Dela via

Lär dig mer om samexistens i Security Service Edge (SSE) med Microsoft och Netskope

  • Artikel

Microsofts Security Service Edge-lösning ger en robust uppsättning funktioner för att öka säkerheten och förbättra prestandan för dina Microsoft 365-produkter. Några av dessa funktioner är:

  • Förhindra att data flyttas till ej betrodda klienter.
  • Kontrollera användare och villkor innan du ger åtkomst till nätverket.
  • Återkalla åtkomsten till Microsoft 365-produkter när villkoren ändras med hjälp av kontinuerlig åtkomstutvärdering.
  • Använd platsbaserad villkorlig åtkomst, riskidentifiering och förbättrade aktivitetsloggar genom att dra nytta av käll-IP-återställning.
  • Skydda Microsoft 365-appar mot tokeninfiltration och anonym åtkomst.

De här funktionerna är unika för Microsoft Entra internetåtkomst för Microsoft 365. Du kan använda dessa funktioner för Microsoft 365 och använda SSE-lösningen (Netskope Security Service Edge) samtidigt. Därför kan du utnyttja en robust uppsättning funktioner från båda plattformarna för att höja din SSE-resa. Synergin mellan dessa plattformar ger dig bättre säkerhet och smidig anslutning.

Det här dokumentet innehåller steg för att distribuera de två lösningarna sida vid sida. Mer specifikt Microsoft Entra internetåtkomst för Microsoft 365-program som Exchange Online och SharePoint Online och Netskope SSE för all annan webbtrafik.

Konfiguration – översikt

I Microsoft Entra aktiverar du microsoft 365-trafikvidarebefordringsprofilen och inaktiverar profiler för vidarebefordran av internetåtkomst och privat åtkomst. Endast Microsoft 365-trafik registreras. I Netskope samlar du in internetåtkomsttrafik och exkluderar Microsoft 365-trafik.

Kommentar

Klienterna måste vara installerade på en Windows 10- eller Windows 11 Microsoft Entra-ansluten enhet eller en Hybrid-ansluten Microsoft Entra-enhet.

Microsoft Entra internetåtkomst för Microsoft 365-konfiguration

Aktivera Microsoft 365-trafikvidarebefordringsprofilen för din Microsoft Entra-klientorganisation. Mer information om hur du aktiverar och inaktiverar profiler finns i Profiler för vidarebefordran av global säker åtkomsttrafik.

Installera och konfigurera den globala klienten för säker åtkomst på slutanvändarenheter. Mer information om klienter finns i Global Secure Access-klienter. Information om hur du installerar Windows-klienten finns i Global Secure Access-klient för Windows.

Netskope-konfiguration

Skapa nätverksplatsprofiler för att kringgå Microsoft 365-destinations-IP-adresser och Microsoft SSE-tjänst-IP-adresser.

  1. Gå till Principer>Profiler>Nätverksplats>Ny nätverksplats>Enskilt objekt.
  2. Lägg till vägarna och spara dem som MSFT SSE Service:150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16.
  3. Upprepa steg 1 och 2 för att lägga till Microsoft 365 IP-adresser och spara dem som MSFT SSE M365: 132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/3223.103.160.0/20, 40.96.0.0/13, , 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/3113.107.6.152/3152.238.78.88/32104.47.0.0/1752.100.0.0/14, 40.107.0.0/1640.92.0.0/15150.171.40.0/22, . 52.104.0.0/14104.146.128.0/1740.108.128.0/1713.107.136.0/2240.126.0.0/1820.231.128.0/1920.190.128.0/1820.20.32.0/19

    Anteckning

    Ytterligare Microsoft 365-trafik läggs till senare. En fullständig lista finns i M365-URL:er och IP-adressintervall.

  4. Gå till > och välj Tillämpa ändringar längst upp till höger på skärmen.

Skapa en styrningskonfiguration för att styra all webbappstrafik till Netskope utom Microsoft 365.

  1. Gå till Inställningar>Security Cloud Platform>Traffic Steering>Steering Configuration>Ny konfiguration.
  2. Lägg till ett namn, till exempel MSFTSSEWebTraffic, och tilldela en användargrupp eller organisationsenhet (OU).
  3. Välj Webbtrafik för den typ av trafik som ska styras. Låt konfigurationen vara inaktiverad och välj Spara.
  4. Gå till Undantag>Nytt undantag>Destinationsplatser och välj den nyligen skapade konfigurationen.
  5. I det här undantaget lägger du till MSFT SSE Service och MSFT SSE M365 i Målplatser.
  6. Välj Kringgå och Behandla det som lokala IP-adressalternativ .
  7. Lägg sedan till undantag för domäner för MSFT SSE-tjänsten och MSFT M365. Välj Undantag>Nytt undantag>Domäner och lägg till följande undantag: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
  8. Kontrollera att MSFT SSE-konfigurationen finns överst i listan över styrkonfigurationer i klientorganisationen. Aktivera sedan konfigurationen.

Konfigurera Netskope-klienten. Mer information om Netskope-klienten finns i https://docs.netskope.com/en/netskope-help/netskope-client.

För den mest grundläggande konfigurationen lägger du till din e-postadress till Netskope Security Cloud Platform.

  1. Bläddra till Inställningar>Säkerhetsmolnplattform>Netskope-klient>Användare.
  2. Lägg till användarens e-postadress. Användaren får ett e-postmeddelande för att konfigurera klienten.
  3. Öppna systemfältet för att kontrollera att global säker åtkomst och Netskope-klienter är aktiverade.
  4. Högerklicka på Global Secure Access Client>Avancerad Diagnostik>Vidarebefordringsprofil. Kontrollera att endast Microsoft 365-regler tillämpas på den här klienten.
  5. Gå till Hälsokontroll för>avancerad diagnostik och se till att inga kontroller misslyckas.
  6. Högerklicka på Netskope Client>Klientkonfiguration. Kontrollera att styrningskonfigurationen och trafikstyrningstypen matchar konfigurationerna i de tidigare stegen. Kontrollera att konfigurationen är uppdaterad eller uppdatera den.

Testa trafikflödet

Microsofts SSE-konfiguration: Aktivera Microsoft 365-trafikvidarebefordringsprofil, inaktivera profiler för vidarebefordran av Internetåtkomst och privat åtkomst.

Netskope SSE-konfiguration: Internetåtkomsttrafik samlas in. Microsoft 365-trafiken undantas.

  1. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. Välj fliken Trafik och välj Börja samla in.
  2. Få åtkomst till dessa webbplatser från webbläsarna: bing.com, salesforce.comoch Instagram.com.
  3. Logga in på Microsoft Entra administrationscenter och navigera till Global Secure Access>Övervaka>Trafikloggar. Verifiera att trafik som är relaterad till dessa platser saknas i trafikloggarna för global säker åtkomst.
  4. Logga in på Netskope Cloud Account och bläddra till >> Verifiera att trafik som är relaterad till dessa platser finns i Netskope-loggar.
  5. Få åtkomst till Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com) och kontrollera att Microsoft Entra internetåtkomst Microsoft 365-åtkomstprofilen fångar upp trafiken. Verifiera trafiken i trafikloggarna för global säker åtkomst.
  6. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. I dialogrutan Nätverkstrafik väljer du Sluta samla in.
  7. I dialogrutan nätverkstrafik bekräftar du att Global Secure Access-klienten endast hanterar Microsoft 365-trafiken.
  8. Verifiera att trafik som är relaterad till Outlook Online och SharePoint Online saknas i Netskope-loggar i >>

Nästa steg