Delen via

Meer informatie over co-existentie van Security Service Edge (SSE) met Microsoft en Netskope

  • Artikel

De Security Service Edge-oplossing van Microsoft biedt een robuuste set mogelijkheden om de beveiliging te verbeteren en de prestaties van uw Microsoft 365-producten te verbeteren. Enkele van deze mogelijkheden zijn:

  • Voorkomen dat gegevens worden verplaatst naar niet-vertrouwde tenants.
  • Controleer gebruikers en voorwaarden voordat u toegang krijgt tot het netwerk.
  • De toegang tot Microsoft 365-producten intrekken wanneer de voorwaarden veranderen met behulp van continue toegangsevaluatie.
  • Pas op locatie gebaseerde voorwaardelijke toegang, risicodetectie en uitgebreide activiteitenlogboeken toe door gebruik te maken van bron-IP-herstel.
  • Beveilig Microsoft 365-apps tegen infiltratie van tokens en anonieme toegang.

Deze mogelijkheden zijn uniek voor Microsoft Entra-internettoegang voor Microsoft 365. U kunt deze functies voor Microsoft 365 gebruiken en tegelijkertijd de SSE-oplossing (Netskope Security Service Edge) gebruiken. Als gevolg hiervan maakt u gebruik van een robuuste set mogelijkheden en capaciteiten van beide platforms om uw SSE-traject te verbeteren. De synergie tussen deze platforms biedt u een verbeterde beveiliging en naadloze connectiviteit.

Dit document bevat stappen voor het naast elkaar implementeren van de twee oplossingen. Met name Microsoft Entra-internettoegang voor Microsoft 365-toepassingen, zoals Exchange Online en SharePoint Online, en Netskope SSE voor al het andere webverkeer.

Overzicht van configuratie

In Microsoft Entra schakelt u het Microsoft 365-profiel voor het doorsturen van verkeer in en schakelt u de profielen voor het doorsturen van internettoegang en privétoegang uit. Alleen Microsoft 365-verkeer wordt vastgelegd. In Netskope legt u internettoegangsverkeer vast en sluit u Microsoft 365-verkeer uit.

Notitie

De clients moeten worden geïnstalleerd op een apparaat dat is verbonden met Windows 10 of Windows 11 en Microsoft Entra, of op een hybride verbonden Microsoft Entra-apparaat.

Microsoft Entra-internettoegang voor Microsoft 365-configuratie

Schakel het Microsoft 365-profiel voor het doorsturen van verkeer in voor uw Microsoft Entra-tenant. Zie Global Secure Access Traffic Forwarding-profielen voor meer informatie over het in- en uitschakelen van profielen.

Installeer en configureer de Global Secure Access-client op apparaten van eindgebruikers. Voor meer informatie over cliënten, zie Global Secure Access-cliënten. Zie Global Secure Access-client voor Windows voor meer informatie over het installeren van de Windows-client.

Netskope-configuratie

Maak netwerklocatieprofielen om IP-adressen (Destination Internet Protocol) van Microsoft 365 en IP-adressen van Microsoft SSE-services te omzeilen.

  1. Navigeer naar >>
  2. Voeg de routes toe en sla ze op als MSFT SSE-service:150.171.19.0/24, , 150.171.20.0/24, 13.107.232.0/2413.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, . 151.206.0.0/166.6.0.0/16
  3. Herhaal stap 1 en 2 om Microsoft 365 IP-adressen toe te voegen en op te slaan als MSFT SSE M365: 132.245.0.0/16, , 204.79.197.215/32150.171.32.0/22131.253.33.215/3223.103.160.0/2040.96.0.0/1352.96.0.0/1440.104.0.0/1513.107.128.0/2213.107.18.10/3113.107.6.152/3152.238.78.88/32104.47.0.0/1752.100.0.0/1440.107.0.0/1640.92.0.0/15150.171.40.0/2252.104.0.0/14104.146.128.0/1740.108.128.0/1713.107.136.0/2240.126.0.0/1820.231.128.0/1920.190.128.0/1820.20.32.0/19

    Notitie

    Er wordt later extra Microsoft 365-verkeer toegevoegd. Raadpleeg M365-URL's en IP-adresbereiken voor een volledige lijst.

  4. Navigeer naar > en selecteer Wijzigingen toepassen rechtsboven in het scherm.

Maak een stuurconfiguratie om al het verkeer van web-apps naar Netskope te sturen, met uitzondering van Microsoft 365.

  1. Navigeer naar Instellingen>Beveiliging Cloud Platform>Verkeerssturing>Sturingsconfiguratie>Nieuwe configuratie.
  2. Voeg bijvoorbeeld MSFTSSEWebTrafficeen naam toe en wijs een gebruikersgroep of organisatie-eenheid (OE) toe.
  3. Selecteer Webverkeer voor het type verkeer dat moet worden gestuurd. Laat de configuratie uitgeschakeld en selecteer Opslaan.
  4. Navigeer naar Uitzonderingen>nieuwe uitzonderingsbestemmingen> en selecteer de zojuist gemaakte configuratie.
  5. Voeg in deze uitzonderingMSFT SSE-service en MSFT SSE M365 toe in doellocaties.
  6. Selecteer Omzeilen en Behandel het als een lokaal IP-adres-opties.
  7. Voeg vervolgens uitzonderingen toe voor domeinen voor de MSFT SSE-service en MSFT M365. Selecteer Uitzonderingen>Nieuwe Uitzondering>Domeinen en voeg deze uitzonderingen toe: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
  8. Zorg ervoor dat de MSFT SSE-configuratie boven aan de lijst met stuurconfiguraties in uw tenant staat. Schakel vervolgens de configuratie in.

Stel de Netskope-client in. Zie voor meer informatie over de Netskope-client https://docs.netskope.com/en/netskope-help/netskope-client.

Voor de meest eenvoudige installatie voegt u uw e-mailadres toe aan het Netskope Security Cloud Platform.

  1. Blader naar Instellingen>Security Cloud Platform>Netskope Client>Gebruikers.
  2. Voeg het e-mailadres van de gebruiker toe. De gebruiker ontvangt een e-mail om de client in te stellen.
  3. Open het systeemvak om te controleren of Global Secure Access- en Netskope-clients zijn ingeschakeld.
  4. Klik met de rechtermuisknop op Global Secure Access Client>Advanced Diagnostics>Forwarding Profile. Controleer of alleen Microsoft 365-regels zijn toegepast op deze client.
  5. Navigeer naar Geavanceerde statuscontrole voor diagnostische gegevens>en zorg ervoor dat er geen controles mislukken.
  6. Klik met de rechtermuisknop op Netskope Client>Clientconfiguratie. Controleer of de stuurconfiguratie en het type verkeersroutering overeenkomen met de configuraties in de eerdere stappen. Controleer of de configuratie up-to-date is of werk deze bij.

Verkeersstroom testen

SSE-configuratie van Microsoft: Schakel microsoft 365-profiel voor het doorsturen van verkeer in, schakel profielen voor het doorsturen van internettoegang en privétoegang uit.

Netskope SSE-configuratie: internettoegangsverkeer wordt vastgelegd. Het Microsoft 365-verkeer wordt uitgesloten.

  1. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer het tabblad Verkeer en selecteer Verzamelen starten.
  2. Deze websites openen vanuit de browsers: bing.com, salesforce.comen Instagram.com.
  3. Meld u aan bij het Microsoft Entra-beheercentrum en blader naar Global Secure Access>Monitor>Verkeerslogboeken. Controleer of verkeer voor deze sites ontbreekt in de Global Secure Access-verkeerlogboeken.
  4. Meld u aan bij Netskope Cloud-account en blader naar Skope IT>Gebeurtenissen>Pagina-gebeurtenissen. Controleer of verkeer met betrekking tot deze sites aanwezig is in Netskope-logboeken.
  5. Open Outlook Online (outlook.com, outlook.office.com, ), outlook.office365.comSharePoint Online (<yourtenantdomain>.sharepoint.com) en controleer of het Microsoft Entra-internettoegang Microsoft 365-toegangsprofiel het verkeer vastlegt. Valideer verkeer in het Global Secure Access-verkeerlogboek.
  6. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer Stoppen met verzamelen in het dialoogvenster netwerkverkeer.
  7. Controleer in het dialoogvenster netwerkverkeer of de Global Secure Access-client alleen het Microsoft 365-verkeer verwerkt.
  8. Controleer of verkeer met betrekking tot Outlook Online en SharePoint Online ontbreekt in de Netskope-logboeken in de Skope IT>Gebeurtenissen>Pagina Gebeurtenissen.

Volgende stappen