Security Service Edge (SSE) samexistens med Microsoft och Netskope

I dagens snabbt växande digitala landskap kräver organisationer robusta och enhetliga lösningar för att säkerställa säker och sömlös anslutning. Microsoft och Netskope erbjuder kompletterande SASE-funktioner (Secure Access Service Edge) som, när de är integrerade, ger förbättrad säkerhet och anslutning för olika åtkomstscenarier.

Den här guiden beskriver hur du konfigurerar och distribuerar Microsoft Entra-lösningar tillsammans med Netskopes SSE-erbjudanden (Security Service Edge). Genom att använda båda plattformarnas styrkor kan du optimera organisationens säkerhetsstatus samtidigt som du upprätthåller högpresterande anslutningar för privata program, Microsoft 365-trafik och Internetåtkomst.

Konfiguration 1: Microsoft Entra Private Access med Netskope Internet Access

I det första scenariot hanterar Global Secure Access privat programtrafik. Netskope samlar bara in Internettrafik.

Konfiguration 2: Microsoft Entra Private Access med Netskope Private Access och Netskope Internet Access

I det andra scenariot hanterar båda klienterna trafik för separata privata program. Global Säker åtkomst hanterar privata program i Microsoft Entra Private Access. Privata program i Netskope Private Access nås via Netskope-klienten. Netskope hanterar Internettrafik.

Konfiguration 3: Microsoft Entra Microsoft Access med Netskope Private Access och Netskope Internet Access

I det tredje scenariot hanterar Global Secure Access all Microsoft 365-trafik. Netskope hanterar privat program- och Internettrafik.

Konfiguration 4: Microsoft Entra Internet Access och Microsoft Entra Microsoft Access med Netskope Private Access

I det fjärde scenariot hanterar Global säker åtkomst Internet- och Microsoft 365-trafik. Netskope samlar bara in privat programtrafik.

Förutsättningar

Om du vill konfigurera Microsoft och Netskope för en enhetlig SASE-lösning börjar du med att konfigurera Microsoft Entra Internet Access och Microsoft Entra Private Access. Konfigurera sedan Netskope Private Access och Internetåtkomst. Se slutligen till att upprätta nödvändiga fullständigt kvalificerade domännamn (FQDN) och IP-förbikopplingar för att säkerställa smidig integrering mellan de två plattformarna.

1. Konfigurera Microsoft Entra Internet Access och Microsoft Entra Private Access. Dessa produkter utgör lösningen global säker åtkomst.
2. Konfigurera privat åtkomst och Internetåtkomst i Netskope
3. Konfigurera FQDN för global säker åtkomst och KRINGGÅ IP

Microsoft Global Säker åtkomst

Så här konfigurerar du global säker åtkomst och testar alla scenarier i den här dokumentationen:

1. Aktivera och inaktivera olika Microsoft Global Secure Access-trafikvidarebefordransprofiler för din Microsoft Entra-klientorganisation. Mer information om hur du aktiverar och inaktiverar profiler finns i Profiler för vidarebefordran av global säker åtkomsttrafik.
2. Installera och konfigurera den privata nätverksanslutningen för Microsoft Entra. Information om hur du installerar och konfigurerar anslutningsappen finns i Så här konfigurerar du anslutningsappar.

   Anmärkning

   Privata nätverksanslutningar krävs för privata Microsoft Entra-åtkomstprogram.

3. Konfigurera snabbåtkomst till dina privata resurser och konfigurera DNS-suffix (Private Domain Name System). Information om hur du konfigurerar snabbåtkomst finns i Konfigurera snabbåtkomst.
4. Installera och konfigurera Global Secure Access-klienten på slutanvändarens enheter. Mer information om klienter finns i Global Secure Access-klienter. Information om hur du installerar Windows-klienten finns i Global Secure Access-klient för Windows. För macOS, se Global säker åtkomstklient för macOS.

Privat netskope-åtkomst och Internetåtkomst

1. Konfigurera privata Netskope-appar. Mer information om hur du konfigurerar privat netskope-åtkomst finns i Netskope One Private Access-dokumentationen .
2. Konfigurera Netskope-styrningskonfigurationer för privat åtkomst och Internetåtkomst. Mer information om hur du konfigurerar Netskope finns i dokumentationen om Netskope Traffic Steering. Stegen för att skapa de nödvändiga styrkonfigurationerna för varje scenario listas.
3. Konfigurera Netskope Realtidsskyddsprinciper för att tillåta åtkomst till privata appar. Mer information finns i Netskope Realtidsskyddsprincip för privata appar.
4. Bjud in användare till Netskope och skicka ett e-postmeddelande med länkar till Netskope-klientinstallationspaketet. Om du vill bjuda in användare, gå till Netskope-portalen>Inställningar>SäkerhetCloudPlattform>Användare.

Netskope-platsprofiler

Skapa nätverksplatsprofiler för att kringgå Internetprotokolladresser (IP-adresser) för Microsoft SSE-tjänsten och Microsoft 365-mål-IP-adresser.

Microsoft SSE Service Konfigurera policyn:

1. Gå till Principer>Profiler>Nätverksplats>Ny nätverksplats>Enskilt objekt.
2. Lägg till vägarna och spara dem som MSFT SSE Service:
   150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, , 151.206.0.0/16. 6.6.0.0/16

MSFT SSE M365 Konfigurera principen:

• Upprepa steg 1 och 2 för att lägga till Microsoft 365 IP-adresser och spara dem som MSFT SSE M365:
  132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19.

Profilerna MSFT SSE Service och MSFT SSE M365 används i styrningskonfigurationer.

Konfiguration 1: Microsoft Entra Private Access med Netskope Internet Access

I det här scenariot hanterar Global Secure Access privat programtrafik. Netskope samlar bara in Internettrafik.

Microsoft Entra privatåtkomst konfiguration

I det här scenariot:

1. Aktivera vidarebefordran av Microsoft Entra Private Access-profil.
2. Installera ett privat nätverksanslutningsprogram för Microsoft Entra Private Access.
3. Konfigurera snabbåtkomst och konfigurera privat DNS.
4. Installera och konfigurera Global Secure Access-klienten för Windows eller macOS.

Netskope Internet Access-konfiguration

Konfiguration av Netskope-portalen

1. Konfigurera Netskope Steering Configuration för att styra webbtrafik.
2. Installera Netskope-klienten för Windows eller macOS.

Lägg till styrningskonfiguration för Internetåtkomst

1. Gå till Netskope-portal>Inställningar>Security Cloud Platform>Steering Configuration>Ny konfiguration.
2. Lägg till ett konfigurationsnamn, till exempel MSFTSSEWebTraffic.
3. Välj en användargrupp eller organisationsenhet som konfigurationen ska tillämpas på.
4. Under Moln, webb och brandvägg>Webbtrafik
5. Kringgå undantagstrafik vid>Klient
6. Under Privata appar>Inga.
7. Under Borderless SD-WAN Apps>Ingen.
8. Ange Status till Inaktiverad och välj Spara.
9. Välj konfigurationen MSFTSSEWebTraffic>Undantag>Nya målplatser för undantag>.
10. Välj MSFT SSE Service (Instruktioner för att skapa det här objektet visas i avsnittet Netskope-profiler).
11. Åtgärden är Kringgå> kryssrutan för Behandla den som lokal IP-adress>Lägg till.
12. Välj Nyaundantagsdomäner> och lägg till undantaget global säker åtkomstdomän: *.globalsecureaccess.microsoft.com >Spara
13. Kontrollera att konfigurationen MSFTSSEWebTraffic finns överst i listan över styrkonfigurationer i din klientorganisation. Aktivera sedan konfigurationen.
14. Gå till systemfältet för att kontrollera att Global Säker åtkomst och Netskope-klienter är aktiverade.

Verifiera konfigurationer för klienter

1. Högerklicka på Global Secure Access Client>Avancerad Diagnostik>Vidarebefordringsprofil och kontrollera att privat åtkomst och privata DNS-regler tillämpas på denna klient.
2. Gå till Hälsokontroll för>avancerad diagnostik och se till att inga kontroller misslyckas.
3. Högerklicka på Netskope-klientkonfiguration>. Kontrollera att styrningskonfigurationen matchar namnet på konfigurationen. Om inte väljer du länken Uppdatera .

   Anmärkning

   Information om hur du felsöker fel vid hälsokontroll finns i Felsöka Global Secure Access-klienten.

Testa trafikflödet

1. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. Välj fliken Trafik och välj Börja samla in.
2. Få åtkomst till dessa webbplatser från webbläsarna: bing.com, salesforce.com, Instagram.com.
3. Högerklicka på Global Secure Access Client i systemfältet och välj Avancerad diagnostik>Trafikflik.
4. Skrolla och observera att klienten för global säker åtkomst inte samlar in trafik från dessa webbplatser.
5. Logga in på Microsoft Entra-administrationscenter och navigera till Global säker åtkomst>Övervaka>Trafikloggar. Verifiera att trafik som är relaterad till dessa platser saknas i trafikloggarna för global säker åtkomst.
6. Logga in på Netskope-portalen och bläddra till Skope IT-händelser>och aviseringar>Sidhändelser. Verifiera att trafik som är relaterad till dessa platser finns i Netskope-loggar.
7. Få åtkomst till ditt privata program som konfigurerats i Microsoft Entra Private Access. Du kan till exempel komma åt en filresurs via SMB (Server Message Block).
8. Logga in på Microsoft Entra-administrationscenter och navigera till Global säker åtkomst>Övervaka>Trafikloggar. Verifiera att trafik som är relaterad till filresursen samlas in i trafikloggarna för global säker åtkomst.
9. Logga in på Netskope-portalen och bläddra till Skope IT-händelser>och aviseringar>Nätverkshändelser. Verifiera att trafik som är relaterad till det privata programmet inte finns i trafikloggarna.
10. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. I dialogrutan Trafik väljer du Sluta samla in.
11. Rulla för att bekräfta att global säker åtkomst-klienten endast hanterade privat programtrafik.

Konfiguration 2: Microsoft Entra Private Access med Netskope Private Access och Netskope Internet Access

I det här scenariot hanterar båda klienterna trafik för separata privata program. Global Secure Access-klienten hanterar privata program i Microsoft Entra Private Access och Netskope-klienten hanterar privata program i Netskope Private Access. Netskope hanterar Internettrafik.

Anmärkning

Känd begränsning – När macOS Global Secure Access-klienten är ansluten före Netskope-klienten avbryts funktionen global säker åtkomst.

Microsoft Entra privatåtkomst konfiguration

I det här scenariot:

1. Aktivera vidarebefordran av Microsoft Entra Private Access-profil.
2. Installera ett privat nätverksanslutningsprogram för Microsoft Entra Private Access.
3. Konfigurera snabbåtkomst och konfigurera privat DNS.
4. Installera och konfigurera Global Secure Access-klienten för Windows.

Netskope Private Access och Netskope Internet Access-konfiguration

I Netskope-portalen:

1. Konfigurera Netskope Steering Configuration för att styra webbtrafik och privata appar.
2. Installera Netskope-klienten för Windows.
3. Skapa en princip för realtidsskydd för att tillåta åtkomst till privata appar.
4. Installera Netskope Private Access Publisher.

Lägg till styrningskonfiguration för Internetåtkomst och privata appar

1. Gå till Netskope-portal>Inställningar>Security Cloud Platform>Steering Configuration>Ny konfiguration.
2. Lägg till ett konfigurationsnamn , till exempel MSFTSSEWebAndPrivate.
3. Välj en användargrupp eller organisationsenhet som konfigurationen ska tillämpas på.
4. Under Moln, webb och brandvägg>Webbtrafik
5. Kringgå undantagstrafik på>Klient
6. Under Privata appar väljer du Specifika privata appar.
7. På nästa rad >kommer Netskope att>styra
8. Under Gränslösa SD-WAN-appar>Ingen.
9. Ange Status till Inaktiverad och välj Spara.
10. Välj konfigurationen MSFTSSEWebAndPrivate>Undantag>Nya målplatser för undantag>.
11. Välj MSFT SSE Service (Instruktioner för att skapa det här objektet visas i avsnittet Netskope-profiler).
12. Åtgärden är Kringgå> kryssrutan för Behandla den som lokal IP-adress> Lägg till.
13. Välj Nyaundantagsdomäner> och lägg till undantaget global säker åtkomstdomän: *.globalsecureaccess.microsoft.com >Spara.
14. Välj Lägg till styrt objekt.
15. Välj Privat app och välj de privata programmen för Netskope för att styra >Lägg till.
16. Säkerställ att konfigurationen MSFTSSEWebAndPrivate finns överst i listan över styrkonfigurationer i klientorganisationen. Aktivera sedan konfigurationen.

Lägg till Netskope Private App Realtidsskyddspolicy

1. Gå till Netskope-portalprinciper>>Realtidsskydd.
2. Välj NyPrincip>PrivatAppÅtkomst.
3. I Källa väljer du användare, grupper eller organisationsenheter för att bevilja åtkomst.
4. Lägg till nödvändiga kriterier, till exempel OS eller Enhetsklassificering.
5. I Mål>privatapp> väljer du Privata appar att tillåta åtkomst till.
6. I profil och åtgärd>tillåt.
7. Ge principen ett namn som Private Apps och placera den i gruppen Standard .
8. Ange Status till Aktiverad.
9. Gå till systemfältet för att kontrollera att Global Säker åtkomst och Netskope-klienter är aktiverade.

Verifiera konfigurationer för klienter

1. Högerklicka på Global Secure Access Client>Avancerad Diagnostik>Vidarebefordringsprofil och kontrollera att privat åtkomst och privata DNS-regler tillämpas på denna klient.
2. Gå till Hälsokontroll för>avancerad diagnostik och se till att inga kontroller misslyckas.
3. Högerklicka på Netskope-klientkonfiguration>. Kontrollera att styrningskonfigurationen matchar namnet på den konfiguration som skapats. Om inte väljer du länken Uppdatera .

   Anmärkning

   Information om hur du felsöker fel vid hälsokontroll finns i Felsöka den globala säkerhetsåtkomstklienten.

Testa trafikflödet

1. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. Välj fliken Trafik och välj Börja samla in.
2. Få åtkomst till dessa webbplatser från webbläsarna: bing.com, salesforce.com, yelp.com.
3. Högerklicka på Global säker åtkomstklient i systemfältet och välj fliken Avancerad diagnostiktrafik>.
4. Skrolla och observera att klienten för global säker åtkomst inte samlar in trafik från dessa webbplatser.
5. Logga in på Microsoft Entras administrationscenter och navigera till Global säker åtkomst>Övervaka>Trafikloggar. Verifiera att trafik som är relaterad till dessa platser saknas i trafikloggarna för global säker åtkomst.
6. Logga in på Netskope-portalen och bläddra till Skope IT-händelser>och aviseringar>Sidhändelser. Verifiera att trafik som är relaterad till dessa platser finns i Netskope-loggar.
7. Få åtkomst till ditt privata program som konfigurerats i Microsoft Entra Private Access. Du kan till exempel komma åt en filresurs via SMB.
8. Få åtkomst till ditt privata program som har konfigurerats i Netskope Private Access. Öppna till exempel en RDP-session till en privat server.
9. Logga in på Microsoft Entra-administrationscenter och navigera till Global säker åtkomst>Övervaka>Trafikloggar.
10. Verifiera att trafik som är relaterad till den privata SMB-filresursappen registreras och att trafik som är relaterad till RDP-sessionen inte samlas in i trafikloggarna för global säker åtkomst.
11. Logga in på Netskope-portalen och bläddra till Skope IT-händelser>och aviseringar>Nätverkshändelser. Verifiera att trafik som är relaterad till RDP-sessionenfinns och att trafik som är relaterad till SMB-filresurseninte finns i Netskope-loggarna.
12. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. I dialogrutan Trafik väljer du Sluta samla in.
13. Bläddra för att bekräfta att global säker åtkomst-klienten hanterade privat programtrafik för SMB-filresursen och inte hanterade RDP-sessionstrafiken.

Konfiguration 3: Microsoft Entra Microsoft Access med Netskope Private Access och Netskope Internet Access

I det här scenariot hanterar Global Secure Access all Microsoft 365-trafik. Netskope Private Access hanterar privat programtrafik och Netskope Internet Access hanterar Internettrafik.

Anmärkning

Känd begränsning – När macOS Global Secure Access-klienten är ansluten före Netskope-klienten avbryts funktionen global säker åtkomst.

Microsoft Entra Microsoft Access-konfiguration

I det här scenariot:

1. Aktivera Microsoft Entra Microsoft Access-vidarebefordringsprofil.
2. Installera och konfigurera Global Secure Access-klienten för Windows.

Netskope Private Access och Netskope Internet Access-konfiguration

I Netskope-portalen:

1. Konfigurera Netskope Steering Configuration för att styra webbtrafik och privata appar.
2. Installera Netskope-klienten för Windows.
3. Skapa en princip för realtidsskydd för att tillåta åtkomst till privata appar.
4. Installera Netskope Private Access Publisher.

Lägg till styrningskonfiguration för Internetåtkomst och privata appar

1. Gå till Netskope-portalen>Inställningar>Security Cloud Platform>Steering Configuration>Ny konfiguration.
2. Lägg till ett konfigurationsnamn , till exempel MSFTSSEWebAndPrivate-NoM365.
3. Välj en användargrupp eller organisationsenhet som konfigurationen ska tillämpas på.
4. Under Moln, Webb och Brandvägg>Webbtrafik.
5. Kringgå undantagstrafik vid>Klient.
6. Under Privata appar väljer du Specifika privata appar.
7. På nästa rad >kommer Netskope att>styra.
8. Under Borderless SD-WAN Apps>Ingen.
9. Ange Status till Inaktiverad och välj Spara.
10. Välj konfigurationen MSFTSSEWebAndPrivate-NoM365>Undantag>Nya undantagsmålplatser>> Välj MSFT SSE Service och MSFT SSE M365 (Instruktioner för att skapa det här objektet visas i avsnittet Netskope-profiler).
11. Välj Kringgå och Behandla det som lokala IP-adressalternativ .
12. Välj Undantag>Nytt undantag>Domäner och lägg till följande undantag: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
13. Välj Lägg till styrt objekt> Välj privat app och välj de privata programmen för Netskope för att styra >Lägg till.
14. Kontrollera att konfigurationen MSFTSSEWebAndPrivate-NoM365 finns överst i listan över styrkonfigurationer i klientorganisationen. Aktivera sedan konfigurationen.

Lägg till Netskope Private App Realtidsskyddspolicy

1. Gå till Netskope-portalprinciper>>Realtidsskydd.
2. Välj NyPolicy>PrivatAppÅtkomst.
3. I Källa väljer du användare, grupper eller organisationsenheter för att bevilja åtkomst.
4. Lägg till nödvändiga kriterier, till exempel OS eller Enhetsklassificering.
5. I Mål>privatapp> väljer du Privata appar att tillåta åtkomst till.
6. I profil och åtgärd>tillåt.
7. Ge principen ett namn som Private Apps och placera den i gruppen Standard .
8. Ange Status till Aktiverad.
9. Gå till systemfältet för att kontrollera att Global Säker åtkomst och Netskope-klienter är aktiverade.

Verifiera konfigurationer för klienter

1. Högerklicka på Global Secure Access Client>Advanced Diagnostics>Forwarding Profile och kontrollera att endast Microsoft 365-regler tillämpas på den här klienten.
2. Gå till Hälsokontroll för>avancerad diagnostik och se till att inga kontroller misslyckas.
3. Högerklicka på Netskope-klientkonfiguration>. Kontrollera att styrningskonfigurationen matchar namnet på den konfiguration som skapats. Om inte väljer du länken Uppdatera .

   Anmärkning

   Information om hur du felsöker fel vid hälsokontroll finns i Felsöka den globala säkerhetsåtkomstklienten.

Testa trafikflödet

1. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. Välj fliken Trafik och välj Börja samla in.
2. Få åtkomst till dessa webbplatser från webbläsarna: bing.com, salesforce.com, yelp.com.
3. Högerklicka på Global säker åtkomstklient i systemfältet och välj fliken Avancerad diagnostiktrafik>.
4. Skrolla och observera att klienten för global säker åtkomst inte samlar in trafik från dessa webbplatser.
5. Logga in på Microsoft Entra-administrationscenter och navigera till Global säker åtkomst>Övervaka>Trafikloggar. Verifiera att trafik som är relaterad till dessa platser saknas i trafikloggarna för global säker åtkomst.
6. Logga in på Netskope-portalen och bläddra till Skope IT-händelser>och aviseringar>Sidhändelser.
7. Verifiera att trafik som är relaterad till dessa platser finns i Netskope-loggar.
8. Få åtkomst till ditt privata program som har konfigurerats i Netskope Private Access. Öppna till exempel en RDP-session till en privat server.
9. Logga in på Microsoft Entra-administrationscenter och navigera till Global säker åtkomst>Övervaka>Trafikloggar.
10. Verifiera att trafik som är relaterad till RDP-sessionen inte finns i trafikloggarna för global säker åtkomst.
11. Logga in på Netskope-portalen och bläddra till Skope IT-händelser>och aviseringar>Nätverkshändelser. Verifiera att trafik som är relaterad till RDP-sessionenfinns .
12. Åtkomst till Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. I dialogrutan Trafik väljer du Sluta samla in.
14. Rulla för att bekräfta att global säker åtkomst-klienten endast hanterade Microsoft 365-trafik.
15. Du kan också verifiera att trafiken samlas in i trafikloggarna för global säker åtkomst. I administrationscentret för Microsoft Entra navigerar du till Global säker åtkomst>Övervakare>Trafikloggar.
16. Verifiera att trafik som är relaterad till Outlook Online och SharePoint Online saknas i Netskope-portalen i Skope IT-händelser>och aviseringar>Sidhändelser.

Konfiguration 4: Microsoft Entra Internet Access och Microsoft Entra Microsoft Access med Netskope Private Access

I det här scenariot samlar Netskope bara in privat programtrafik. Global säker åtkomst hanterar all annan trafik.

Microsoft Entra Internet Access och Microsoft Access-konfiguration

I det här scenariot:

1. Aktivera Microsoft Entra Microsoft Access - och Microsoft Entra Internet Access-profiler för vidarebefordran.
2. Installera och konfigurera Global Secure Access-klienten för Windows eller macOS.
3. Lägg till en anpassad bypassprofil för trafikvidarebefordran för Microsoft Entra Internet Access för att exkludera FQDN:n och IP-adresserna för Netskope-tjänsten.

Lägga till en anpassad förbikoppling för Netskope i Global säker åtkomst

1. Logga in på Microsoft Entra administrationscenter och navigera till Global Secure Access>Anslut>Vidarebefordran av trafik>Internetåtkomstprofil.
2. Under Internetåtkomstprinciper> väljer du Visa.
3. Expandera Anpassad förbikoppling> Välj lägg till regel
4. Lämna måltypen FQDN och i Mål anger du *.goskope.com>Spara
5. Välj Lägg till regel igen >IP-intervall>Lägg till IP-intervall (varje intervall är en ny regel): 163.116.128.0..163.116.255.255, 162.10.0.0..162.10.127.255, 31.186.239.0..31.186.239.255, , 8.39.144.0..8.39.144.2558.36.116.0..8.36.116.255
6. Välj Spara.

Netskope Private Access-konfiguration

I Netskope-portalen:

1. Konfigurera Netskope Steering Configuration för att styra webbtrafik och privata appar.
2. Installera Netskope-klienten för Windows eller macOS.
3. Skapa en princip för realtidsskydd för att tillåta åtkomst till privata appar.
4. Installera Netskope Private Access Publisher.

Lägg till styrningskonfiguration för Internetåtkomst och privata appar

1. Gå till Netskope-portalen>Inställningar>Security Cloud Platform>Steering Configuration>Ny konfiguration.
2. Lägg till ett konfigurationsnamn , till exempel MSFTSSEPrivate.
3. Välj en användargrupp eller organisationsenhet som konfigurationen ska tillämpas på.
4. Under Moln, Webb och Brandvägg>Webbtrafik.
5. Kringgå undantagstrafik vid>Klient.
6. Under Privata appar väljer du Specifika privata appar.
7. På nästa rad >kommer Netskope att>styra.
8. Under Borderless SD-WAN Apps>Ingen.
9. Ange Status till Inaktiverad och välj Spara.
10. Välj konfigurationen MSFTSSEPrivate>Undantag>Nya undantagsmålplatser>> Välj MSFT SSE Service och MSFT SSE M365 (Instruktioner för att skapa det här objektet visas i avsnittet Netskope-profiler).
11. Välj Kringgå och Behandla det som lokala IP-adressalternativ .
12. Välj Undantag>Nytt undantag>Domäner och lägg till följande undantag: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
13. Välj Lägg till styrt objekt> Välj privat app och välj de privata programmen för Netskope för att styra >Lägg till.
14. Kontrollera att konfigurationen MSFTSSEPrivate finns överst i listan över styrkonfigurationer i klientorganisationen. Aktivera sedan konfigurationen.

Lägg till Netskope Private App Realtidsskyddspolicy

1. Gå till Netskope-portalprinciper>>Realtidsskydd.
2. Välj NyPrincip>PrivatAppÅtkomst.
3. I Källa väljer du användare, grupper eller organisationsenheter för att bevilja åtkomst.
4. Lägg till nödvändiga kriterier, till exempel OS eller Enhetsklassificering.
5. I Mål>privatapp> väljer du Privata appar att tillåta åtkomst till.
6. Profil & ÅtgärdTillåt.
7. Ge principen ett namn som Private Apps och placera den i gruppen Standard .
8. Ange Status till Aktiverad.
9. Gå till systemfältet för att kontrollera att Global Säker åtkomst och Netskope-klienter är aktiverade.

Verifiera konfigurationer för klienter

1. Högerklicka på Global Secure Access-klient>Avancerad diagnostik>och kontrollera att Microsoft Access- och Internetåtkomstregler tillämpas på den här klienten.
2. Gå till Hälsokontroll för>avancerad diagnostik och se till att inga kontroller misslyckas.
3. Högerklicka på Netskope-klientkonfiguration>. Kontrollera att styrningskonfigurationen matchar namnet på den konfiguration som skapats. Om inte väljer du länken Uppdatera .

   Anmärkning

   Information om hur du felsöker fel vid hälsokontroll finns i Felsöka klienten för Global Secure Access.

Testa trafikflödet

1. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. Välj fliken Trafik och välj Börja samla in.
2. Få åtkomst till dessa webbplatser från webbläsarna: , , , Outlook Online (bing.com, salesforce.com, ), Instagram.comSharePoint Online (outlook.com). outlook.office.comoutlook.office365.com<yourtenantdomain>.sharepoint.com
3. Logga in på Microsoft Entra-administrationscenter och navigera till Global säker åtkomst>Övervaka>Trafikloggar. Verifiera att trafik som är relaterad till dessa platser samlas in i trafikloggarna för global säker åtkomst.
4. Få åtkomst till ditt privata program som konfigurerats i Privata Netskope-appar. Du kan till exempel använda Fjärrskrivbord (RDP).
5. Logga in på Netskope-portalen och bläddra till Skope IT-händelser>och aviseringar>Nätverkshändelser. Verifiera att trafik som är relaterad till RDP-sessionenfinns och att trafik relaterad till Microsoft 365 och Internettrafik som Instagram.com, Outlook Online och SharePoint Online saknas i Netskope-portalen.
6. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. I dialogrutan Nätverkstrafik väljer du Sluta samla in.
7. Rulla om du vill se att global säker åtkomst-klienten inte samlar in trafik från det privata programmet. Observera också att global säker åtkomst-klienten samlar in trafik för Microsoft 365 och annan Internettrafik.