Как сетевой защите отличить корпоративный аккаунт от личного в Office365?

Как различить куда заходит сотрудник в облаке: в корпоративный аккаунт или в свой личный? С точки зрения межсетевого экрана это один и тот же сайт, например, login.microsoft.com. Но отличие в том, что логин происходит на разные аккаунты. Облачные провайдеры SaaS придумали как ограничить доступ - межсетевой экран должен лишь сказать облаку какие домены разрешены для логина, а какие нет. Допустим вы хотите, чтобы заходили только на ваш домен business.com. И вы должны это сказать облаку. Это делается при помощи специального заголовка HTTP, который называется Restrict-Access-To-Tenants, что описано в документации у Microsoft. Но кто будет добавлять такой заголовок в трафик из вашей сети? Ваш межсетевой экран. В Palo Alto Networks NGFW эта функция называется HTTP Header Insertion. Эта функция работает для различных типов облаков, включая Office365. Подробно описание тут.

Если ваш сотрудник попытается зайти на несанкционированный домен, то сам портал Microsoft выдаст сообщение, что это запрещено.

После того как вы взяли под контроль доступ к порталу возникнет вопрос: великолепно, но к корпоративному аккаунту есть доступ из Интернет, минуя корпоративный firewall. И тут есть хороший вариант: использовать продукт Prisma SaaS, который в облаке контролирует что делает сотрудник и включает DLP, антивирус, песочницу и контроль писем и файлов. Подробнее в видеоролике