explorer 10 eine neue Einstellung.

In dieser konfigurieren wir unter Connections > LAN settings. Hier wird die Option Use automatic configuration script aktiviert, indem unter Address F6 gedrückt und die oben erwähnte Auto-proxy URL zur PAC-Datei eingetragen wird. Beispielsweise http://intern.escde.net/pac/o365.pac

LANsettings_01.png

Nach Bestätigen mittels OK wird auch die Option Use this automatic configuration script als abgehakt angezeigt.

LANSettings_02.png

Alle Nutzer, für die diese GPO angewendet wird, erreichen die Office 365 Dienste nun ohne Umwege über den Proxy.

Iris Gerlach