Konfigurieren von Microsoft 365 für Netskope Security Posture Management

Summary: Erfahren Sie, wie Sie Netskope Security Posture Management for Microsoft 365 konfigurieren, indem Sie diese Schritt-für-Schritt-Anleitung befolgen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Microsoft 365 ist eine dynamische Umgebung und muss kontinuierlich auf Fehlkonfigurationen und Sicherheitslücken hin überwacht werden. Mit Netskope erhalten Sie ein klares Verständnis Ihres SaaS-Sicherheitsstatus (Software as a Service). AdministratorInnen können sehen, wie die Umgebung mit Standards und Best Practices wie CIS-Benchmarks (Center for Internet Security) abschneidet.

Betroffene Produkte:

  • Netskope
  • Microsoft 365

Betroffene Versionen:

  • Netskope-Version 86 und höher

Microsoft 365 ist ein Cloud-basierter Service, der erstklassige Produktivitätsanwendungen von Office 365 mit erweitertem Gerätemanagement, intelligenter Sicherheit und innovativen Onlineservices vereint. Wenn Verstöße gefunden werden, wird das Risiko dieser Elemente als kritisch, hoch, mittel oder niedrig identifiziert. Mit einer einfachen Möglichkeit, die Sicherheit der Microsoft 365-Umgebung zu überwachen und Berichte zu erstellen, können AdministratorInnen einen Bericht für Überprüfungen erstellen. AdministratorInnen können aufgedeckte Lücken mithilfe von empfohlenen Anleitungen schnell beheben und schließen.

Ein Administrator kann eine Microsoft 365-Instanz für den Sicherheitsstatus konfigurieren oder die Microsoft 365-Sicherheitsstatuspolicy konfigurieren. Klicken Sie für weitere Informationen auf das entsprechende Verfahren.

In diesen Installationsanweisungen wird beschrieben, wie Sie Ihr Microsoft 365-Konto in Netskope integrieren. Es gibt vier Prozesse, die beteiligt sind:

  1. Konfigurieren des SharePoint-Mandanten zum Zulassen der benutzerdefinierten App-Authentifizierung
  2. Zugriff auf Microsoft 365-Konto gewähren
  3. Hinzufügen von Azure AD-Rollen
  4. Hinzufügen von SharePoint-Administratorberechtigungen für die API des clientseitigen SharePoint-Objektmodells (CSOM)

Klicken Sie für weitere Informationen auf das entsprechende Verfahren.

Hinweis: Netskope erfordert einen Mindestsatz von Microsoft 365-Lizenzen, um Ihre Microsoft 365-Umgebung zu scannen. Die folgenden Lizenzen werden unterstützt:
  • Microsoft 365 A3, A5
  • Microsoft 365 E3, E5
  • Microsoft 365 F1, F3

Netskope kann auch andere Microsoft 365-Lizenzen unterstützen, wenn zusätzliche Lizenzen für Microsoft Intune und Azure Active Directory Premium P1 Edition erworben werden.

Konfigurieren des SharePoint-Mandanten zum Zulassen der benutzerdefinierten App-Authentifizierung

Wenn Sie die Microsoft 365-Instanz zum ersten Mal auf einem neuen Microsoft 365-Konto einrichten, ist möglicherweise die Aktivierung der benutzerdefinierten App-Authentifizierung für Ihren SharePoint-Mandanten erforderlich. Microsoft deaktiviert Apps standardmäßig mit einem ACS-Zugriffstoken (Azure Access Control).

Hinweis: Die folgenden Schritte werden auf einem Windows-Gerät durchgeführt.
  1. Installieren Sie die neueste Version von PowerShell auf einem Windows-Computer.
Hinweis: Informationen zum Abrufen der neuesten Version von PowerShell finden Sie unter Installieren von PowerShell unter Windows (https://docs.microsoft.com/powershell/scripting/install/installing-powershell-core-on-windows?view=powershell-7 Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.).
  1. Klicken Sie mit der rechten Maustaste auf die Windows-Schaltfläche Start und wählen Sie Ausführen aus.

Führen Sie

  1. Geben Sie in der Benutzeroberfläche powershell und drücken Sie dann STRG+UMSCHALT+EINGABETASTE. Dadurch wird PowerShell als Administrator ausgeführt.

Ausführen des Befehls in der Benutzeroberfläche

  1. Geben Sie Install-Module -Name Microsoft.Online.Sharepoint.PowerShell ein und drücken Sie die Eingabetaste.

Installieren des Moduls

  1. Wenn Sie vor einem nicht vertrauenswürdigen Repository gewarnt werden ("Sie installieren die Module von einem nicht vertrauenswürdigen Repository. Wenn Sie diesem Repository vertrauen, ändern Sie seinen InstallationPolicy-Wert, indem Sie den Befehl Set-PSRepository Cmdlet. Möchten Sie die Module von 'PSGallery'?"), geben Sie Y und drücken Sie dann die Eingabetaste , um das Modul zu installieren. Andernfalls fahren Sie mit Schritt 6 fort.

Warnung vor nicht vertrauenswürdigem Repository

  1. Sobald PowerShell die Paketinstallation abgeschlossen hat, blinkt die Cursorzeile. Geben Sie $adminUPN=”[GLOBALADMINUPN]” ein, und drücken Sie anschließend die Eingabetaste.

Eingeben des Admin-UPN

Hinweis:
  • [GLOBALADMINUPN] = vollständiger UPN des globalen Administratorkontos
  • Zum Beispiel: admin@testdomain.onmicrosoft.com
  1. Geben Sie $orgName="[365DOMAINNAME]” ein, und drücken Sie anschließend die Eingabetaste.

Eingeben des Organisationsnamens

Hinweis:
  • [365DOMAINNAME] = der Name Ihrer Microsoft 365-Organisation
  • Zum Beispiel: testdomain
  1. Geben Sie $userCredential=Get-Credential -UserName $adminUPN -Message "Type the password” ein, und drücken Sie anschließend die Eingabetaste.

Eingeben von Nutzeranmeldeinformationen

  1. Wenn Sie im Dialogfeld „Windows PowerShell Credential Request“ dazu aufgefordert werden, geben Sie das Kennwort für das globale Administratorkonto ein, das Sie in Schritt 6 eingegeben haben.

Eingeben des Kennworts

  1. Geben Sie Connect-SPOService -Url https://$orgName-admin.sharepoint.com ein, und drücken Sie anschließend die Eingabetaste.

Herstellen einer Verbindung mit dem SharePoint Online-Dienst

  1. Sie werden möglicherweise aufgefordert, sich bei Ihrem Konto anzumelden. Wenn Sie dazu aufgefordert werden, geben Sie Ihre globalen Administrator-Anmeldeinformationen an. Falls nicht, fahren Sie mit Schritt 12 fort.

Microsoft-Anmeldebildschirm

  1. Geben Sie nach der Anmeldung über die leere PowerShell-Eingabeaufforderung Folgendes ein Get-SPOTenant ein, und drücken Sie anschließend die Eingabetaste.

Geben Sie SharePoint Online-Mandant abrufen ein.

  1. Machen Sie den Parameter DisableCustomAppAuthentication ausfindig. Wenn er auf „True“ festgelegt ist, fahren Sie mit Schritt 14 fort. Wenn er auf „False“ eingestellt ist, gehen Sie zu Zugriff auf das Microsoft 365-Konto gewähren.

Suchen des Parameters DisableCustomAppAuthentication in PowerShell

Hinweis: Wenn das Symbol DisableCustomAppAuthentication parameter, Typ Install-Module -Name Microsoft.Online.Sharepoint.PowerShell -Force und kehren Sie dann zu Schritt 2 zurück.
  1. Geben Sie Set-SPOTenant -DisableCustomAppAuthentication $false ein, und drücken Sie anschließend die Eingabetaste.

SharePoint Online-Mandant festlegen

  1. Geben Sie Get-SPOTenant und dann bestätigen DisableCustomAppAuthentication ist jetzt auf False gesetzt.

Bestätigen, dass der Parameter DisableCustomAppAuthentication in PowerShell

Zugriff auf Microsoft 365-Konto gewähren

Achtung: Eine Microsoft-Sicherheitsbewertung muss erzeugt werden, um den Zugriff auf das Microsoft 365-Konto erfolgreich zu gewähren. Wenn Sie Ihr Microsoft 365-Konto neu eingerichtet haben, kann es 2 bis 4 Tage dauern, die Microsoft-Sicherheitsbewertung für Ihr Microsoft 365-Konto zu erzeugen. Netskope SSPM integriert Daten der Microsoft-Sicherheitsbewertung und erfordert, dass der Sicherheitsbewertungsbericht erzeugt wird. Wenn im Dashboard der Netskope-Benutzeroberfläche (API Data Protection>COMPLIANCE >Security Posture) keine Daten angezeigt werden, warten Sie, bis der Microsoft-Sicherheitsbewertungsbericht generiert wurde. Sie können die Microsoft-Sicherheitsbewertung auf Ihrem Azure-Portal unter Azure AD Identity Secure Score anzeigen.
  1. Navigieren Sie in einem Webbrowser zur Netskope-Webkonsole:
    • Rechenzentrum in den USA: https://[TENANT].goskope.com/
    • Rechenzentrum in der EU: https://[TENANT].eu.goskope.com/
    • Rechenzentrum in Frankfurt: https://[TENANT].de.goskope.com/
Hinweis: [TENANT] = der Mandantenname in Ihrer Umgebung.
  1. Melden Sie sich an bei der Netskope-Webkonsole.

Anmeldung an der Netskope-Webkonsole

  1. Klicken Sie auf Einstellungen.

Einstellungen

  1. Klicken Sie auf API-enabled Protection.

API-gestützter Schutz

  1. Klicken Sie auf SaaS.

SaaS

  1. Klicken Sie auf das Microsoft 365-Symbol.

Microsoft 365

  1. Klicken Sie auf Setup Instance.

Instanz einrichten

  1. In der Eingabeaufforderung Setup Instance :
    1. Geben Sie den Instance Name ein.
    2. Wählen Sie Security Posture als Instanztyp aus.
    3. Wählen Sie ein Zeitintervall für die Ausführung der Policy aus.
    4. Klicken Sie auf Save.

Eingabeaufforderung „Setup Instance“

Hinweis:
  • Der Instance Name sollte der vollständig qualifizierte Domainname (FQDN) Ihres Microsoft 365-Kontos sein. Wenn Sie beispielsweise https://domain.sharepoint.com verwenden, um sich bei Microsoft 365 anzumelden, ist domain.sharepoint.com der Instance Name.
  • Um den vollständig qualifizierten Domainnamen Ihres Microsoft 365-Kontos zu finden, melden Sie sich bei Ihrem Microsoft 365-Konto an. Klicken Sie von dort aus auf das Startsymbol, klicken Sie auf die SharePoint-App und kopieren Sie dann den FQDN-Text. Entfernen Sie https://, den Schrägstrich am Ende des FQDN-Pfads und alles, was diesem Schrägstrich nachgestellt ist.
  • Wenn Security Posture nicht verfügbar oder deaktiviert ist, wenden Sie sich an den Dell Support, um Unterstützung bei der Aktivierung dieser Funktion zu erhalten. Weitere Informationen finden Sie unter Support für Netskope erhalten.
  1. Klicken Sie in der SaaS Microsoft 365-Instanz auf Grant Access für die neu erstellte Anwendungsinstanz.

Zugriff gewähren

  1. Melden Sie sich mit Ihrem globalen Administratornutzernamen und -kennwort an.
  2. Akzeptieren Sie die Berechtigungen für Netskope Security Assessment.

Berechtigungen akzeptieren

  1. Klicken Sie auf Schließen.

Schließen

Hinweis: Die Microsoft 365-Anwendungsinstanz verwendet jetzt die neuen Graph APIs von Microsoft.
  1. Aktualisieren Sie Ihren Browser und vergewissern Sie sich, dass neben dem Instanzennamen ein grünes Häkchen angezeigt wird.

Grünes Häkchen-Symbol

Hinzufügen von Azure AD-Rollen

Nachdem Sie den Zugriff auf die Microsoft 365-App gewährt haben, sollten Sie der Client-ID der Netskope-Anwendung die Rolle "Globaler Leser" zuweisen.

  1. Navigieren Sie in einem Webbrowser zu https://portal.azure.comDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies..
  2. Melden Sie sich als globaler Administrator an.

Microsoft Azure-Anmeldung

  1. Klicken Sie unter „Manage Azure Active Directory“ auf Anzeigen.

Anzeigen von Manage Azure Active Directory

  1. Klicken Sie im linken Navigationsbereich auf Rollen und Administratoren.

Rollen und Administratoren

  1. Suchen Sie nach der Rolle Globaler Leser.

Nach Globaler Leser suchen

  1. Klicken Sie auf die Rolle Globaler Leser.

Auswählen der Rolle

  1. Klicken Sie oben links auf + Zuweisungen hinzufügen.

Zuweisungen hinzufügen

  1. Suchen Sie im Bereich "Zuweisungen hinzufügen " auf der rechten Seite nach der Client-ID der Netskope-Anwendung 2038fb3d-092b-4c35-9ae6-3f10adb04a6a.

Suchen nach Netskope-Anwendungsclient-ID

  1. Wählen Sie die App Netskope Security Assessment aus und klicken Sie dann auf Hinzufügen.

Auswählen von Netskope Security Assessment

Hinzufügen von SharePoint-Administratorberechtigungen für die API des clientseitigen SharePoint-Objektmodells (CSOM)

  1. Navigieren Sie in einem Webbrowser zu https://[MANDANT]-admin.sharepoint.com/_layouts/15/appinv.aspx.
Hinweis: [MANDANT] = Der SharePoint-Domänenname Ihres Unternehmens
  1. Melden Sie sich mit Ihrem globalen Administratorkonto an.
  2. Geben Sie in der App-ID Folgendes ein: 2038fb3d-092b-4c35-9ae6-3f10adb04a6a und klicken Sie dann auf Nachschlagen.
Hinweis: Das Titelfeld wird automatisch mit Netskope Security Assessment ausgefüllt, wenn Sie auf Nachschlagen klicken und die App-ID eingetragen haben.

Suche nach

  1. Geben Sie in der App-Domänenetskope.com ein.

App-Domäne

  1. Geben Sie unter Berechtigungsanforderungs-XML den folgenden XML-Code ein:
<AppPermissionRequests
AllowAppOnlyPolicy="true"><AppPermissionRequest
Scope="http://sharepoint/content/tenant"
Right="FullControl" /></AppPermissionRequests>

Berechtigungsanforderungs-XML

  1. Klicken Sie auf Erstellen.

Schaltfläche

  1. Überprüfen Sie die Berechtigungen und klicken Sie dann auf Vertrauen.

Überprüfen von Berechtigungen und Klicken auf Vertrauen

Hinweis: Dadurch werden die App-Berechtigungen erstellt, die für den Zugriff auf die SharePoint-CSOM-APIs für die Netskope Security Assessment-App erforderlich sind.
  1. Navigieren Sie in einem Webbrowser zur Netskope-Webkonsole:
    • Rechenzentrum in den USA: https://[TENANT].goskope.com/
    • Rechenzentrum in der EU: https://[TENANT].eu.goskope.com/
    • Rechenzentrum in Frankfurt: https://[TENANT].de.goskope.com/
Hinweis: [TENANT] = der Mandantenname in Ihrer Umgebung.
  1. Melden Sie sich an bei der Netskope-Webkonsole.

Netskope-Webkonsole

  1. Klicken Sie auf Policys.

Richtlinien

  1. Klicken Sie unter „Policies“ auf Security Posture.

Sicherheitsstatus

Hinweis: Die „Security Posture“ zeigt eine Liste der Policys an, die für die SaaS-Anwendungen konfiguriert sind.

Die Felder sind:

  • Policy-Name: Name der Policy.
  • Instanz: Name der Instanz, für die die Policy definiert ist.
  • Steckbrief: Liste der Profile, die der Policy zugeordnet sind.
  • Letzte Änderung: Zeitstempel der letzten Bearbeitung der Policy.

Sie können eine Richtlinie bearbeiten, zurücksetzen, deaktivieren, klonen und löschen. Klicken Sie auf das Symbol More Options (...) rechts neben dem Policy-Eintrag und wählen Sie eine der folgenden Optionen aus:

  • Bearbeiten: Wenn Sie diese Option auswählen, können Sie die Richtlinie bearbeiten.
  • Deaktivieren: Bei Auswahl dieser Option deaktiviert Netskope die Policy und stoppt den Scan für die Policy.
  • Klonen: Wenn Sie die Option auswählen, erstellt Netskope eine duplizierte Kopie der Policy.
  • Löschen: Bei Auswahl dieser Option löscht Netskope die Policy.

In der Policy-Tabelle können Sie mehrere Policys auswählen und die folgenden Aufgaben ausführen:

  • Deaktivieren: Bei Auswahl dieser Option deaktiviert Netskope die Policy und stoppt den Scan für die Policy.
  • Zurücksetzen: Bei Auswahl dieser Option setzt Netskope die Policy auf die zuletzt angewendete Änderung zurück.
  • Löschen: Bei Auswahl dieser Option löscht Netskope die Policy.

Wenn Sie eine Policy löschen, wird das Scannen beim nächsten Scanintervall beendet. Der aktuelle Scan wird weiterhin ausgeführt, bis er abgeschlossen ist.

  1. Klicken Sie auf New Policy, um eine Sicherheitsstatusspolicy zu erstellen.

Schaltfläche
Neue Sicherheitsstatuspolicy

  1. Klicken Sie auf der Seite New Security Posture Policy auf Instances und wählen Sie dann Microsoft 365 aus.

Auswählen einer Instanz

Hinweis: Standardmäßig ist „Instance = All“ ausgewählt. Wenn Sie nur eine Policy für eine bestimmte Microsoft 365-Instanz in Ihrer Umgebung erstellen möchten, klicken Sie in das Kontrollkästchen Instance = All und dann auf das Kontrollkästchen für die spezifische Instanz, die Sie analysieren möchten.
  1. Klicken Sie unter "Profil und Aktion" auf "Profil" und wählen Sie dann eine Profilbewertung aus.

Auswählen eines Profils

  1. Wählen Sie optional eine andere Action aus.

Auswählen einer anderen Aktion

Hinweis: Durch Klicken auf Show Rules wird angezeigt, welche Regeln auf das ausgewählte Profil angewendet werden.
  1. Geben Sie einen Richtliniennamen ein.

Policy-Name

Hinweis: Der Policy-Name darf die folgenden Zeichen nicht enthalten: ' " ! @ # $ % ^ & * ( ) { } \ / ; ? = + . , : |
  1. Klicken Sie optional auf +POLICY DESCRIPTION und geben Sie dann eine Policybeschreibung ein.

Policybeschreibung

  1. Klicken Sie optional auf +EMAIL NOTIFICATION, um E-Mail-Benachrichtigungswarnmeldungen für die Policy zu konfigurieren.

E-Mail-Benachrichtigung

  1. Standardmäßig ist der Status auf Disabled gesetzt. Klicken Sie auf den Schieberegler, um die Policy auf Enabled festzulegen.

Status aktivieren

  1. Klicken Sie oben rechts auf Speichern.

Speichern

  1. Klicken Sie auf der Seite Security Posture auf Apply Changes, um mit der Durchsetzung der neu erstellten Policy zu beginnen.

Apply Changes

  1. Geben Sie einen Hinweis zu den Änderungen ein, die angewendet werden, und klicken Sie dann auf Apply.

Hinweis eingeben

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Additional Information

 

Videos

 

Affected Products

Netskope
Article Properties
Article Number: 000189369
Article Type: How To
Last Modified: 16 Feb 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.