如何為 Netskope 安全狀態管理配置 Microsoft 365

Summary: 瞭解如何依照這些逐步指示為 Microsoft 365 設定 Netskope 安全狀態管理。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Microsoft 365 是一個動態環境,必須持續監控是否有錯誤組態和漏洞。透過 Netskope,您可以清楚瞭解軟體即服務 (SaaS) 的安全狀態。系統管理員可以看到環境在 Center for Internet Security (CIS) 等標準和最佳實務基準測試下的表現。

受影響的產品:

  • Netskope
  • Microsoft 365

受影響的版本:

  • Netskope 版本 86 及更新版本

Microsoft 365 是一種雲端式服務,結合 Office 365 同級最佳的生產力應用程式,以及先進的裝置管理、智慧型安全性和創新的線上服務。如果發現違規情況,則會將項目的嚴重性標示為嚴重、高、中或低。透過簡易的方式監控和報告 Microsoft 365 環境安全性,系統管理員便可以為稽核人員執行報告。系統管理員可以使用建議的指導方針,快速補救並解決所發現的差距。

系統管理員可以配置 Microsoft 365 安全狀態例項配置 Microsoft 365 安全狀態原則。如需詳細資訊,請按一下相關程序。

這些安裝指示說明如何整合 Microsoft 365 帳戶與 Netskope。以下涉及四個程序:

  1. 設定 SharePoint 租戶,以允許自訂應用程式驗證
  2. 授予 Microsoft 365 帳戶的存取權限
  3. 新增 Azure AD 角色
  4. 為 SharePoint 用戶端物件模型 (CSOM) API 新增 SharePoint 管理員權限

如需詳細資訊,請按一下相關程序。

注意:Netskope 需要至少一組 Microsoft 365 授權,才能掃描您的 Microsoft 365 環境。支援下列授權:
  • Microsoft 365 A3、A5
  • Microsoft 365 E3、E5
  • Microsoft 365 F1、F3

如果取得額外的 Microsoft Intune 和 Azure Active Directory Premium P1 版本授權,Netskope 也可以支援其他 Microsoft 365 授權。

設定 SharePoint 租戶,以允許自訂應用程式驗證

如果您是第一次在新的 Microsoft 365 帳戶上設定 Microsoft 365 例項,則可能需要為您的 SharePoint 租戶啟用自訂應用程式驗證。Microsoft 預設會使用僅 Azure Access Control (ACS) 應用程式的存取權杖來停用應用程式。

注意:下列步驟為在 Windows 裝置上執行。
  1. 在 Windows 電腦上安裝最新版本的 PowerShell。
注意:如需取得最新版本的 PowerShell,請參閱在 Windows 上安裝 Powershell (https://docs.microsoft.com/powershell/scripting/install/installing-powershell-core-on-windows?view=powershell-7 此超連結會帶您前往 Dell Technologies 以外的網站。)。
  1. 以滑鼠右鍵按一下 Windows「開始」按鈕,然後選取執行

執行

  1. 在執行 UI 中輸入 powershell 然後按下 CTRL+SHIFT+ENTER。這會以系統管理員身分執行 Powershell。

在「執行」UI 中執行命令

  1. 類型 Install-Module -Name Microsoft.Online.Sharepoint.PowerShell 然後按下 Enter 鍵。

安裝模組

  1. 如果您收到有關不受信任的存儲庫的警告(“您正在從不受信任的存儲庫安裝模組。如果您信任此儲存庫,請執行 Set-PSRepository cmdlet。您確定要從「PSGallery“?”),鍵入 Y ,然後按下 Enter 鍵以安裝模組。否則,請前往步驟 6。

未受信任的儲存庫警告

  1. PowerShell 完成安裝套裝後,游標線會閃爍。類型 $adminUPN=”[GLOBALADMINUPN]” 然後按下 Enter 鍵。

輸入管理員 UPN

注意:
  • [GLOBALADMINUPN] = 全域管理員帳戶的完整 UPN
  • 例如: admin@testdomain.onmicrosoft.com
  1. 類型 $orgName="[365DOMAINNAME]” 然後按下 Enter 鍵。

輸入組織名稱

注意:
  • [365DOMAINNAME] = 您的 Microsoft 365 組織名稱
  • 例如: testdomain
  1. 類型 $userCredential=Get-Credential -UserName $adminUPN -Message "Type the password” 然後按下 Enter 鍵。

輸入使用者認證

  1. 出現 Windows PowerShell 認證要求對話方塊提示時,請輸入您在步驟 6 中輸入的全域系統管理員帳戶密碼。

輸入密碼

  1. 類型 Connect-SPOService -Url https://$orgName-admin.sharepoint.com 然後按下 Enter 鍵。

連接 SharePoint Online 服務

  1. 系統可能會提示您登入您的帳戶。如果出現提示,請提供您的全域系統管理員登入資訊。若沒有提示,請前往步驟 12。

Microsoft 登入畫面

  1. 登入後,從空白的 PowerShell 命令提示字元輸入 Get-SPOTenant 然後按下 Enter 鍵。

輸入「Get SharePoint Online tenant」

  1. 找到 DisableCustomAppAuthentication 參數。如果設定為「True」,請前往步驟 14。如果設定為「False」,請前往授予 Microsoft 365 帳戶的存取權限

在 PowerShell 中找到 DisableCustomAppAuthentication 參數

注意:如果您沒有看到 DisableCustomAppAuthentication 參數, 類型 Install-Module -Name Microsoft.Online.Sharepoint.PowerShell -Force 命令,然後返回步驟 2。
  1. 類型 Set-SPOTenant -DisableCustomAppAuthentication $false 然後按下 Enter 鍵。

輸入 Set SharePoint Online 租戶

  1. 類型 Get-SPOTenant 然後確認 DisableCustomAppAuthentication 現在設置為 False。

在 PowerShell 中確認 DisableCustomAppAuthentication 參數為 false

授予 Microsoft 365 帳戶的存取權限

警示:必須產生 Microsoft 安全分數,才能成功授予 Microsoft 365 帳戶的存取權限。如果您是新設定的 Microsoft 365 帳戶,則可能需要 2 到 4 天的時間,才能為您的 Microsoft 365 帳戶產生 Microsoft 安全分數報告。Netskope SSPM 結合 Microsoft 安全分數的資料,並需要產生安全分數報告。如果您未在 Netskope UI 儀表板 (API 資料保護>法規遵循 >安全狀態) 中看到任何填入任何資料,請等待 Microsoft 安全分數報告產生。您可以在 Azure 入口網站的 Azure AD 身分安全分數下檢視 Microsoft 安全分數。
  1. 在網頁瀏覽器中,前往 Netskope Web 主控台:
    • 美國資料中心:https://[TENANT].goskope.com/
    • 歐盟資料中心:https://[TENANT].eu.goskope.com/
    • 法蘭克福資料中心: https://[TENANT].de.goskope.com/
注意:[TENANT] = 環境中的租戶名稱
  1. 登入 Netskope Web 主控台。

Netskope Web 主控台登入

  1. 按一下設定

設定

  1. 按一下啟用 API 的保護

API 已啟用保護

  1. 按一下 SaaS

SaaS

  1. 按一下 Microsoft 365 圖示。

Microsoft 365

  1. 按一下設定例項

設定例項

  1. 設定例項 提示:
    1. 填入例項名稱
    2. 為例項類型選取安全狀態
    3. 選取原則執行的時間間隔。
    4. 按一下儲存

設定例項提示

注意:
  • 例項名稱應為 Microsoft 365 帳戶的完整網域名稱 (FQDN)。例如,如果您使用 https://domain.sharepoint.com 登入 Microsoft 365,則 domain.sharepoint.com 便為例項名稱
  • 若要尋找 Microsoft 365 帳戶的 FQDN,請登入您的 Microsoft 365 帳戶。從該處按一下啟動圖示,按一下「SharePoint」應用程式,然後複製 FQDN 文字。移除 https://、FQDN 路徑最後的斜線,以及斜線後的所有內容。
  • 如果安全狀態 無法使用或已停用,請聯絡 Dell 支援,以取得啟用此功能的協助。如需更多資訊,請參閱如何取得 Netskope 支援
  1. 在 SaaS Microsoft 365 例項中,為新建立的應用程式例項按一下授予存取權限

授予存取權限

  1. 使用全域系統管理員使用者名稱和密碼登入。
  2. 接受 Netskope 安全性評估的權限。

接受權限

  1. 按一下關閉

關閉

注意:Microsoft 365 應用程式例項現在會使用 Microsoft 的新 Graph API。
  1. 重新整理您的瀏覽器,並確認例項名稱旁有一個綠色勾號圖示。

綠色勾號圖示

新增 Azure AD 角色

授予 Microsoft 365 應用程式存取權後,您應將 Netskope 應用程式用戶端 ID 指派給全域讀取者角色。

  1. 在網頁瀏覽器中,前往 https://portal.azure.com此超連結會帶您前往 Dell Technologies 以外的網站。
  2. 以全域系統管理員的身分登入。

Microsoft Azure 登入

  1. 在「管理 Azure Active Directory」中,按一下檢視

檢視管理 Azure Active Directory

  1. 在左側導覽窗格中,按一下角色和系統管理員

角色和系統管理員

  1. 搜尋全域讀取者角色。

搜尋全域讀取者

  1. 按一下全域讀取者角色。

選擇全域讀取者角色

  1. 按一下左上角的 + 新增指派

新增指派

  1. 從右側 的「新增指派 」面板中,搜尋 Netskope 應用程式用戶端 ID 2038fb3d-092b-4c35-9ae6-3f10adb04a6a

搜尋 Netskope 應用程式用戶端 ID

  1. 選取 Netskope 安全性評估應用程式,然後按一下 新增

選取 Netskope 安全性評估

為 SharePoint 用戶端物件模型 (CSOM) API 新增 SharePoint 管理員權限

  1. 在網頁瀏覽器中,前往 https://[TENANT]-admin.sharepoint.com/_layouts/15/appinv.aspx。
注意:[TENANT] = 貴公司的 SharePoint 網域名稱
  1. 使用您的全域系統管理員帳戶登入。
  2. 「應用程式 ID」中,填入 2038fb3d-092b-4c35-9ae6-3f10adb04a6a ,然後按下 “查找”。
注意:在按一下查詢時,「標題」欄位會自動填入 Netskope 安全性評估,亦會填入「應用程式 Id」。

查詢

  1. 「應用程式網域」中,填入 netskope.com

應用程式網域

  1. 權限要求 XML下,填入下列 XML 程式碼:
<AppPermissionRequests
AllowAppOnlyPolicy="true"><AppPermissionRequest
Scope="http://sharepoint/content/tenant"
Right="FullControl" /></AppPermissionRequests>

權限要求 XML

  1. 按一下建立

建立按鈕

  1. 檢閱權限,然後按一下信任

檢閱權限,然後按一下「信任它」

注意:這會建立 Netskope 安全評估應用程式存取 SharePoint CSOM API 所需的應用程式許可權。
  1. 在網頁瀏覽器中,前往 Netskope Web 主控台:
    • 美國資料中心:https://[TENANT].goskope.com/
    • 歐盟資料中心:https://[TENANT].eu.goskope.com/
    • 法蘭克福資料中心: https://[TENANT].de.goskope.com/
注意:[TENANT] = 環境中的租戶名稱
  1. 登入 Netskope Web 主控台。

Netskope Web 主控台

  1. 按一下原則

原則

  1. 在「原則」中,按一下安全狀態

安全狀態

注意:「安全狀態」頁面會顯示為 SaaS 應用程式所配置的原則清單。

欄位包括:

  • 原則名稱:原則名稱。
  • 例項:定義原則的例項名稱。
  • 簡介:與原則相關聯的設定檔清單。
  • 上次編輯:上次編輯原則的時間戳記。

您可以編輯、還原、停用、複製和刪除原則。單擊策略條目右側的 「更多 選項」圖示 (...),然後選擇以下選項之一:

  • 編輯:選取此選項時,您可以編輯原則。
  • 停用:選取此選項時,Netskope 會停用原則,並停止掃描原則。
  • 複製:選取此選項時,Netskope 會建立原則的副本。
  • 刪除:選取此選項時,Netskope 會刪除原則。

在原則表中,您可以選取多個原則並執行下列工作:

  • 停用:選取此選項時,Netskope 會停用原則,並停止掃描原則。
  • 還原:選取此選項時,Netskope 會將還原原則最後套用的變更。
  • 刪除:選取此選項時,Netskope 會刪除原則。

如果您刪除原則,掃描會在下一次掃描間隔停止。現有的掃描會持續執行,直到完成為止。

  1. 按一下新原則以建立安全狀態原則。

「新原則」按鈕
新安全狀態原則

  1. 從「 新的安全狀態原則 」頁面中,按一下 例項 ,然後選取 Microsoft 365

選取例項

注意:根據預設,會選取「Instance = All」。如果只想為環境中的特定 Microsoft 365 實例創建策略,請按兩下“實例 = 全部 ”框,然後按兩下要分析的特定實例上的複選框。
  1. 在“配置檔 和操作”中,按兩下 配置檔”,然後選擇 “配置檔 ”評估。

選取設定檔

  1. 您也可以選取不同的動作

選取不同的動作

注意:按一下顯示規則即可顯示哪些規則會套用至所選的設定檔。
  1. 填入原則名稱

原則名稱

注意:原則名稱不能包含下列字元: ' " ! @ # $ % ^ & * ( ) { } \ / ; ? = + . , : |
  1. 或者,請按一下 + 原則說明,然後填入原則說明。

原則說明

  1. 或者,按一下 + 電子郵件通知,以設定原則的電子郵件通知警示。

電子郵件通知

  1. 根據預設,狀態設定為「已停用」。按一下滑杆,將原則設為已啟用

啟用狀態

  1. 按一下右上角的儲存

儲存

  1. 在「安全狀態」頁面中,按一下套用變更,以開始執行新建立的原則。

套用變更

  1. 填入關於套用之變更的備註,然後按一下套用

填入備註

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Additional Information

 

Videos

 

Affected Products

Netskope
Article Properties
Article Number: 000189369
Article Type: How To
Last Modified: 16 Feb 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.