Les accès externes dépendent des modules activés : SMTP, Microsoft Graph (Meeting, synchronisations), SMS, Wi‑Fi Guest, SSO cloud. Les autres intégrations (contrôle d’accès, ADFS, relais SMTP interne) restent en général intra‑LAN.
Utilisez un proxy/pare‑feu avec filtrage par FQDN lorsque possible, et appliquez TLS 1.2+.
1) Obligatoires / recommandés (socle)
Usage | Source → Destination | Proto/Port | Remarques |
DNS | Serveurs (WEB/SQL) → DNS interne | UDP/TCP 53 | Résolution FQDN (Graph, SMTP externe, CRL/OCSP, SMS…). |
NTP | Serveurs → NTP interne | UDP 123 | Horodatage cohérent (authent/SSO, certificats). |
CRL/OCSP | Serveur WEB → AC publiques | HTTP/HTTPS 80/443 | Vérification de révocation des certificats (via proxy si possible). |
Ces flux peuvent être internes (DNS/NTP de l’entreprise). Si un proxy sortant est imposé, autoriser le serveur WEB à l’utiliser.
2) Messagerie (notifications e‑mail)
Scénario | Source → Destination | Proto/Port | Détails |
Relais SMTP interne | WEB → Relais d’entreprise | SMTP 25 ou 587 (TLS) | Recommandé (aucune sortie Internet directe). |
Relais SMTP externe | WEB → Fournisseur | SMTP 587 (TLS) (ou 25 selon politique) | Si l’organisation externalise l’envoi d’e‑mails. |
3) Microsoft Graph (Hamilton Meeting / synchronisations Azure AD)
Usage | Source → Destination (FQDN) | Proto/Port | Remarques |
APIs Graph | WEB → | HTTPS 443 | Lecture/écriture des calendriers, synchronisations. |
Auth/Consent Azure AD | WEB/Administrateur → | HTTPS 443 | Flux OAuth2/OIDC et consentement admin. |
Les endpoints précis sont ceux de Microsoft Graph et Azure AD. Voir l’article Intégrations → Microsoft 365/Graph pour le scope et l’app registration.
4) SMS (si activé)
Source → Destination | Proto/Port | Remarques |
WEB → FQDN du prestataire SMS | HTTPS 443 | Autoriser les noms de domaine fournis par le prestataire (envoi, callbacks éventuels). |
5) Wi‑Fi Guest (si activé)
Source → Destination | Proto/Port | Remarques |
WEB → Portail du fournisseur (Ucopia/BlueSafe/Aruba, …) | HTTPS 443 | Génération des comptes invités via API/portail. Selon architecture, peut rester interne si le contrôleur est on‑prem. |
6) SSO cloud / IdP externes (si utilisé)
Usage | Source → Destination | Proto/Port | Remarques |
SAML/OIDC managé | WEB → IdP cloud (ex. | HTTPS 443 | Pour authentification fédérée sans ADFS interne. |
Avec ADFS on‑prem, les flux demeurent internes.
7) Webhooks / APIs sortantes (optionnel)
Source → Destination | Proto/Port | Remarques |
WEB → FQDN cible | HTTPS 443 | Si vous branchez des webhooks ou APIs vers des systèmes tiers. |
8) Ce qui reste généralement interne (pas d’Internet requis)
Contrôle d’accès (AEOS/SiPass/Lenel) : cibles habituellement LAN.
AD/LDAPS : contrôleurs de domaine internes.
Imprimantes badges et périphériques accueil : IP locales/USB.
9) Modèle de règle pare‑feu (sortant) — à adapter
Autoriser depuis Serveur WEB/API vers :
graph.microsoft.com:443(si Meeting/Graph)login.microsoftonline.com:443(auth/consent)Relais SMTP (
host:25/587)Prestataire SMS (
*.fournisseur.com:443) (si SMS)Portail Wi‑Fi Guest (
*.fournisseur.com:443) (si activé)CRL/OCSP (HTTP/HTTPS) via proxy
Proxy sortant de l’entreprise si requis
Restreindre par FQDN et groupes d’adresses, et journaliser les accès.
10) Checklist d’ouverture des flux sortants
Le serveur WEB résout DNS et est synchronisé NTP.
SMTP opérationnel (test d’envoi).
Graph accessible (
graph.microsoft.com) et consentement Azure AD validé (si Meeting/synchro).Prestataire SMS accessible et clés/API renseignées (si activé).
Portail Wi‑Fi Guest accessible (si activé).
CRL/OCSP accessibles (via proxy si nécessaire).
Aucune donnée sensible dans les logs de proxy/pare‑feu (masquage tokens).
Liens croisés
Matrice des flux réseau → vision globale interne/externe.
Chiffrement & secrets → TLS/LDAPS, certificats, stockage des clés.
Intégrations Entreprise → Microsoft 365/Graph, SSO (SAML/OIDC/ADFS), Wi‑Fi Guest, SMS.
Observabilité → supervision HTTP/SMTP/Graph & journaux.