Как различить куда заходит сотрудник в облаке: в корпоративный аккаунт или в свой личный? С точки зрения межсетевого экрана это один и тот же сайт, например, login.microsoft.com. Но отличие в том, что логин происходит на разные аккаунты. Облачные провайдеры SaaS придумали как ограничить доступ - межсетевой экран должен лишь сказать облаку какие домены разрешены для логина, а какие нет. Допустим вы хотите, чтобы заходили только на ваш домен business.com. И вы должны это сказать облаку. Это делается при помощи специального заголовка HTTP, который называется Restrict-Access-To-Tenants, что описано в документации у Microsoft. Но кто будет добавлять такой заголовок в трафик из вашей сети? Ваш межсетевой экран. В Palo Alto Networks NGFW эта функция называется HTTP Header Insertion. Эта функция работает для различных типов облаков, включая Office365. Подробно описание тут.
