Condividi tramite


Coesistenza di Security Service Edge (SSE) con Microsoft e Netskope

Nel panorama digitale in rapida evoluzione, le organizzazioni richiedono soluzioni solide e unificate per garantire connettività sicura e senza problemi. Microsoft e Netskope offrono funzionalità complementari di Secure Access Service Edge (SASE) che, se integrate, offrono sicurezza e connettività avanzate per diversi scenari di accesso.

Questa guida illustra come configurare e distribuire soluzioni Microsoft Entra insieme alle offerte SSE (Security Service Edge) di Netskope. Usando i punti di forza di entrambe le piattaforme, è possibile ottimizzare il comportamento di sicurezza dell'organizzazione mantenendo al tempo stesso la connettività ad alte prestazioni per le applicazioni private, il traffico di Microsoft 365 e l'accesso a Internet.

Configurazione 1: Accesso privato Di Microsoft Entra con Netskope Internet Access

Nel primo scenario, l'accesso sicuro globale gestisce il traffico delle applicazioni private. Netskope acquisisce solo il traffico Internet.

Configurazione 2: Accesso privato Microsoft Entra con Netskope Private Access e Netskope Internet Access

Nel secondo scenario, entrambi i client gestiscono il traffico per applicazioni private separate. Global Secure Access gestisce le applicazioni private in Microsoft Entra Private Access. Le applicazioni private in Netskope Private Access sono accessibili tramite il client Netskope. Netskope gestisce il traffico Internet.

Configurazione 3: Microsoft Entra Microsoft Access con Netskope Private Access e Netskope Internet Access

Nel terzo scenario, l'accesso sicuro globale gestisce tutto il traffico di Microsoft 365. Netskope gestisce il traffico Internet e l'applicazione privata.

Configurazione 4: Microsoft Entra Internet Access e Microsoft Entra Microsoft Access con Netskope Private Access

Nel quarto scenario, l'accesso sicuro globale gestisce il traffico Internet e Microsoft 365. Netskope acquisisce solo il traffico delle applicazioni private.

Prerequisiti

Per configurare Microsoft e Netskope per una soluzione SASE unificata, iniziare configurando Microsoft Entra Internet Access e Microsoft Entra Private Access. Configurare quindi l'accesso privato Netskope e l'accesso a Internet. Infine, assicurarsi di stabilire il nome di dominio completo (FQDN) richiesto e i bypass IP per garantire una corretta integrazione tra le due piattaforme.

  1. Configurare Microsoft Entra Internet Access e Microsoft Entra Private Access. Questi prodotti costituiscono la soluzione Global Secure Access.
  2. Configurare l'accesso privato Netskope e l'accesso a Internet
  3. Configurare il nome di dominio completo di accesso sicuro globale e i bypass IP

Microsoft Global Secure Access

Per configurare l'accesso sicuro globale e testare tutti gli scenari in questa documentazione:

  1. Abilita e disabilita diversi profili di inoltro del traffico di Microsoft Global Secure Access per il tenant di Microsoft Entra. Per altre informazioni sull'abilitazione e la disabilitazione dei profili, vedere Profili di inoltro del traffico di accesso sicuro globale.
  2. Installare e configurare il connettore di rete privata Microsoft Entra. Per informazioni su come installare e configurare il connettore, vedere Come configurare i connettori.

    Annotazioni

    I connettori di rete privata sono necessari per le applicazioni Microsoft Entra Private Access.

  3. Configurare l'accesso rapido alle risorse private e impostare il Sistema dei Nomi di Dominio Privato (DNS) e i suffissi DNS. Per informazioni su come configurare l'accesso rapido, vedere Come configurare l'accesso rapido.
  4. Installare e configurare il client Accesso sicuro globale nei dispositivi degli utenti finali. Per ulteriori informazioni sui client, vedere Global Secure Access clients. Per informazioni su come installare il client Windows, vedere Client di accesso globale sicuro per Windows. Per macOS, vedere Global Secure Access Client for macOS (Client di accesso sicuro globale per macOS).

Accesso privato netskope e accesso a Internet

  1. Configurare le app private Netskope. Per altre informazioni sulla configurazione dell'accesso privato Netskope, vedere la documentazione relativa all'accesso privato Netskope One .
  2. Configurare le configurazioni di Netskope Steering per l'accesso privato e Internet. Per altre informazioni sulla configurazione di Netskope, vedere la documentazione di Netskope Traffic Steering. Vengono elencati i passaggi per la creazione delle configurazioni del sistema di guida necessarie per ogni scenario.
  3. Impostare e configurare le politiche di protezione in tempo reale di Netskope per consentire l'accesso alle app private. Per altre informazioni, vedere Criteri di protezione in tempo reale netskope per le app private.
  4. Invitare gli utenti a Netskope e inviarli un messaggio di posta elettronica contenente collegamenti al pacchetto di installazione del client Netskope. Per invitare gli utenti, passare al portale Netskope>Impostazioni>SicurezzaPiattaformaCloud>Utenti.

Profili di Posizione Netskope

Creare profili di posizioni di rete per aggirare gli indirizzi IP del servizio Microsoft SSE e gli indirizzi IP di Microsoft 365 di destinazione.

Configurare la Microsoft SSE Service politica:

  1. Passare a Criteri>Profili>Posizione di Rete>Nuova Posizione di Rete>Oggetto Singolo.
  2. Aggiungere le route e salvarle come MSFT SSE Service:
    150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16.

Configurare la MSFT SSE M365 politica:

  • Ripetere i passaggi 1 e 2 per aggiungere indirizzi IP di Microsoft 365 e salvarli come MSFT SSE M365:
    132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19.

I profili MSFT SSE Service e MSFT SSE M365 vengono usati nelle configurazioni di sterzata.

Configurazione 1: Accesso privato di Microsoft Entra con Netskope Internet Access

In questo scenario l'accesso sicuro globale gestisce il traffico delle applicazioni private. Netskope acquisisce solo il traffico Internet.

configurazione di Accesso privato Microsoft Entra

Per questo scenario:

  1. Abilitare il profilo di inoltro dell'accesso privato di Microsoft Entra.
  2. Installare un connettore di rete privata per l'accesso privato Microsoft Entra.
  3. Configurare l'accesso rapido e configurare IL DNS privato.
  4. Installare e configurare il client Di accesso sicuro globale per Windows o macOS.

Configurazione di Netskope Internet Access

Configurazione del portale Netskope

  1. Impostare e configurare Netskope Steering Configuration per reindirizzare il traffico Web.
  2. Installare il client Netskope per Windows o macOS.

Aggiungere la configurazione di instradamento per l'accesso a Internet

  1. Passare a Netskope portal>Impostazioni>Piattaforma cloud di sicurezza>Configurazione dell'instradamento>Nuova configurazione.
  2. Aggiungere un nome di configurazione, ad esempio MSFTSSEWebTraffic.
  3. Scegliere un gruppo di utenti o un'unità organizzativa a cui applicare la configurazione.
  4. In Cloud, Web and Firewall>Web Traffic
  5. Ignorare il traffico delle eccezioni in corrispondenza di>Cliente
  6. Sotto App private>Nessuno.
  7. In Applicazioni senza bordi SD-WAN>Nessuna.
  8. Impostare Stato su Disabilitato e selezionare Salva.
  9. Selezionare la MSFTSSEWebTraffic configurazione >Eccezioni>Nuova Eccezione>Destinazioni.
  10. Selezionare MSFT SSE Service (le istruzioni per la creazione di questo oggetto sono elencate nella sezione Profili Netskope).
  11. L'azione è Bypass> selezionare la casella per Trattalo come un indirizzo IP locale>Aggiungi.
  12. Selezionare New ExceptionDomains (Nuovi domini eccezione>) e aggiungere l'eccezione globale del dominio di accesso sicuro: *.globalsecureaccess.microsoft.com >Salva
  13. Assicurarsi che la configurazione MSFTSSEWebTraffic sia nella parte superiore dell'elenco delle configurazioni di indirizzamento nel tuo tenant. Abilitare quindi la configurazione.
  14. Vai alla barra delle applicazioni per verificare che i client Global Secure Access e Netskope siano abilitati.

Verificare le configurazioni per i client

  1. Fare clic con il pulsante destro del mouse su Global Secure Access Client>Advanced Diagnostics>Forwarding Profile e verificare che le regole di accesso privato e DNS privato siano applicate a questo client.
  2. Passare a Diagnostica avanzata>Controllo integrità e verificare che non siano presenti controlli non riusciti.
  3. Fare clic con il pulsante destro del mouse su Netskope Client>Configurazione. Verificare che la configurazione dello sterzante corrisponda al nome della configurazione. In caso contrario, selezionare il collegamento Aggiorna .

    Annotazioni

    Per risolvere gli errori di controllo integrità, vedere Risolvere i problemi relativi al client accesso sicuro globale.

Testare il flusso del traffico

  1. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Selezionare la scheda Traffico e selezionare Avvia raccolta.
  2. Accedere a questi siti Web dai browser: bing.com, salesforce.com, Instagram.com.
  3. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e selezionare la scheda Diagnostica AvanzataTraffic (Traffico).
  4. Scorri per osservare che il client Global Secure Access non acquisisce il traffico da questi siti Web.
  5. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico. Verificare che il traffico correlato a questi siti non sia presente nei log del traffico di accesso sicuro globale.
  6. Accedere al portale di Netskope e passare a Skope IT>Eventi & Avvisi>Pagina Eventi. Verificare che il traffico correlato a questi siti sia presente nei log netskope.
  7. Accedere all'applicazione privata configurata in Microsoft Entra Private Access. Ad esempio, accedere a una condivisione file tramite Server Message Block (SMB).
  8. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico. Verificare che il traffico correlato alla condivisione file venga acquisito nei log del traffico di accesso sicuro globale.
  9. Accedere al portale Netskope e passare a Skope IT>Eventi e Avvisi>Eventi di Rete. Verificare che il traffico correlato all'applicazione privata non sia presente nei log del traffico.
  10. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Nella finestra di dialogo Traffico selezionare Arresta raccolta.
  11. Scorri per confermare che il client di Global Secure Access ha gestito solo il traffico delle applicazioni private.

Configurazione 2: Accesso privato Microsoft Entra con Netskope Private Access e Netskope Internet Access

In questo scenario, entrambi i client gestiscono il traffico per applicazioni private separate. Il client Global Secure Access gestisce le applicazioni private in Microsoft Entra Private Access e il client Netskope gestisce le applicazioni private in Netskope Private Access. Netskope gestisce il traffico Internet.

Annotazioni

Limitazione nota: quando il client di accesso sicuro globale macOS è connesso prima che il client Netskope, la funzionalità accesso sicuro globale venga interrotta.

configurazione di Accesso privato Microsoft Entra

Per questo scenario:

  1. Abilitare il profilo di inoltro dell'accesso privato di Microsoft Entra.
  2. Installare un connettore di rete privata per l'accesso privato Microsoft Entra.
  3. Configurare l'accesso rapido e configurare IL DNS privato.
  4. Installare e configurare il client Di accesso sicuro globale per Windows.

Configurazione di Netskope Private Access e Netskope Internet Access

Nel portale netskope:

  1. Impostare e configurare Netskope Steering Configuration per indirizzare il traffico Web e le app private.
  2. Installare il client Netskope per Windows.
  3. Creare criteri di protezione in tempo reale per consentire l'accesso alle app private.
  4. Installare Netskope Private Access Publisher.

Aggiungere la configurazione dello sterzante per l'accesso a Internet e le app private

  1. Navigare verso portale Netskope>Impostazioni>Piattaforma Cloud di Sicurezza>Configurazione dell'indirizzamento>Nuova configurazione.
  2. Aggiungere un nome di configurazione , MSFTSSEWebAndPrivatead esempio .
  3. Scegliere un gruppo di utenti o un'unità organizzativa a cui applicare la configurazione.
  4. In Cloud, Web and Firewall>Web Traffic
  5. Ignora il traffico di eccezione su>Client
  6. In App private selezionare App private specifiche.
  7. Sulla linea > successiva Netskope steer>
  8. In App senza bordi SD-WAN>Nessuna.
  9. Impostare Stato su Disabilitato e selezionare Salva.
  10. Selezionare la MSFTSSEWebAndPrivate configurazione >Eccezioni>Nuove eccezioni>posizioni di destinazione.
  11. Selezionare MSFT SSE Service (le istruzioni per la creazione di questo oggetto sono elencate nella sezione Profili Netskope).
  12. L'azione è Bypass> seleziona la casella Trattalo come indirizzo IP locale> Aggiungi.
  13. Selezionare New ExceptionDomains (Nuovi domini eccezione>) e aggiungere l'eccezione globale per il dominio di accesso sicuro: *.globalsecureaccess.microsoft.com >Salva.
  14. Selezionare Aggiungi elemento guidato.
  15. Selezionare App privata e selezionare le applicazioni private per Netskope per impostare >Aggiungi.
  16. Assicurarsi che la configurazione MSFTSSEWebAndPrivate sia nella parte superiore dell'elenco delle configurazioni di indirizzamento nel tuo tenant. Abilitare quindi la configurazione.

Aggiungere i criteri di protezione in tempo reale dell'app privata Netskope

  1. Passare a Netskope Portal>Policies>Real-time Protection (Protezione in tempo reale).
  2. Selezionare Nuovapolitica>AppPrivateAccess.
  3. In Origine selezionare utenti, gruppi o unità organizzative per concedere l'accesso.
  4. Aggiungere eventuali criteri obbligatori, ad esempio sistema operativo o classificazione dei dispositivi.
  5. In App> privata di destinazione> selezionare Appprivate per consentire l'accesso.
  6. In Profilo e azione>Consenti.
  7. Assegnare un nome al criterio, Private Apps ad esempio e inserirlo nel gruppo Predefinito .
  8. Impostare Stato su Abilitato.
  9. Vai alla barra delle applicazioni per verificare che i client Global Secure Access e Netskope siano abilitati.

Verificare le configurazioni per i client

  1. Fare clic con il pulsante destro del mouse su Global Secure Access Client>Advanced Diagnostics>Forwarding Profile e verificare che le regole di accesso privato e DNS privato siano applicate a questo client.
  2. Passare a Diagnostica avanzata>Controllo integrità e verificare che non siano presenti controlli non riusciti.
  3. Fare clic con il pulsante destro del mouse su Netskope Client>Configurazione. Verificare che La configurazione dello sterzante corrisponda al nome della configurazione creata. In caso contrario, selezionare il collegamento Aggiorna .

    Annotazioni

    Per risolvere gli errori di controllo integrità, vedere Risolvere i problemi relativi al client accesso sicuro globale.

Testare il flusso del traffico

  1. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Selezionare la scheda Traffico e selezionare Avvia raccolta.
  2. Accedere a questi siti Web dai browser: bing.com, salesforce.com, yelp.com.
  3. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e selezionare Advanced Diagnostics>Traffic.
  4. Scorri per osservare che il client Global Secure Access non acquisisce il traffico da questi siti Web.
  5. Accedere al centro di amministrazione di Microsoft Entra e passare a Accesso sicuro globale>Monitoraggio>Trafficolog. Verificare che il traffico correlato a questi siti non sia presente nei log del traffico di accesso sicuro globale.
  6. Accedere al portale di Netskope e passare a Skope IT>Eventi & Avvisi>Pagina Eventi. Verificare che il traffico correlato a questi siti sia presente nei log netskope.
  7. Accedere all'applicazione privata configurata in Microsoft Entra Private Access. Ad esempio, accedere a una condivisione file tramite SMB.
  8. Accedere all'applicazione privata configurata in Accesso privato Netskope. Ad esempio, aprire una sessione RDP in un server privato.
  9. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico.
  10. Convalidare che il traffico correlato all'app privata della condivisione file SMB venga acquisito e che il traffico correlato alla sessione RDP non venga acquisito nei log del traffico di Global Secure Access.
  11. Accedere al portale Netskope e passare a Skope IT>Eventi e Avvisi>Eventi di Rete. Verificare che il traffico correlato alla sessione RDPsia presente e che il traffico correlato alla condivisione file SMBnon si trova nei log netskope.
  12. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Nella finestra di dialogo Traffico selezionare Arresta raccolta.
  13. Scorrere per confermare che il client di accesso sicuro globale ha gestito il traffico dell'applicazione privata per la condivisione file SMB e non ha gestito il traffico di sessione RDP.

Configurazione 3: Microsoft Entra Microsoft Access con Netskope Private Access e Netskope Internet Access

In questo scenario, l'accesso sicuro globale gestisce tutto il traffico di Microsoft 365. Netskope Private Access gestisce il traffico delle applicazioni private e Netskope Internet Access gestisce il traffico Internet.

Annotazioni

Limitazione nota: quando il client di accesso sicuro globale macOS è connesso prima che il client Netskope, la funzionalità accesso sicuro globale venga interrotta.

Configurazione di Microsoft Entra per Microsoft Access

Per questo scenario:

  1. Abilitare il profilo di inoltro di Microsoft Entra Access.
  2. Installare e configurare il client Di accesso sicuro globale per Windows.

Configurazione di Netskope Private Access e Netskope Internet Access

Nel portale netskope:

  1. Impostare e configurare Netskope Steering Configuration per indirizzare il traffico Web e le app private.
  2. Installare il client Netskope per Windows.
  3. Creare criteri di protezione in tempo reale per consentire l'accesso alle app private.
  4. Installare Netskope Private Access Publisher.

Aggiungere la configurazione dello sterzante per l'accesso a Internet e le app private

  1. Navigare verso portale Netskope>Impostazioni>Piattaforma Cloud di Sicurezza>Configurazione dell'indirizzamento>Nuova configurazione.
  2. Aggiungere un nome di configurazione , MSFTSSEWebAndPrivate-NoM365ad esempio .
  3. Scegliere un gruppo di utenti o un'unità organizzativa a cui applicare la configurazione.
  4. In Cloud, Web e Firewall>Traffico Web.
  5. Ignorare il traffico delle eccezioni in corrispondenza di>Client.
  6. In App private selezionare App private specifiche.
  7. Sulla riga > successiva Netskope sarà>Steer.
  8. In App senza bordi SD-WAN>Nessuna.
  9. Impostare Stato su Disabilitato e selezionare Salva.
  10. Selezionare la MSFTSSEWebAndPrivate-NoM365 configurazione >Eccezioni>Nuova Eccezione>Posizioni di destinazione> Selezionare MSFT SSE Service e MSFT SSE M365 (le istruzioni per la creazione di questo oggetto sono elencate nella sezione Profili Netskope).
  11. Selezionare Bypass e Trattalo come un indirizzo IP locale.
  12. Selezionare Eccezioni>Nuova Eccezione>Domini e aggiungere queste eccezioni: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
  13. Selezionare Aggiungi elemento guidato> Selezionare App privata e selezionare le applicazioni private per farle gestire da Netskope >Aggiungi.
  14. Assicurarsi che la configurazione MSFTSSEWebAndPrivate-NoM365 sia nella parte superiore dell'elenco delle configurazioni di indirizzamento nel tuo tenant. Abilitare quindi la configurazione.

Aggiungere i criteri di protezione in tempo reale dell'app privata Netskope

  1. Passare a Netskope Portal>Policies>Real-time Protection (Protezione in tempo reale).
  2. Selezionare Nuovapolitica>AppPrivateAccess.
  3. In Origine selezionare utenti, gruppi o unità organizzative per concedere l'accesso.
  4. Aggiungere eventuali criteri obbligatori, ad esempio sistema operativo o classificazione dei dispositivi.
  5. In App> privata di destinazione> selezionare Appprivate per consentire l'accesso.
  6. In Profilo e azione>Consenti.
  7. Assegnare un nome al criterio, Private Apps ad esempio e inserirlo nel gruppo Predefinito .
  8. Impostare Stato su Abilitato.
  9. Passare all'area di notifica per verificare che i client di Accesso Sicuro Globale e Netskope siano abilitati.

Verificare le configurazioni per i client

  1. Fare clic con il pulsante destro del mouse su Global Secure Access Client>Advanced Diagnostics>Forwarding Profile e verificare che vengano applicate a questo client solo le regole di Microsoft 365.
  2. Passare a Diagnostica avanzata>Controllo integrità e verificare che non siano presenti controlli non riusciti.
  3. Fare clic con il pulsante destro del mouse su Netskope client>Configurazione. Verificare che La configurazione dello sterzante corrisponda al nome della configurazione creata. In caso contrario, selezionare il collegamento Aggiorna .

    Annotazioni

    Per risolvere i problemi di verifica dello stato di integrità, vedere risolvere i problemi relativi al client Global Secure Access.

Testare il flusso del traffico

  1. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Selezionare la scheda Traffico e selezionare Avvia raccolta.
  2. Accedere a questi siti Web dai browser: bing.com, salesforce.com, yelp.com.
  3. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e selezionare Advanced Diagnostics>Traffic.
  4. Scorri per osservare che il client Global Secure Access non acquisisce il traffico da questi siti Web.
  5. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico. Verificare che il traffico correlato a questi siti non sia presente nei log del traffico di accesso sicuro globale.
  6. Accedere al portale di Netskope e passare a Skope IT>Eventi e Avvisi>Pagina Eventi.
  7. Verificare che il traffico correlato a questi siti sia presente nei log netskope.
  8. Accedere all'applicazione privata configurata in Accesso privato Netskope. Ad esempio, aprire una sessione RDP in un server privato.
  9. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico.
  10. Verificare che il traffico correlato alla sessione RDP non si trova nei log del traffico di accesso sicuro globale.
  11. Accedere al portale Netskope e passare a Skope IT>Eventi e avvisi>Eventi di rete. Verificare che il traffico correlato alla sessione RDPsia presente.
  12. Access Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
  13. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Nella finestra di dialogo Traffico selezionare Arresta raccolta.
  14. Scorrere per confermare che il client accesso sicuro globale ha gestito solo il traffico di Microsoft 365.
  15. È anche possibile verificare che il traffico venga acquisito nei log del traffico di accesso sicuro globale. Nell'interfaccia di amministrazione di Microsoft Entra, navigare a Accesso sicuro globale>Monitor>Log di traffico.
  16. Verificare che il traffico relativo a Outlook Online e SharePoint Online non sia presente nel portale Netskope nella sezione degli eventi e avvisi della Pagina Eventi di Skope IT.

Configurazione 4: Microsoft Entra Internet Access e Microsoft Entra Microsoft Access con Netskope Private Access

In questo scenario Netskope acquisisce solo il traffico delle applicazioni private. Global Secure Access gestisce tutto l'altro traffico.

Configurazione di Microsoft Entra Internet Access e Microsoft Access

Per questo scenario:

  1. Abilitare i profili di inoltro di Microsoft Entra Microsoft Access e Microsoft Entra Internet Access.
  2. Installare e configurare il client Di accesso sicuro globale per Windows o macOS.
  3. Aggiungere un bypass personalizzato per il profilo di inoltro del traffico di Microsoft Entra Internet Access per escludere gli FQDN e gli indirizzi IP del servizio Netskope.

Aggiungere un bypass personalizzato per Netskope in Accesso sicuro globale

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra e passare a Accesso sicuro globale>Connessione>Inoltro del traffico>Profilo di accesso Internet.
  2. In Criteri di accesso a Internet> Selezionare Visualizza.
  3. Espandi Bypass personalizzato> Seleziona Aggiungi regola
  4. Lascia il tipo di destinazione FQDN e in Destinazione inserisci *.goskope.com>Salva
  5. Selezionare di nuovo >Aggiungi regolaIntervallo> IPAggiungere gli intervalli IP (ogni intervallo è una nuova regola): 163.116.128.0..163.116.255.255, 162.10.0.0..162.10.127.25531.186.239.0..31.186.239.255, 8.39.144.0..8.39.144.2558.36.116.0..8.36.116.255
  6. Seleziona Salva.

Configurazione dell'accesso privato Netskope

Nel portale netskope:

  1. Configurare e configurare Netskope Steering Configuration per gestire il traffico Web e le app private.
  2. Installare il client Netskope per Windows o macOS.
  3. Creare criteri di protezione in tempo reale per consentire l'accesso alle app private.
  4. Installare Netskope Private Access Publisher.

Aggiungere la configurazione dello sterzante per l'accesso a Internet e le app private

  1. Passare a Portale Netskope>Impostazioni>Piattaforma Cloud di Sicurezza>Configurazione di instradamento>Nuova configurazione.
  2. Aggiungere un nome di configurazione , MSFTSSEPrivatead esempio .
  3. Scegliere un gruppo di utenti o un'unità organizzativa a cui applicare la configurazione.
  4. In Cloud, Web e Firewall>Traffico Web.
  5. Ignorare il traffico delle eccezioni in corrispondenza di>Client.
  6. In App private selezionare App private specifiche.
  7. Sulla riga > successiva Netskope sarà>Steer.
  8. Sotto App senza bordi SD-WAN>Nessuna.
  9. Impostare Stato su Disabilitato e selezionare Salva.
  10. Selezionare la MSFTSSEPrivate configurazione >Eccezioni>Nuova Eccezione>Posizioni di destinazione> Selezionare MSFT SSE Service e MSFT SSE M365 (le istruzioni per la creazione di questo oggetto sono elencate nella sezione Profili Netskope).
  11. Selezionare Bypass e Trattalo come un indirizzo IP locale.
  12. Selezionare Eccezioni>Nuova Eccezione>Domini e aggiungere queste eccezioni: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
  13. Selezionare Aggiungi elemento guidato> Selezionare App privata e selezionare le applicazioni private per farle gestire da Netskope >Aggiungi.
  14. Assicurarsi che la configurazione MSFTSSEPrivate sia nella parte superiore dell'elenco delle configurazioni di instradamento nel tenant. Abilitare quindi la configurazione.

Aggiungere i criteri di protezione in tempo reale dell'app privata Netskope

  1. Passare a Netskope Portal>Policies>Real-time Protection (Protezione in tempo reale).
  2. Selezionare NuovoCriterio>AppPrivataAccesso.
  3. In Origine selezionare utenti, gruppi o unità organizzative per concedere l'accesso.
  4. Aggiungere eventuali criteri obbligatori, ad esempio sistema operativo o classificazione dei dispositivi.
  5. In Destinazione>AppPrivata> selezionare App Private per consentire l'accesso.
  6. In Profilo e azione>Consenti.
  7. Assegnare un nome al criterio, Private Apps ad esempio e inserirlo nel gruppo Predefinito .
  8. Impostare Stato su Abilitato.
  9. Nella barra delle applicazioni, controlla che i client Accesso sicuro globale e Netskope siano abilitati.

Verificare le configurazioni per i client

  1. Fare clic con il pulsante destro del mouse su Global Secure Access Client>Diagnostica Avanzata>Profilo di Inoltro e verificare che le regole di accesso a Microsoft e Internet siano applicate a questo client.
  2. Passare a Diagnostica avanzata>Controllo integrità e verificare che non siano presenti controlli non riusciti.
  3. Fare clic con il pulsante destro del mouse su Netskope Client>Configurazione. Verificare che La configurazione dello sterzante corrisponda al nome della configurazione creata. In caso contrario, selezionare il collegamento Aggiorna .

    Annotazioni

    Per risolvere i problemi di verifica di integrità, vedere Risolvere i problemi relativi al client di Accesso Sicuro Globale.

Testare il flusso del traffico

  1. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Selezionare la scheda Traffico e selezionare Avvia raccolta.
  2. Accedere a questi siti Web dai browser: , , , Outlook Online (bing.com, salesforce.com, Instagram.com), SharePoint Online (outlook.com). outlook.office.comoutlook.office365.com<yourtenantdomain>.sharepoint.com
  3. Accedi al centro di amministrazione di Microsoft Entra e vai su Global Secure Access>Monitor>Log del traffico. Verificare che il traffico correlato a questi siti venga acquisito nei log del traffico di accesso sicuro globale.
  4. Accedere all'applicazione privata configurata in Netskope Private Apps. Ad esempio, usando Desktop remoto (RDP).
  5. Accedi al portale Netskope e vai su Skope ITEventi & AvvisiEventi di Rete. Verificare che il traffico correlato alla sessione RDPsia presente e che il traffico correlato a Microsoft 365 e traffico Internet, ad esempio Instagram.com, Outlook Online e SharePoint Online non sia presente nel portale Netskope.
  6. Nell'area di notifica, fare clic con il pulsante destro del mouse su Global Secure Access Client e quindi scegliere Diagnostica avanzata. Nella finestra di dialogo Traffico di rete selezionare Arresta raccolta.
  7. Scorrere per osservare che il client di Accesso Sicuro Globale non acquisisce il traffico dall'applicazione privata. Osservare inoltre che il client Di accesso sicuro globale sta acquisendo traffico per Microsoft 365 e altro traffico Internet.