Coexistência do SSE (Security Service Edge) com Microsoft e Netskope

No cenário digital em rápida evolução de hoje, as organizações exigem soluções robustas e unificadas para garantir a conectividade segura e perfeita. A Microsoft e a Netskope oferecem funcionalidades complementares do SASE (Secure Access Service Edge) que, quando integradas, fornecem segurança e conectividade aprimoradas para diversos cenários de acesso.

Este guia descreve como configurar e implantar soluções do Microsoft Entra junto com as ofertas do SSE (Security Service Edge) da Netskope. Usando os pontos fortes de ambas as plataformas, você pode otimizar a postura de segurança da sua organização, mantendo a conectividade de alto desempenho para aplicativos privados, tráfego do Microsoft 365 e acesso à Internet.

1. Microsoft Entra Private Access com o Netskope Internet Access

No primeiro cenário, o Acesso Seguro Global manipula o tráfego de aplicativos privados. Netskope captura apenas o tráfego da Internet.

2. Microsoft Entra Private Access com Netskope Private Access e Netskope Internet Access

No segundo cenário, ambos os clientes lidam com o tráfego para aplicativos privados separados. O Acesso Seguro Global manipula aplicativos privados no Microsoft Entra Private Access. Os aplicativos privados no Netskope Private Access são acessados por meio do cliente Netskope. Netskope lida com o tráfego da Internet.

3. Microsoft Entra Microsoft Access com Netskope Private Access e Netskope Internet Access

No terceiro cenário, o Acesso Seguro Global manipula todo o tráfego do Microsoft 365. O Netskope manipula o aplicativo privado e o tráfego da Internet.

4. Microsoft Entra Internet Access e Microsoft Entra Microsoft Access com o Netskope Private Access

No quarto cenário, o Acesso Seguro Global manipula o tráfego da Internet e do Microsoft 365. O Netskope captura apenas o tráfego de aplicativo privado.

Pré-requisitos

Para configurar o Microsoft e o Netskope para uma solução SASE unificada, comece configurando o Microsoft Entra Internet Access e o Microsoft Entra Private Access. Em seguida, configure o Netskope Private Access e o Internet Access. Por fim, certifique-se de estabelecer os bypasses FQDN (Nome de Domínio Totalmente Qualificado) e IP necessários para garantir uma integração tranquila entre as duas plataformas.

1. Configure o Microsoft Entra Internet Access e o Microsoft Entra Private Access. Esses produtos compõem a solução de Acesso Seguro Global.
2. Configurar o Netskope Private Access e o Internet Access
3. Configurar o FQDN de Acesso Seguro Global e os bypasses de IP

Acesso Seguro Global da Microsoft

Para configurar o Acesso Seguro Global e testar todos os cenários nesta documentação:

1. Habilite e desabilite diferentes perfis de encaminhamento de tráfego do Microsoft Global Secure Access para seu locatário do Microsoft Entra. Para obter mais informações sobre como habilitar e desabilitar perfis, consulte Perfis de encaminhamento de tráfego do Acesso Global Seguro.
2. Instalar e configurar o conector de rede privada do Microsoft Entra. Para obter informações sobre como instalar e configurar o conector, consulte Como configurar conectores.

   Observação

   Conectores de rede privada são necessários para aplicativos do Microsoft Entra Private Access.

3. Configure o Acesso Rápido para seus recursos privados e configure o Sistema de Nomes de Domínio Privado (DNS) e sufixos DNS. Para obter informações sobre como configurar o Acesso Rápido, consulte Como configurar o Acesso Rápido.
4. Instale e configure o cliente do Acesso Global Seguro em dispositivos de usuário final. Para obter mais informações, consulte Clientes de Acesso Global Seguro. Para obter informações sobre como instalar o cliente Windows, consulte o cliente de Acesso Seguro Global para Windows. Para macOS, consulte Global Secure Access Client para macOS.

Netskope Private Access e Internet Access

1. Configurar aplicativos privados do Netskope. Para obter mais informações sobre como configurar o Netskope Private Access, consulte a documentação do Netskope One Private Access .
2. Configure as configurações de direção do Netskope para acesso privado e à Internet. Para obter mais informações sobre como configurar o Netskope, consulte a documentação do Netskope Traffic Steering. As etapas para criar as configurações de direção necessárias para cada cenário são listadas.
3. Configure as Políticas de Proteção em Tempo Real do Netskope para permitir acesso a Aplicativos Privados. Para obter mais informações, consulte Netskope Real-time Protection Policy for Private Apps.
4. Convide os usuários para o Netskope e envie-lhes um email contendo links para o pacote de instalação do cliente Netskope. Para convidar usuários, navegue até o portal Netskope>Configurações>SegurançaNuvemPlataforma>Usuários.

Perfis de localização de Netskope

Crie perfis de localização de rede para ignorar endereços IP do serviço SSE da Microsoft e IPs de destino do Microsoft 365.

Configurar a política Microsoft SSE Service:

1. Navegue até Políticas>Perfis>Local de Rede>Novo Local de Rede>Objeto Único.
2. Adicione as rotas e salve-as como MSFT SSE Service:
   150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, , 150.171.15.0/24, 150.171.18.0/24, , 151.206.0.0/16. 6.6.0.0/16

Configurar a política MSFT SSE M365:

• Repita as etapas 1 e 2 para adicionar IPs do Microsoft 365 e salve-os como MSFT SSE M365:
  132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19.

Os perfis MSFT SSE Service e MSFT SSE M365 são usados nas configurações de direção.

Microsoft Entra Private Access com o Netskope Internet Access

Nesse cenário, o Acesso Seguro Global manipula o tráfego de aplicativos privados. Netskope captura apenas o tráfego da Internet.

Configuração do Acesso Privado do Microsoft Entra

Para este cenário, faça o seguinte:

1. Habilite o perfil de encaminhamento do Microsoft Entra Private Access.
2. Instale um Conector de Rede Privada para o Microsoft Entra Private Access.
3. Configure o Acesso Rápido e configure o DNS Privado.
4. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Configuração do Netskope Internet Access

Configuração do portal do Netskope

1. Configure e ajuste a Configuração de Direcionamento do Netskope para direcionar o tráfego web.
2. Instale o cliente Netskope para Windows ou macOS.

Adicionar configuração de direção para acesso à Internet

1. Navegue até o portal Netskope>Configurações>Plataforma de Nuvem de Segurança>Configuração de Encaminhamento>Nova Configuração.
2. Adicionar um nome de configuração, como MSFTSSEWebTraffic.
3. Escolha um Grupo de Usuários ou UO ao qual aplicar a configuração.
4. Em Nuvem, Web e Firewall>Tráfego da Web
5. Ignorar o tráfego de exceção em>Cliente
6. Em Aplicativos Privados>Nenhum.
7. Em Aplicativos SD-WAN Sem Borda>Nenhum.
8. Defina Status como Desabilitado e selecione Salvar.
9. Selecione MSFTSSEWebTraffic a configuração >Exceções>Nova Exceção>Locais de Destino.
10. Selecione MSFT SSE Service (As instruções para criar este objeto estão listadas na seção perfis Netskope).
11. A ação é Ignorar> marque a caixa para tratá-la como endereço IP local>Adicionar.
12. Selecione Nova Exceção>Domínios e adicione a exceção de domínio do Global Secure Access: *.globalsecureaccess.microsoft.com >Salvar
13. Verifique se a configuração MSFTSSEWebTraffic está na parte superior da lista de configurações de direção em seu locatário. Em seguida, habilite a configuração.
14. Vá para a bandeja do sistema para verificar se o Acesso Seguro Global e os clientes Netskope estão habilitados.

Verificar configurações para clientes

1. Clique com o botão direito do mouse no Cliente de Acesso Seguro Global>Diagnóstico Avançado>Perfil de Encaminhamento e verifique se o acesso privado e as regras de DNS privado são aplicadas a este cliente.
2. Navegue até Diagnóstico Avançado>Verificação de Integridade e observe se não há falhas nas verificações.
3. Clique com o botão direito do mouse em Cliente Netskope>Configuração. Verifique se a Configuração de Direção corresponde ao nome da configuração. Caso contrário, selecione o link Atualizar .

   Observação

   Para solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas do cliente de Acesso Seguro Global.

Testar o fluxo de tráfego

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Começar a coletar.
2. Acesse esses sites nos navegadores: bing.com, salesforce.com, Instagram.com.
3. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado> guia Tráfego.
4. Role para observar que o cliente de Acesso Seguro Global não está capturando o tráfego desses sites.
5. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego. Valide se o tráfego relacionado a esses sites está ausente dos logs de tráfego do Acesso Global Seguro.
6. Entre no portal do Netskope e navegue até Skope IT>Eventos e Alertas>Eventos de Página. O tráfego de validação relacionado a esses sites está presente nos logs do Netskope.
7. Acesse seu aplicativo privado configurado no Microsoft Entra Private Access. Por exemplo, acesse um Compartilhamento de Arquivos por meio do SMB (Bloco de Mensagens do Servidor).
8. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego. Valide que o tráfego relacionado ao Compartilhamento de Arquivos é capturado nos logs de tráfego do Acesso Seguro Global.
9. Entre no portal do Netskope e navegue até Skope IT>Eventos e Alertas>Eventos de Rede. Valide se o tráfego relacionado ao aplicativo privado não está presente nos logs de tráfego.
10. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar de coletar.
11. Deslize para confirmar se o cliente do Acesso Seguro Global lidava apenas com o tráfego de aplicativos privados.

Microsoft Entra Private Access com Netskope Private Access e Netskope Internet Access

Nesse cenário, ambos os clientes lidam com o tráfego para aplicativos privados separados. O cliente acesso seguro global lida com aplicativos privados no Microsoft Entra Private Access e o cliente Netskope lida com aplicativos privados no Netskope Private Access. Netskope lida com o tráfego da Internet.

Configuração do Acesso Privado do Microsoft Entra

Para este cenário, faça o seguinte:

1. Habilite o perfil de encaminhamento do Microsoft Entra Private Access.
2. Instale um Conector de Rede Privada para o Microsoft Entra Private Access.
3. Configure o Acesso Rápido e configure o DNS Privado.
4. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Configuração do Netskope Private Access e do Netskope Internet Access

No portal do Netskope:

1. Configurar e ajustar a Configuração de Direção do Netskope para redirecionar o tráfego da Web e os aplicativos privados.
2. Instale o cliente Netskope para Windows ou macOS.
3. Crie uma política de Proteção em Tempo Real para permitir o acesso aos Aplicativos Privados.
4. Instale o Netskope Private Access Publisher.

Adicionar configuração de direção para acesso à Internet e aplicativos privados

1. Navegue até o portal Netskope>Configurações>Plataforma de Nuvem de Segurança>Configuração de Encaminhamento>Nova Configuração.
2. Adicionar um nome de configuração , como MSFTSSEWebAndPrivate.
3. Escolha um Grupo de Usuários ou UO ao qual aplicar a configuração.
4. Em Nuvem, Web e Firewall>Tráfego da Web
5. Ignorar o tráfego de exceção em>Cliente
6. Em Aplicativos Privados, selecione Aplicativos Privados Específicos.
7. Na próxima linha >, o Netskope>Conduzirá
8. Em Aplicativos SD-WAN Sem Borda>Nenhum.
9. Defina Status como Desabilitado e selecione Salvar.
10. Selecione MSFTSSEWebAndPrivate a configuração >Exceções>Nova Exceção>Locais de Destino.
11. Selecione MSFT SSE Service (As instruções para criar este objeto estão listadas na seção perfis Netskope).
12. A ação é Ignorar>, marque a caixa Trate-o como um endereço IP local> Adicionar.
13. Selecione Nova Exceção>Domínios e adicione a exceção de domínio Global Secure Access: *.globalsecureaccess.microsoft.com >Salvar.
14. Selecione Adicionar Item Direcionado.
15. Selecione Aplicativo Privado e, em seguida, os aplicativos privados para o Netskope para conduzir a >Adição.
16. Verifique se a configuração MSFTSSEWebAndPrivate está na parte superior da lista de configurações de direção em seu locatário. Em seguida, habilite a configuração.

Adicionar Política de Proteção em Tempo Real do Aplicativo Privado do Netskope

1. Navegue até o Portal Netskope>Políticas>Proteção em Tempo Real.
2. Selecione NovaPolítica>PrivadoAplicativoAcesso.
3. Na Origem, selecione os Usuários, Grupos ou UOs para conceder acesso.
4. Adicione todos os critérios necessários, como sistema operacional ou classificação de dispositivo.
5. No Aplicativo de>DestinoPrivado>, selecione Aplicativos Privados para permitir o acesso.
6. In Profile &Action>Allow.
7. Dê um nome à política, como Private Apps e coloque-a no grupo Padrão .
8. Defina o Status como Habilitado.
9. Vá para a bandeja do sistema para verificar se o Acesso Seguro Global e os clientes Netskope estão habilitados.

Verificar configurações para clientes

1. Clique com o botão direito do mouse no Cliente de Acesso Seguro Global>Diagnóstico Avançado>Perfil de Encaminhamento e verifique se o acesso privado e as regras de DNS privado são aplicadas a este cliente.
2. Navegue até Diagnóstico Avançado>Verificação de Integridade e observe se não há falhas nas verificações.
3. Clique com o botão direito do mouse em Cliente Netskope>Configuração. Verifique se a Configuração de Direção corresponde ao nome da configuração criada. Caso contrário, selecione o link Atualizar .

   Observação

   Para solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas do cliente de Acesso Seguro Global.

Testar o fluxo de tráfego

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Começar a coletar.
2. Acesse esses sites nos navegadores: bing.com, salesforce.com, yelp.com.
3. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado>guia Tráfego.
4. Role para observar que o cliente de Acesso Seguro Global não está capturando o tráfego desses sites.
5. Entre no centro de administração do Microsoft Entra e acesse Acesso Global Seguro>Monitoramento>Logs de tráfego. Valide se o tráfego relacionado a esses sites está ausente dos logs de tráfego do Acesso Global Seguro.
6. Entre no portal do Netskope e navegue até Skope IT>Eventos e Alertas>Eventos de Página. O tráfego de validação relacionado a esses sites está presente nos logs do Netskope.
7. Acesse seu aplicativo privado configurado no Microsoft Entra Private Access. Por exemplo, acesse um Compartilhamento de Arquivos via SMB.
8. Acesse seu aplicativo privado configurado no Netskope Private Access. Por exemplo, abra uma sessão RDP em um servidor privado.
9. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego.
10. Valide que o tráfego relacionado ao aplicativo privado de compartilhamento de arquivos SMB é capturado e que o tráfego relacionado à sessão RDP não é capturado nos logs de tráfego do Acesso Seguro Global.
11. Entre no portal do Netskope e navegue até Skope IT>Eventos e Alertas>Eventos de Rede. Verificar se o tráfego relacionado à sessão RDP está presente e que o tráfego relacionado ao compartilhamento de arquivos SMB não esteja presente nos logs do Netskope.
12. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar de coletar.
13. Role para confirmar que o cliente de Acesso Seguro Global gerenciou o tráfego de aplicativo privado para o compartilhamento de arquivos SMB, mas não gerenciou o tráfego da sessão RDP.

Microsoft Entra Microsoft Access com Netskope Private Access e Netskope Internet Access

Nesse cenário, o Acesso Seguro Global manipula todo o tráfego do Microsoft 365. O Netskope Private Access manipula o tráfego de aplicativos privados e o Netskope Internet Access lida com o tráfego da Internet.

Configuração do Microsoft Entra e do Microsoft Access

Para este cenário, faça o seguinte:

1. Habilite o perfil de encaminhamento do Microsoft Entra Microsoft Access.
2. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Configuração do Netskope Private Access e do Netskope Internet Access

No portal do Netskope:

1. Configurar e ajustar a Configuração de Direção do Netskope para redirecionar o tráfego da Web e os aplicativos privados.
2. Instale o cliente Netskope para Windows ou macOS.
3. Crie uma política de Proteção em Tempo Real para permitir o acesso aos Aplicativos Privados.
4. Instale o Netskope Private Access Publisher.

Adicionar configuração de direção para acesso à Internet e aplicativos privados

1. Navegue até o portal Netskope>Configurações>Plataforma de Nuvem de Segurança>Configuração de Encaminhamento>Nova Configuração.
2. Adicionar um nome de configuração , como MSFTSSEWebAndPrivate-NoM365.
3. Escolha um Grupo de Usuários ou UO ao qual aplicar a configuração.
4. Em Nuvem, Web e Firewall>Tráfego da Web.
5. Ignorar o tráfego de exceção em>Cliente.
6. Em Aplicativos Privados, selecione Aplicativos Privados Específicos.
7. Na próxima linha >, o Netskope>Conduzirá.
8. Em Aplicativos SD-WAN Sem Borda>Nenhum.
9. Defina Status como Desabilitado e selecione Salvar.
10. Selecione a MSFTSSEWebAndPrivate-NoM365 configuração >Exceções>Nova Exceção>Locais de Destino> Selecione MSFT SSE Service e MSFT SSE M365 (As instruções para criar esse objeto são listadas na seção perfis Netskope).
11. Selecione as opções Ignorar e Tratar como endereço IP local.
12. Selecione Exceções>Nova Exceção>Domínios e adicione estas exceções: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
13. Selecione Adicionar Item Conduzido> Selecionar Aplicativo Privado e selecione os aplicativos privados para o Netskope conduzir para >Adicionar.
14. Verifique se a configuração MSFTSSEWebAndPrivate-NoM365 está na parte superior da lista de configurações de direção em seu locatário. Em seguida, habilite a configuração.

Adicionar Política de Proteção em Tempo Real do Aplicativo Privado do Netskope

1. Navegue até o Portal Netskope>Políticas>Proteção em Tempo Real.
2. Selecione NovaPolítica>PrivadoAplicativoAcesso.
3. Na Origem, selecione os Usuários, Grupos ou UOs para conceder acesso.
4. Adicione todos os critérios necessários, como sistema operacional ou classificação de dispositivo.
5. No Aplicativo de>DestinoPrivado>, selecione Aplicativos Privados para permitir o acesso.
6. In Profile &Action>Allow.
7. Dê um nome à política, como Private Apps e coloque-a no grupo Padrão .
8. Defina o Status como Habilitado.
9. Vá para a bandeja do sistema para verificar se o Acesso Seguro Global e os clientes Netskope estão habilitados.

Verificar configurações para clientes

1. Clique com o botão direito do mouse em Cliente de Acesso Seguro Global>Diagnósticos Avançados>Perfil de Encaminhamento e verifique se somente as regras do Microsoft 365 são aplicadas a esse cliente.
2. Navegue até Diagnóstico Avançado>Verificação de Integridade e observe se não há falhas nas verificações.
3. Clique com o botão direito do mouse em Cliente Netskope>Configuração. Verifique se a Configuração de Direção corresponde ao nome da configuração criada. Caso contrário, selecione o link Atualizar .

   Observação

   Para solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas do cliente de Acesso Seguro Global.

Testar o fluxo de tráfego

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Começar a coletar.
2. Acesse esses sites nos navegadores: bing.com, salesforce.com, yelp.com.
3. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado>guia Tráfego.
4. Role para observar que o cliente de Acesso Seguro Global não está capturando o tráfego desses sites.
5. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego. Valide se o tráfego relacionado a esses sites está ausente dos logs de tráfego do Acesso Global Seguro.
6. Entre no portal do Netskope e navegue até Skope IT>Eventos e Alertas>Eventos de Página.
7. O tráfego de validação relacionado a esses sites está presente nos logs do Netskope.
8. Acesse seu aplicativo privado configurado no Netskope Private Access. Por exemplo, abra uma sessão RDP em um servidor privado.
9. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego.
10. Validar se o tráfego relacionado à sessão RDP não está nos logs de tráfego do Global Secure Access.
11. Entre no portal do Netskope e navegue até Skope IT>Eventos e Alertas>Eventos de Rede. Valide se o tráfego relacionado à sessão RDPestá presente.
12. Acesse o Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar de coletar.
14. Role para confirmar se o cliente do Acesso Seguro Global lidou somente com o tráfego do Microsoft 365.
15. Também é possível validar se o tráfego é capturado nos logs de tráfego de Acesso Global Seguro. No centro de administração do Microsoft Entra, navegue até Acesso Global Seguro>Monitorar>Logs de tráfego.
16. O tráfego relacionado à validação do Outlook Online e do SharePoint Online está ausente no portal do Netskope em Skope IT>Eventos & Alertas>Eventos de Página.

Microsoft Entra Internet Access e Microsoft Entra Microsoft Access com o Netskope Private Access

Nesse cenário, o Netskope captura apenas o tráfego de aplicativo privado. O Acesso Seguro Global lida com todos os outros tráfegos.

Configuração do Microsoft Entra Internet Access e do Microsoft Access

Para este cenário, faça o seguinte:

1. Habilite os perfis de encaminhamento do Microsoft Entra Microsoft Access e do Microsoft Entra Internet Access.
2. Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.
3. Adicione um bypass personalizado para o perfil de encaminhamento de tráfego do Microsoft Entra Internet Access, visando excluir o FQDN e os IPs do serviço Netskope.

Adicionar um bypass personalizado para o Netskope no Acesso Seguro Global

1. Entre no centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Conectar>Encaminhamento de tráfego>Perfil de acesso à Internet.
2. Em políticas >, selecione Exibição.
3. Expandir Bypass Personalizado> Selecionar Adicionar regra
4. Deixe o tipo de destino FQDN e, no campo Destino, insira *.goskope.com>Salvar
5. Selecione Adicionar regra novamente >Intervalo>de IP Adicionar os intervalos de IP (cada intervalo é uma nova regra): 163.116.128.0..163.116.255.255, , 162.10.0.0..162.10.127.255, 31.186.239.0..31.186.239.255, 8.39.144.0..8.39.144.2558.36.116.0..8.36.116.255
6. Clique em Salvar.

Configuração do Netskope Private Access

No portal do Netskope:

1. Configurar e ajustar a Configuração de Direção do Netskope para redirecionar o tráfego da Web e os aplicativos privados.
2. Instale o cliente Netskope para Windows ou macOS.
3. Crie uma política de Proteção em Tempo Real para permitir o acesso aos Aplicativos Privados.
4. Instale o Netskope Private Access Publisher.

Adicionar configuração de direção para aplicativos privados

1. Navegue até o portal Netskope>Configurações>Plataforma de Nuvem de Segurança>Configuração de Encaminhamento>Nova Configuração.
2. Adicionar um nome de configuração , como MSFTSSEPrivate.
3. Escolha um Grupo de Usuários ou UO ao qual aplicar a configuração.
4. Em Nuvem, Web e Firewall>Nenhum.
5. Em Aplicativos Privados, selecione Todos os Aplicativos Privados.
6. Na próxima linha >, o Netskope>Conduzirá.
7. Em Aplicativos SD-WAN Sem Borda>Nenhum.
8. Defina Status como Desabilitado e selecione Salvar.
9. Verifique se a configuração MSFTSSEPrivate está na parte superior da lista de configurações de direção em seu locatário. Em seguida, habilite a configuração.

Adicionar Política de Proteção em Tempo Real do Aplicativo Privado do Netskope

1. Navegue até o Portal Netskope>Políticas>Proteção em Tempo Real.
2. Selecione NovaPolítica>PrivadoAplicativoAcesso.
3. Na Origem, selecione os Usuários, Grupos ou UOs para conceder acesso.
4. Adicione todos os critérios necessários, como sistema operacional ou classificação de dispositivo.
5. No Aplicativo de>DestinoPrivado>, selecione Aplicativos Privados para permitir o acesso.
6. In Profile &Action>Allow.
7. Dê um nome à política, como Private Apps e coloque-a no grupo Padrão .
8. Defina o Status como Habilitado.
9. Vá para a bandeja do sistema para verificar se o Acesso Seguro Global e os clientes Netskope estão habilitados.

Verificar configurações para clientes

1. Clique com o botão direito do mouse no Cliente de Acesso Seguro Global>, Diagnósticos Avançados> e Perfil de Encaminhamento. Verifique se as regras de Microsoft Access e de Internet Access são aplicadas a esse cliente.
2. Navegue até Diagnóstico Avançado>Verificação de Integridade e observe se não há falhas nas verificações.
3. Clique com o botão direito do mouse em Cliente Netskope>Configuração. Verifique se a Configuração de Direção corresponde ao nome da configuração criada. Caso contrário, selecione o link Atualizar .

   Observação

   Para solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas do cliente de Acesso Seguro Global.

Testar o fluxo de tráfego

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Começar a coletar.
2. Acesse estes sites nos navegadores: bing.com, salesforce.com, Instagram.com, Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego. Valide que o tráfego relacionado a esses sites é capturado nos logs de tráfego do Acesso Seguro Global.
4. Acesse seu aplicativo privado configurado nos Aplicativos Privados do Netskope. Por exemplo, usando a Área de Trabalho Remota (RDP).
5. Entre no portal do Netskope e navegue até Skope IT>Eventos e Alertas>Eventos de Rede. Valide se o tráfego relacionado à sessão RDP está presente e se o tráfego relacionado ao Microsoft 365 e ao tráfego da internet, como Instagram.com, Outlook Online e SharePoint Online, está ausente no portal do Netskope.
6. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Na caixa de diálogo de tráfego de rede, selecione Parar de coletar.
7. Role para observar que o cliente de Acesso Global Seguro não está capturando o tráfego do aplicativo privado. Além disso, observe que o cliente de Acesso Seguro Global está capturando o tráfego para o Microsoft 365 e outro tráfego de Internet.