Udostępnij za pośrednictwem


Współistnienie usługi Security Service Edge (SSE) z firmą Microsoft i platformą Netskope

W dzisiejszym szybko zmieniającym się środowisku cyfrowym organizacje wymagają niezawodnych i ujednoliconych rozwiązań w celu zapewnienia bezpiecznej i bezproblemowej łączności. Firmy Microsoft i Netskope oferują uzupełniające funkcje usługi Secure Access Service Edge (SASE), które w przypadku integracji zapewniają zwiększone zabezpieczenia i łączność dla różnych scenariuszy dostępu.

W tym przewodniku opisano sposób konfigurowania i wdrażania rozwiązań firmy Microsoft Entra wraz z ofertami usługi Security Service Edge (SSE) firmy Netskope. Korzystając z zalet obu platform, można zoptymalizować stan zabezpieczeń organizacji przy zachowaniu wysokiej wydajności łączności dla aplikacji prywatnych, ruchu platformy Microsoft 365 i dostępu do Internetu.

Konfiguracja 1: Microsoft Entra Private Access za pomocą programu Netskope Internet Access

W pierwszym scenariuszu globalny bezpieczny dostęp obsługuje ruch aplikacji prywatnych. Narzędzie Netskope przechwytuje tylko ruch internetowy.

Konfiguracja 2: Microsoft Entra Private Access z Netskope Private Access i Netskope Internet Access

W drugim scenariuszu obaj klienci obsługują ruch dla oddzielnych aplikacji prywatnych. Globalny bezpieczny dostęp obsługuje aplikacje prywatne w usłudze Microsoft Entra Private Access. Dostęp do prywatnych aplikacji w programie Netskope Private Access jest uzyskiwany za pośrednictwem klienta Netskope. Netskope obsługuje ruch internetowy.

Konfiguracja 3: Microsoft Entra Microsoft Access z Netskope Private Access i Netskope Internet Access

W trzecim scenariuszu globalny bezpieczny dostęp obsługuje cały ruch platformy Microsoft 365. Platforma Netskope obsługuje prywatną aplikację i ruch internetowy.

Konfiguracja 4: Microsoft Entra Internet Access i Microsoft Entra Microsoft Access z dostępem prywatnym Netskope

W czwartym scenariuszu Global Secure Access obsługuje ruch internetowy oraz ruch Microsoft 365. Narzędzie Netskope przechwytuje tylko ruch aplikacji prywatnych.

Wymagania wstępne

Aby skonfigurować rozwiązania Microsoft i Netskope dla ujednoliconego rozwiązania SASE, zacznij od skonfigurowania programu Microsoft Entra Internet Access i microsoft Entra Private Access. Następnie skonfiguruj usługę Netskope Private Access i Internet Access. Na koniec należy ustanowić wymaganą w pełni kwalifikowaną nazwę domeny (FQDN) oraz obejścia IP, aby zapewnić płynną integrację między dwiema platformami.

  1. Skonfiguruj program Microsoft Entra Internet Access i dostęp prywatny firmy Microsoft Entra. Te produkty składają się na globalne rozwiązanie bezpiecznego dostępu.
  2. Konfigurowanie Dostępu Prywatnego Netskope i Dostępu do Internetu
  3. Konfiguracja wyjątków FQDN i adresów IP dla Globalnego Bezpiecznego Dostępu

Globalny bezpieczny dostęp firmy Microsoft

Aby skonfigurować globalny bezpieczny dostęp i przetestować wszystkie scenariusze w tej dokumentacji:

  1. Włącz i wyłącz różne profile przekazywania ruchu globalnego bezpiecznego dostępu firmy Microsoft dla dzierżawy Microsoft Entra. Aby uzyskać więcej informacji na temat włączania i wyłączania profilów, zobacz Globalne profile przekazywania ruchu w ramach Global Secure Access.
  2. Zainstaluj i skonfiguruj łącznik sieci prywatnej firmy Microsoft Entra. Aby dowiedzieć się, jak zainstalować i skonfigurować łącznik, zobacz Jak skonfigurować łączniki.

    Uwaga / Notatka

    Łączniki sieci prywatnej są wymagane dla aplikacji microsoft Entra Private Access.

  3. Skonfiguruj szybki dostęp do zasobów prywatnych oraz skonfiguruj prywatny system nazw domen (DNS) i sufiksy DNS. Aby dowiedzieć się, jak skonfigurować szybki dostęp, zobacz Jak skonfigurować szybki dostęp.
  4. Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu na urządzeniach użytkowników końcowych. Aby uzyskać więcej informacji na temat klientów, zobacz klienci Global Secure Access. Aby dowiedzieć się, jak zainstalować klienta systemu Windows, zobacz Globalny klient bezpiecznego dostępu dla systemu Windows. W przypadku systemu macOS zobacz Globalny klient bezpiecznego dostępu dla systemu macOS.

Dostęp prywatny Netskope i dostęp do Internetu

  1. Konfigurowanie aplikacji prywatnych Netskope. Aby dowiedzieć się więcej na temat konfigurowania dostępu prywatnego Netskope, zobacz dokumentację netskope One Private Access .
  2. Skonfiguruj konfiguracje sterowania Netskope dla dostępu prywatnego i internetowego. Aby dowiedzieć się więcej na temat konfigurowania platformy Netskope, zobacz dokumentację netskope Traffic Steering. Zostaną wyświetlone kroki tworzenia wymaganych konfiguracji układu kierowniczego dla każdego scenariusza.
  3. Ustaw i skonfiguruj zasady ochrony w czasie rzeczywistym Netskope, aby zezwolić na dostęp do aplikacji prywatnych. Aby uzyskać więcej informacji, zobacz Netskope Real-time Protection Policy for Private Apps (Zasady ochrony w czasie rzeczywistym dla usługi Private Apps).
  4. Zaproś użytkowników do netskope i wyślij im wiadomość e-mail zawierającą linki do pakietu instalacyjnego klienta Netskope. Aby zaprosić użytkowników, przejdź do portalu Netskope>Ustawienia>BezpieczeństwoChmuraPlatforma>Użytkownicy.

Profile lokalizacji Netskope

Utwórz profile lokalizacji sieciowej w celu obejścia adresów IP (IP) usługi Microsoft SSE i docelowych adresów IP platformy Microsoft 365.

Skonfiguruj zasady Microsoft SSE Service:

  1. Przejdź do Zasady>Profile>Lokalizacja sieciowa>Nowa lokalizacja sieciowa>Pojedynczy element.
  2. Dodaj trasy i zapisz je jako MSFT SSE Service:
    150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16.

Skonfiguruj zasady MSFT SSE M365

  • Powtórz kroki 1 i 2, aby dodać adresy IP platformy Microsoft 365 i zapisać je jako MSFT SSE M365:
    132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19.

Profile MSFT SSE Service i MSFT SSE M365 są używane w konfiguracjach sterujących.

Konfiguracja 1: Microsoft Entra Private Access za pomocą programu Netskope Internet Access

W tym scenariuszu globalny bezpieczny dostęp obsługuje ruch aplikacji prywatnych. Narzędzie Netskope przechwytuje tylko ruch internetowy.

konfiguracja prywatnego dostępu Microsoft Entra

W tym scenariuszu:

  1. Włącz profil przekazywania dostępu prywatnego firmy Microsoft Entra.
  2. Zainstaluj łącznik sieci prywatnej dla usługi Microsoft Entra Private Access.
  3. Konfigurowanie szybkiego dostępu i konfigurowanie prywatnego systemu DNS.
  4. Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.

Konfiguracja programu Netskope Internet Access

Konfiguracja portalu Netskope

  1. Skonfiguruj Konfigurację Sterowania Netskope w celu kierowania ruchem internetowym.
  2. Zainstaluj klienta Netskope dla systemu Windows lub macOS.

Dodawanie konfiguracji układu kierowniczego dla dostępu do Internetu

  1. Przejdź do Portalu Netskope>Ustawień>Platforma Chmurowa Zabezpieczeń>Konfiguracja Sterowania>Nowa Konfiguracja.
  2. Dodaj nazwę konfiguracji, taką jak MSFTSSEWebTraffic.
  3. Wybierz grupę użytkowników lub jednostki organizacyjne , do których chcesz zastosować konfigurację.
  4. W obszarze Chmura, Internet i zapora>Ruch sieci Web
  5. Pomiń ruch wyjątków w>Klient
  6. W obszarze Prywatne aplikacje>Brak.
  7. W obszarze Aplikacje bez obramowania SD-WAN Brak>.
  8. Ustaw pozycję Stan na Wyłączone , a następnie wybierz pozycję Zapisz.
  9. MSFTSSEWebTraffic Wybierz konfigurację >Wyjątki>Nowy wyjątek>Lokalizacje docelowe.
  10. Wybierz MSFT SSE Service (Instrukcje dotyczące tworzenia tego obiektu są wymienione w sekcji Profile Netskope).
  11. Akcja to Obejście> zaznacz pole wyboru Traktuj jak lokalny adres IP>Dodaj.
  12. Wybierz Nowe domeny wyjątków> i dodaj wyjątek domeny globalnego bezpiecznego dostępu: *.globalsecureaccess.microsoft.com >Zapisz
  13. Upewnij się, że MSFTSSEWebTraffic konfiguracja znajduje się na początku listy konfiguracji sterujących w twojej dzierżawie. Następnie włącz konfigurację.
  14. Przejdź do zasobnika systemu, aby sprawdzić, czy są włączone klienci Global Secure Access i Netskope.

Weryfikowanie konfiguracji dla klientów

  1. Kliknij prawym przyciskiem myszy na Global Secure Access Client>Advanced Diagnostics>Forwarding Profile i sprawdź, czy do tego klienta zastosowano reguły dostępu prywatnego i prywatnego DNS.
  2. Przejdź do Zaawansowanej Diagnostyki>Sprawdzania Kondycji i upewnij się, że wszystkie kontrole przechodzą pomyślnie.
  3. Kliknij prawym przyciskiem myszy pozycję NetskopeClient Configuration (Konfiguracja klienta> Netskope). Sprawdź, czy konfiguracja układu kierowniczego jest zgodna z nazwą konfiguracji. W przeciwnym razie wybierz link Aktualizuj .

    Uwaga / Notatka

    Aby rozwiązać problemy z błędami kontroli kondycji, zapoznaj się z sekcją Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu.

Testowanie przepływu ruchu

  1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
  2. Uzyskaj dostęp do tych witryn internetowych z przeglądarek: bing.com, salesforce.com, Instagram.com.
  3. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu i wybierzkartęRuch zaawansowany diagnostyki>.
  4. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z tych witryn internetowych.
  5. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Zweryfikuj, czy w globalnych dziennikach ruchu dla bezpiecznego dostępu brakuje ruchu związanego z tymi witrynami.
  6. Zaloguj się do portalu Netskope i przejdź do Skope IT>Zdarzenia i alerty>Strona zdarzeń. Zweryfikuj, czy ruch związany z tymi witrynami znajduje się w dziennikach Netskope.
  7. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Microsoft Entra Private Access. Na przykład dostęp do zasobu plików za pośrednictwem bloku komunikatów serwera (SMB).
  8. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Sprawdź, czy ruch związany z udostępnianiem plików jest przechwytywany w dziennikach ruchu Global Secure Access.
  9. Zaloguj się do portalu Netskope i przejdź do Skope ITEvents & Alerts>Network Events. Sprawdź, czy ruch związany z aplikacją prywatną nie jest obecny w dziennikach ruchu.
  10. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Przepływ wybierz pozycję Zatrzymaj gromadzenie.
  11. Przewiń, aby potwierdzić, że klient Global Secure Access obsługiwał ruch tylko aplikacji prywatnych.

Konfiguracja 2: Microsoft Entra Private Access z Netskope Private Access i Netskope Internet Access

W tym scenariuszu obaj klienci obsługują ruch dla oddzielnych aplikacji prywatnych. Klient globalnego bezpiecznego dostępu obsługuje aplikacje prywatne w usłudze Microsoft Entra Private Access, a klient Netskope obsługuje aplikacje prywatne w usłudze Netskope Private Access. Netskope obsługuje ruch internetowy.

Uwaga / Notatka

Znane ograniczenie — gdy klient globalnego bezpiecznego dostępu systemu macOS jest połączony przed klientem Netskope, globalne funkcje bezpiecznego dostępu są zakłócane.

konfiguracja prywatnego dostępu Microsoft Entra

W tym scenariuszu:

  1. Włącz profil przekazywania dostępu prywatnego firmy Microsoft Entra.
  2. Zainstaluj łącznik sieci prywatnej dla usługi Microsoft Entra Private Access.
  3. Konfigurowanie szybkiego dostępu i konfigurowanie prywatnego systemu DNS.
  4. Zainstaluj i skonfiguruj globalnego klienta bezpiecznego dostępu dla systemu Windows.

Konfiguracja programu Netskope Private Access i Netskope Internet Access

W portalu Netskope:

  1. Skonfiguruj i ustaw Konfigurację Sterowania Netskope, aby kontrolować ruch sieciowy i aplikacje prywatne.
  2. Zainstaluj klienta Netskope dla systemu Windows.
  3. Utwórz zasady ochrony w czasie rzeczywistym , aby zezwolić na dostęp do aplikacji prywatnych.
  4. Zainstaluj program Netskope Private Access Publisher.

Dodawanie konfiguracji układu kierowniczego dla dostępu do Internetu i aplikacji prywatnych

  1. Przejdź do portalu Netskope>Ustawienia>Security Cloud Platform>Konfiguracja kierunkowania>Nowa konfiguracja.
  2. Dodaj nazwę konfiguracji , taką jak MSFTSSEWebAndPrivate.
  3. Wybierz grupę użytkowników lub jednostki organizacyjne , do których chcesz zastosować konfigurację.
  4. W obszarze Chmura, Sieć i Zapora>Ruch sieci Web
  5. Pomiń ruch wyjątków w>Klient
  6. W obszarze Aplikacje prywatne wybierz pozycję Określone aplikacje prywatne.
  7. W następnym wierszu >Netskope będzie>kierować
  8. W obszarze Aplikacje bez obramowania SD-WAN Brak>.
  9. Ustaw pozycję Stan na Wyłączone , a następnie wybierz pozycję Zapisz.
  10. MSFTSSEWebAndPrivate Wybierz > konfigurację Wyjątki>Nowy wyjątek>Lokalizacje docelowe.
  11. Wybierz MSFT SSE Service (Instrukcje dotyczące tworzenia tego obiektu są wymienione w sekcji Profile Netskope).
  12. Akcja to Obejście> zaznacz pole wyboru Traktuj go jak lokalny adres> IP Dodaj.
  13. Wybierz pozycję Nowedomeny wyjątków> i dodaj wyjątek domeny globalnego bezpiecznego dostępu: *.globalsecureaccess.microsoft.com >Zapisz.
  14. Wybierz Dodaj element kierowany.
  15. Wybierz prywatną aplikację i wybierz aplikacje prywatne, aby platforma Netskope mogła je kierować, następnie >Dodaj.
  16. Upewnij się, że MSFTSSEWebAndPrivate konfiguracja znajduje się na początku listy konfiguracji sterujących w twojej dzierżawie. Następnie włącz konfigurację.

Dodaj zasady ochrony w czasie rzeczywistym aplikacji prywatnej Netskope

  1. Przejdź do portalu Netskope>Zasady>Ochrona w czasie rzeczywistym.
  2. Wybierz NowąPolitykę>PrywatnyDostęp do aplikacji.
  3. W Źródle wybierz Użytkowników, Grupy lub Jednostki Organizacyjne, aby udzielić dostępu.
  4. Dodaj wszystkie wymagane kryteria, takie jak system operacyjny lub klasyfikacja urządzeń.
  5. W obszarze Docelowym>Prywatnaaplikacja> wybierz element Aplikacje prywatne, aby umożliwić dostęp.
  6. W Profil & AkcjaZezwalaj.
  7. Nadaj zasadom nazwę, taką jak Private Apps i umieść ją w grupie Domyślne .
  8. Ustaw Stan na Włączony.
  9. Przejdź do zasobnika systemu, aby sprawdzić, czy są włączone klienci Global Secure Access i Netskope.

Weryfikowanie konfiguracji dla klientów

  1. Kliknij prawym przyciskiem myszy na Global Secure Access Client>Advanced Diagnostics>Forwarding Profile i sprawdź, czy do tego klienta zastosowano reguły dostępu prywatnego i prywatnego DNS.
  2. Przejdź do Zaawansowanej Diagnostyki>Sprawdzania Kondycji i upewnij się, że wszystkie kontrole przechodzą pomyślnie.
  3. Kliknij prawym przyciskiem myszy pozycję NetskopeClient Configuration (Konfiguracja klienta> Netskope). Sprawdź, czy konfiguracja układu kierowniczego jest zgodna z nazwą utworzonej konfiguracji. W przeciwnym razie wybierz link Aktualizuj .

    Uwaga / Notatka

    Aby rozwiązać problemy z błędami kontroli kondycji, zapoznaj się z sekcją Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu.

Testowanie przepływu ruchu

  1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
  2. Uzyskaj dostęp do tych witryn internetowych z przeglądarek: bing.com, salesforce.com, yelp.com.
  3. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Global Secure Access Client i wybierz Zaawansowane Diagnostyka>Ruch.
  4. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z tych witryn internetowych.
  5. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitora>ruchudzienników. Zweryfikuj, czy w globalnych dziennikach ruchu dla bezpiecznego dostępu brakuje ruchu związanego z tymi witrynami.
  6. Zaloguj się do portalu Netskope i przejdź do Skope IT>Zdarzenia i alerty>Strona zdarzeń. Zweryfikuj, czy ruch związany z tymi witrynami znajduje się w dziennikach Netskope.
  7. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Microsoft Entra Private Access. Na przykład dostęp do udostępnionego zasobu za pośrednictwem protokołu SMB.
  8. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Netskope Private Access. Na przykład otwórz sesję protokołu RDP na serwerze prywatnym.
  9. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu.
  10. Sprawdź, czy ruch związany z prywatną aplikacją udziału plików SMB jest przechwytywany i że ruch związany z sesją protokołu RDP nie jest przechwytywany w dziennikach ruchu globalnego bezpiecznego dostępu.
  11. Zaloguj się do portalu Netskope i przejdź do Skope ITEvents & Alerts>Network Events. Sprawdź, czy ruch związany z sesją protokołu RDPjest obecny i że ruch związany z udziałem plików SMBnie znajduje się w dziennikach Netskope.
  12. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Przepływ wybierz pozycję Zatrzymaj gromadzenie.
  13. Przewiń, aby potwierdzić, że klient Global Secure Access obsługiwał ruch aplikacji prywatnej dla udziału plików SMB i nie obsługiwał ruchu sesji RDP.

Konfiguracja 3: Microsoft Entra Microsoft Access z dostępem prywatnym Netskope i Netskope Internet Access

W tym scenariuszu globalny bezpieczny dostęp obsługuje cały ruch platformy Microsoft 365. Usługa Netskope Private Access obsługuje ruch aplikacji prywatnych, a usługa Netskope Internet Access obsługuje ruch internetowy.

Uwaga / Notatka

Znane ograniczenie — gdy klient globalnego bezpiecznego dostępu systemu macOS jest połączony przed klientem Netskope, globalne funkcje bezpiecznego dostępu są zakłócane.

Konfiguracja programu Microsoft Entra Microsoft Access

W tym scenariuszu:

  1. Włącz profil przekazywania usługi Microsoft Entra Microsoft Access.
  2. Zainstaluj i skonfiguruj globalnego klienta bezpiecznego dostępu dla systemu Windows.

Konfiguracja programu Netskope Private Access i Netskope Internet Access

W portalu Netskope:

  1. Skonfiguruj i ustaw Konfigurację Sterowania Netskope, aby kontrolować ruch sieciowy i aplikacje prywatne.
  2. Zainstaluj klienta Netskope dla systemu Windows.
  3. Utwórz zasady ochrony w czasie rzeczywistym , aby zezwolić na dostęp do aplikacji prywatnych.
  4. Zainstaluj program Netskope Private Access Publisher.

Dodawanie konfiguracji układu kierowniczego dla dostępu do Internetu i aplikacji prywatnych

  1. Przejdź do portalu Netskope>Ustawienia>Security Cloud Platform>Konfiguracja kierunkowania>Nowa konfiguracja.
  2. Dodaj nazwę konfiguracji , taką jak MSFTSSEWebAndPrivate-NoM365.
  3. Wybierz grupę użytkowników lub jednostki organizacyjne , do których chcesz zastosować konfigurację.
  4. W obszarze Chmura, ruch sieci Web i zapora sieciowa>Ruch sieci Web.
  5. Omiń ruch wyjątkowy na>Klient.
  6. W obszarze Aplikacje prywatne wybierz pozycję Określone aplikacje prywatne.
  7. W następnym wierszu >Netskope będzie>kierować.
  8. W obszarze Aplikacje bez obramowania SD-WAN Brak>.
  9. Ustaw pozycję Stan na Wyłączone , a następnie wybierz pozycję Zapisz.
  10. Wybierz konfigurację MSFTSSEWebAndPrivate-NoM365>Wyjątki>Nowy wyjątek>Lokalizacje docelowe> Wybierz MSFT SSE Service i MSFT SSE M365 (Instrukcje dotyczące tworzenia tego obiektu są wymienione w sekcji Profile Netskope).
  11. Wybierz opcje Pomiń i Traktuj jak lokalny adres IP.
  12. Wybierz Wyjątki>Nowy wyjątek>Domeny i dodaj następujące wyjątki: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
  13. Wybierz Dodaj kierowany element> Wybierz aplikacje prywatne i wybierz prywatne aplikacje dla Netskope, aby przekierować >Dodaj.
  14. Upewnij się, że MSFTSSEWebAndPrivate-NoM365 konfiguracja znajduje się na początku listy konfiguracji sterujących w twojej dzierżawie. Następnie włącz konfigurację.

Dodaj zasady ochrony w czasie rzeczywistym aplikacji prywatnej Netskope

  1. Przejdź do portalu Netskope>Zasady>Ochrona w czasie rzeczywistym.
  2. Wybierz NowąPolitykę>PrywatnyDostęp do aplikacji.
  3. W Źródło wybierz Użytkownicy, grupy lub jednostki organizacyjne, aby udzielić dostępu.
  4. Dodaj wszystkie wymagane kryteria, takie jak system operacyjny lub klasyfikacja urządzeń.
  5. W Destination>Prywatnaaplikacja> wybierz pozycję Aplikacje prywatne, aby zezwolić na dostęp.
  6. W Profil i akcja>Zezwalaj.
  7. Nadaj zasadom nazwę, taką jak Private Apps i umieść ją w grupie Domyślne .
  8. Ustaw Status na Włączone.
  9. Przejdź do zasobnika systemu, aby sprawdzić, czy są włączone klienci Global Secure Access i Netskope.

Weryfikowanie konfiguracji dla klientów

  1. Kliknij prawym przyciskiem myszy na Globalnego klienta bezpiecznego dostępu>Zaawansowaną diagnostykę>Profil przekazywania i zweryfikuj, czy do tego klienta są stosowane tylko reguły platformy Microsoft 365.
  2. Przejdź do Zaawansowanej Diagnostyki>Sprawdzania Kondycji i upewnij się, że wszystkie kontrole przechodzą pomyślnie.
  3. Kliknij prawym przyciskiem myszy pozycję NetskopeClient Configuration (Konfiguracja klienta> Netskope). Sprawdź, czy konfiguracja układu kierowniczego jest zgodna z nazwą utworzonej konfiguracji. W przeciwnym razie wybierz link Aktualizuj .

    Uwaga / Notatka

    Aby rozwiązać problemy z awariami sprawdzeń kondycji zdrowotnej, zobacz Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu.

Testowanie przepływu ruchu

  1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
  2. Uzyskaj dostęp do tych witryn internetowych z przeglądarek: bing.com, salesforce.com, yelp.com.
  3. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Global Secure Access Client i wybierz Zaawansowane Diagnostyka>Ruch.
  4. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z tych witryn internetowych.
  5. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Zweryfikuj, czy w globalnych dziennikach ruchu dla bezpiecznego dostępu brakuje ruchu związanego z tymi witrynami.
  6. Zaloguj się do portalu Netskope i przejdź do Skope IT>Zdarzenia i alerty>Strona zdarzeń.
  7. Zweryfikuj, czy ruch związany z tymi witrynami znajduje się w dziennikach Netskope.
  8. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Netskope Private Access. Na przykład otwórz sesję protokołu RDP na serwerze prywatnym.
  9. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu.
  10. Sprawdź, czy ruch związany z sesją protokołu RDP nie znajduje się w dziennikach ruchu globalnego bezpiecznego dostępu.
  11. Zaloguj się do portalu Netskope i przejdź do Skope IT>Zdarzenia i alerty>Zdarzenia sieciowe. Sprawdź, czy jest obecny ruch związany z sesją RDP.
  12. Dostęp do usługi Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
  13. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Przepływ wybierz pozycję Zatrzymaj gromadzenie.
  14. Przewiń, aby sprawdzić, czy klient globalnego bezpiecznego dostępu obsługiwał tylko ruch Microsoft 365.
  15. Możesz również zweryfikować, czy ruch jest przechwytywany w dziennikach ruchu Global Secure Access. W centrum administracyjnym Microsoft Entra przejdź do Globalny Bezpieczny Dostęp>Monitor>Dzienniki ruchu.
  16. Sprawdź, czy ruch związany z usługą Outlook Online i SharePoint Online jest nieobecny w portalu Netskope na stronie Skope IT>zdarzeń i alertów>zdarzeń strony.

Konfiguracja 4: Microsoft Entra Internet Access i Microsoft Entra Microsoft Access z dostępem prywatnym Netskope

W tym scenariuszu netskope przechwytuje tylko ruch aplikacji prywatnych. Globalny bezpieczny dostęp obsługuje cały inny ruch.

Konfiguracja programu Microsoft Entra Internet Access i Microsoft Access

W tym scenariuszu:

  1. Włącz profile przekazywania dalej Microsoft Entra Microsoft Access i Microsoft Entra Internet Access.
  2. Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.
  3. Dodaj niestandaryzowane obejście do profilu przekazywania ruchu w usłudze Microsoft Entra Internet Access, aby wykluczyć FQDN i adresy IP usługi Netskope.

Dodaj niestandardowe obejście dla platformy Netskope w Global Secure Access

  1. Zaloguj się do centrum administracji Microsoft Entra i przejdź do Global Secure Access>Connect>Przekazywanie ruchu>profil dostępu do Internetu.
  2. W obszarze Zasady dostępu do Internetu> wybierz Widok.
  3. Rozwiń niestandardowe obejście>, wybierz Dodaj regułę
  4. Pozostaw typ miejsca docelowego FQDN i w polu Miejsce docelowe wprowadź *.goskope.com>Save
  5. Wybierz ponownie Dodaj regułę>Zakres adresów IP>Dodaj zakresy adresów IP (każdy zakres jest nową regułą): 163.116.128.0..163.116.255.255, 162.10.0.0..162.10.127.255, 31.186.239.0..31.186.239.255, 8.39.144.0..8.39.144.255, 8.36.116.0..8.36.116.255
  6. Wybierz Zapisz.

Konfiguracja dostępu prywatnego Netskope

W portalu Netskope:

  1. Skonfiguruj i ustaw Konfigurację Sterowania Netskope, aby kontrolować ruch sieciowy i aplikacje prywatne.
  2. Zainstaluj klienta Netskope dla systemu Windows lub macOS.
  3. Utwórz zasady ochrony w czasie rzeczywistym , aby zezwolić na dostęp do aplikacji prywatnych.
  4. Zainstaluj program Netskope Private Access Publisher.

Dodawanie konfiguracji układu kierowniczego dla dostępu do Internetu i aplikacji prywatnych

  1. Przejdź do portalu Netskope>Ustawienia>Security Cloud Platform>Konfiguracja kierunkowania>Nowa konfiguracja.
  2. Dodaj nazwę konfiguracji , taką jak MSFTSSEPrivate.
  3. Wybierz grupę użytkowników lub jednostki organizacyjne , do których chcesz zastosować konfigurację.
  4. W obszarze Chmura, ruch sieci Web i zapora sieciowa>Ruch sieci Web.
  5. Omiń ruch wyjątkowy na>Klient.
  6. W obszarze Aplikacje prywatne wybierz pozycję Określone aplikacje prywatne.
  7. W następnym wierszu >Netskope będzie>kierować.
  8. W obszarze Aplikacje bez obramowania SD-WAN Brak>.
  9. Ustaw pozycję Stan na Wyłączone , a następnie wybierz pozycję Zapisz.
  10. Wybierz konfigurację MSFTSSEPrivate>Wyjątki>Nowy wyjątek>Lokalizacje docelowe> Wybierz MSFT SSE Service i MSFT SSE M365 (Instrukcje dotyczące tworzenia tego obiektu są wymienione w sekcji Profile Netskope).
  11. Wybierz opcje Pomiń i Traktuj jak lokalny adres IP.
  12. Wybierz Wyjątki>Nowy wyjątek>Domeny i dodaj następujące wyjątki: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
  13. Wybierz Dodaj kierowany element> Wybierz aplikacje prywatne i wybierz prywatne aplikacje dla Netskope, aby przekierować >Dodaj.
  14. Upewnij się, że MSFTSSEPrivate konfiguracja znajduje się na początku listy konfiguracji sterujących w twojej dzierżawie. Następnie włącz konfigurację.

Dodaj zasady ochrony w czasie rzeczywistym aplikacji prywatnej Netskope

  1. Przejdź do portalu Netskope>Zasady>Ochrona w czasie rzeczywistym.
  2. Wybierz NowąPolitykę>PrywatnyDostęp do aplikacji.
  3. W Źródle wybierz Użytkowników, Grupy lub Jednostki Organizacyjne, aby udzielić dostępu.
  4. Dodaj wszystkie wymagane kryteria, takie jak system operacyjny lub klasyfikacja urządzeń.
  5. W obszarze Docelowym>Prywatnaaplikacja> wybierz element Aplikacje prywatne, aby umożliwić dostęp.
  6. W Profil & AkcjaZezwalaj.
  7. Nadaj zasadom nazwę, taką jak Private Apps i umieść ją w grupie Domyślne .
  8. Ustaw Stan na Włączony.
  9. Przejdź do zasobnika systemu, aby sprawdzić, czy są włączone klienci Global Secure Access i Netskope.

Weryfikowanie konfiguracji dla klientów

  1. Kliknij prawym przyciskiem myszy na klienta globalnego bezpiecznego dostępu>zaawansowaną diagnostykę>profil przekazywania i sprawdź, czy do tego klienta zastosowano reguły Microsoft Access i dostępu do Internetu.
  2. Przejdź do Zaawansowanej Diagnostyki>Sprawdzania Kondycji i upewnij się, że wszystkie kontrole przechodzą pomyślnie.
  3. Kliknij prawym przyciskiem myszy pozycję NetskopeClient Configuration (Konfiguracja klienta> Netskope). Sprawdź, czy konfiguracja układu kierowniczego jest zgodna z nazwą utworzonej konfiguracji. W przeciwnym razie wybierz link Aktualizuj .

    Uwaga / Notatka

    Aby rozwiązać problemy z błędami kontroli kondycji, zapoznaj się z sekcją Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu.

Testowanie przepływu ruchu

  1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
  2. Uzyskaj dostęp do tych witryn internetowych z przeglądarek: bing.com, , salesforce.comInstagram.comOutlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
  3. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Sprawdź, czy ruch związany z tymi witrynami jest przechwytywany w dziennikach ruchu Globalnego Bezpiecznego Dostępu.
  4. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Netskope Private Apps. Na przykład przy użyciu pulpitu zdalnego (RDP).
  5. Zaloguj się do portalu Netskope i przejdź do Skope ITEvents & Alerts>Network Events. Sprawdź, czy ruch związany z sesją RDP jest obecny, oraz upewnij się, że brakuje ruchu związanego z platformą Microsoft 365 i ruchem internetowym, takim jak Instagram.com, Outlook Online i SharePoint Online, w portalu Netskope.
  6. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym ruch w sieci wybierz Zatrzymaj zbieranie.
  7. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z aplikacji prywatnej. Zwróć uwagę, że klient Global Secure Access przechwytuje ruch dla usług Microsoft 365 oraz inne typy ruchu internetowego.