2023年2月20日 / 最終更新日時 : 2023年2月20日 テクバン ネットワークソリューション担当 Fortigate

FortigateでMicrosoft 365のFQDNポリシー通信不可事例

こんにちは。ネットワークソリューション特集 編集部です。
今回は、お客様ご相談事例のFortigateでMicrosoft 365のFQDNポリシー通信不可についてご紹介します。

事象

Microsoft 365のメールサービスにPCから通信できない。

お客様側で下記の対応を実施した。

  • 「outlook.office.com」をPCのnslookup名前解決したIPアドレスをオブジェクト登録
  • 上記のオブジェクトをFirewall Policyの宛先に追加

Microsoft 365のFQDNとIPアドレス

Microsoft 365のIPアドレスは複数のセグメントとFQDNで構成されています。

手動で登録する場合は定期的に更新が必要です。

learn.microsoft.com
 
Office 365 の URL と IP アドレスの範囲 - Microsoft 365 Enterprise
https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide
概要: Office 365インターネットへの接続が必要です。 以下のエンドポイントは、Government Community Cloud (GCC) を含むOffice 365プランを使用しているお客様に到達可能である必要があります。

解決策

Fortigateで用意されている、Internet Service(ISDB)のMicrosoft 365関連のサービスを宛先に変更したところ通信可能となった。

また、PCでの名前解決とFortigateの名前解決したIPアドレスが異なっていた。

Internet Service(ISDB)

Internet Service(ISDB)とはインターネット上のサービスのIPアドレスをメーカ側でオブジェクト化したサービスです。

  • DBは自動更新
  • IPアドレスベースのため最初の1パケット目から適用可能(レイヤー7ベースだと宛先FQDNが判明したパケットから)
  • レイヤー7ベース製品より低負荷
  • SD-WAN機能でも利用可能(ブレイクアウト、WAN負荷分散等)

対応サービスは下記から検索可能です。

FortiGuard
Fortiguard
https://www.fortiguard.com/updates/isdb

FortiOS ver7.2からはダッシュボードからIPアドレスからサービスを見ることも可能となりました。

まとめ

  • インターネットサービスは複数のIPアドレス、FQDNで構成されている
  • PCでの名前解決、Fortigateでの名前解決は異なる場合はがある
  • ISDBを利用すればIPアドレスのリストは自動更新される

今回はFortigateでMicrosoft 365のFQDNポリシー通信不可事例についてご紹介しました。

関連記事:

UmbrellaCisco Umbrellaの強み、弱み(メリット、デメリット) FortiGate OSサポート状況 Fortigate Cloud トライアル版でのレポート機能を試してみた Fortigate(Fortinet)製品値上げ(2021年11月より)
カテゴリー
Fortigate
タグ
Cisco

前の記事

Catalyst 1000スイッチにてPOE電力不足でアクセスポイント起動できない事例
2023年2月15日
Cato Networks

次の記事

Cato Networks SASE導入支援サービス開始
2023年2月27日