Microsoft 365をNetskope Security Posture Management用に構成する方法

Summary: 次の手順に従って、Microsoft 365のNetskope Security Posture管理を設定する方法について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Microsoft 365は動的な環境であり、設定ミスや脆弱性を継続的に監視する必要があります。Netskopeを使用すると、ソフトウェア アズ ア サービス(SaaS)のセキュリティ体制を明確に把握できます。管理者は、Center for Internet Security (CIS)ベンチマークなどの標準およびベスト プラクティスに対して環境がどのように実行されているかを確認できます。

対象製品:

  • Netskope
  • Microsoft 365

影響を受けるバージョン:

  • Netskopeリリース86以降

Microsoft 365は、高度なデバイス管理、インテリジェントなセキュリティ、および革新的なオンライン サービスを備え、Office 365のクラス最高の生産性アプリケーションを統合するクラウドベースのサービスです。違反が見つかった場合、アイテムは重大、高、中、低として特定されます。Microsoft 365環境のセキュリティを簡単に監視およびレポートできるため、管理者は監査向けのレポートを実行できます。管理者は、推奨されるガイダンスを使用して、見つかったギャップを迅速に修復して対処できます。

管理者は、Microsoft 365インスタンスをセキュリティ体制用に構成するか、またはMicrosoft 365セキュリティ体制ポリシーを構成することができます。詳細については、該当する処理をクリックしてください。

これらのインストール手順では、Microsoft 365アカウントをNetskopeに統合する方法について説明します。関連するプロセスは4つあります。

  1. SharePointテナントをカスタム アプリ認証を許可するように構成する
  2. Microsoft 365アカウントにアクセス許可を付与する
  3. Azure ADロールを追加する
  4. SharePointクライアント側オブジェクト モデル(CSOM) APIにSharePoint管理者権限を追加する

詳細については、該当する処理をクリックしてください。

注:Netskopeでは、Microsoft 365環境をスキャンするために、Microsoft 365ライセンスの最小セットが必要です。次のライセンスがサポートされています。
  • Microsoft 365 A3、A5
  • Microsoft 365 E3、E5
  • Microsoft 365 F1、F3

Netskopeは、Microsoft IntuneおよびAzure Active Directory Premium P1エディション用に追加のライセンスを取得した場合、他のMicrosoft 365ライセンスもサポートできます。

SharePointテナントをカスタム アプリ認証を許可するように構成する

新しいMicrosoft 365アカウントでMicrosoft 365インスタンスを初めてセットアップする場合は、SharePointテナントでカスタム アプリ認証を有効にする必要がある場合があります。Microsoftは、デフォルトでAzure Access Control (ACS)アプリ専用アクセス トークンを使用してアプリを無効にします。

注:次の手順は、Windowsデバイスで実行されます。
  1. Windowsコンピューターに最新バージョンのPowerShellをインストールします。
注:PowerShellの最新バージョンを入手する方法については、「WindowsへのPowerShellのインストール(https://docs.microsoft.com/powershell/scripting/install/installing-powershell-core-on-windows?view=powershell-7 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。)」を参照してください。
  1. Windowsの[スタート]メニューを右クリックして、[ファイル名を指定して実行]を選択します。

実行

  1. [ファイル名を指定して実行]のUIで、 powershell をクリックし、Ctrl + Shift + Enter キーを押します。これにより、管理者としてPowerShellが実行されます。

[ファイル名を指定して実行]UIでのコマンドの実行

  1. コマンド Install-Module -Name Microsoft.Online.Sharepoint.PowerShell と入力してEnterを押します。

モジュールのインストール

  1. 信頼されていないリポジトリに関する警告が表示された場合 (「信頼されていないリポジトリからモジュールをインストールしています。このリポジトリーを信頼する場合は、次のコマンドを実行してInstallationPolicy値を変更します。 Set-PSRepository コマンドレット。「」からモジュールをインストールしてもよろしいですか?PSGallery'?")、次のように入力します Y 次に、 Enter キーを押してモジュールをインストールします。それ以外の場合は、手順6に進みます。

信頼されていないリポジトリーに関する警告

  1. PowerShellがパッケージのインストールを完了すると、カーソル行が点滅します。コマンド $adminUPN=”[GLOBALADMINUPN]” 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

admin UPNの入力

注:
  • [GLOBALADMINUPN] = グローバル管理者アカウントの完全なUPN
  • 例: admin@testdomain.onmicrosoft.com
  1. コマンド $orgName="[365DOMAINNAME]” 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

組織名の入力

注:
  • [365DOMAINNAME] = Microsoft 365 組織の名前
  • 例: testdomain
  1. コマンド $userCredential=Get-Credential -UserName $adminUPN -Message "Type the password” 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

ユーザー資格情報の入力

  1. Windows PowerShell認証情報リクエスト ダイアログ ボックスが表示されたら、手順6で入力したグローバル管理者アカウントのパスワードを入力します。

パスワードの入力

  1. コマンド Connect-SPOService -Url https://$orgName-admin.sharepoint.com 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

SharePoint Online サービスの接続

  1. アカウントにサインインするように求められる場合があります。プロンプトが表示されたら、グローバル管理者のログイン情報を入力します。表示されない場合は、手順12に進みます。

Microsoftサインイン画面

  1. ログインしたら、空のPowerShellコマンド プロンプトで、次のように入力します。 Get-SPOTenant 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

「Get SharePoint Online tenant」と入力します

  1. パラメーターに DisableCustomAppAuthentication を設定します。それがTrueに設定されている場合は、手順14に進みます。Falseに設定されている場合は、「Microsoft 365アカウントにアクセス許可を付与する」に移動します。

PowerShell で DisableCustomAppAuthentication パラメーターを見つける

注:[ DisableCustomAppAuthentication パラメータ、型 Install-Module -Name Microsoft.Online.Sharepoint.PowerShell -Force コマンドを実行し、手順 2 に戻ります。
  1. コマンド Set-SPOTenant -DisableCustomAppAuthentication $false 「CertUtil -hashfile [FILENAME] SHA256」と入力して、Enterを押します。

「SharePoint Online テナントの設定」と入力します

  1. コマンド Get-SPOTenant をクリックし、確認します DisableCustomAppAuthentication が False に設定されました。

PowerShell で DisableCustomAppAuthentication パラメーターが false であることを確認する

Microsoft 365アカウントにアクセス許可を付与する

注意:Microsoft 365アカウントにアクセス許可を正常に付与するには、Microsoftセキュア スコアを生成する必要があります。Microsoft 365アカウントを新しく設定した場合、そのMicrosoft 365アカウントのMicrosoftセキュア スコア レポートの生成に2~4日かかる場合があります。Netskope SSPMは、Microsoftセキュア スコアからデータを取り込み、セキュア スコア レポートを生成する必要があります。Netskope UIダッシュボード(APIデータ保護>コンプライアンス >セキュリティ体制)にデータが入力されていない場合は、Microsoftセキュア スコア レポートが生成されるまで待ちます。Azureポータルの[Azure AD Identity Secure Score]でMicrosoftセキュア スコアを確認できます。
  1. Webブラウザーで、Netskope Webコンソールに移動します。
    • 米国データセンター:https://[TENANT].goskope.com/
    • 欧州連合データセンター:https://[TENANT].eu.goskope.com/
    • フランクフルト データセンター:https://[TENANT].de.goskope.com/
注:[TENANT] = お使いの環境内のテナント名
  1. Netskope Webコンソールにログインします。

Netskope Webコンソールへのログイン

  1. 「Settings(設定)」をクリックします。

設定

  1. API-enabled Protection]をクリックします。

API-enabled Protection

  1. SaaS]をクリックします。

SaaS

  1. Microsoft 365アイコンをクリックします。

Microsoft 365

  1. Setup Instance]をクリックします。

インスタンスをセットアップする

  1. [Setup Instance]プロンプトで、次の手順を実行します。
    1. Instance Name]にインスタンス名を入力します。
    2. [Instance Type]で[Security Posture]を選択します。
    3. ポリシーを実行する時間間隔を選択します。
    4. Save(保存)」をクリックします。

[Setup Instance]プロンプト

注:
  • インスタンス名は、Microsoft 365アカウントの完全修飾ドメイン名(FQDN)である必要があります。例えば、https://domain.sharepoint.comを使用してMicrosoft 365にログインする場合、domain.sharepoint.comがインスタンス名です。
  • Microsoft 365アカウントのFQDNを見つけるには、Microsoft 365アカウントにログインします。そこから起動アイコンをクリックし、SharePointアプリをクリックして、FQDNテキストをコピーします。https://、FQDNパス末尾のスラッシュ、およびそのスラッシュの後に続くものはすべて削除します。
  • Security Posture]が使用できない、または無効になっている場合は、この機能を有効にする方法についてDellサポートにお問い合わせください。詳細については、「Netskopeのサポートを受ける方法」を参照してください。
  1. SaaS Microsoft 365インスタンスから、新しく作成したアプリ インスタンスに対して[Grant Access]をクリックします。

アクセス許可の付与

  1. グローバル管理者のユーザー名とパスワードでログインします。
  2. Netskope Security Assessmentへの許可を承認します

許可の承認

  1. [閉じる]をクリックします。

閉じる

注:Microsoft 365アプリ インスタンスは、Microsoftの新しいGraph APIを使用するようになりました。
  1. ブラウザーを更新し、インスタンス名の横に緑色のチェック アイコンがあることを確認します。

緑色のチェック アイコン

Azure ADロールを追加する

Microsoft 365アプリへのアクセス権を付与したら、NetskopeアプリケーションのクライアントIDをグローバル閲覧者ロールに割り当てる必要があります。

  1. Webブラウザーで、[ https://portal.azure.comこのハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。]に移動します。
  2. グローバル管理者としてログインします。

Microsoft Azureサインイン

  1. [Manage Azure Active Directory]で、[View]をクリックします。

[Manage Azure Active Directory]の[View]

  1. 左側のナビゲーション ペインで、[Roles and administrators]をクリックします。

[Roles and administrators]

  1. Global Reader]ロールを検索します。

Global Readerの検索

  1. Global Reader]ロールをクリックします。

グローバル閲覧者の役割の選択

  1. 左上の[+ Add assignments]をクリックします。

[Add assignments]

  1. 右側の[ 割り当ての追加 ]パネルで、Netskopeアプリケーション クライアントIDを検索します 2038fb3d-092b-4c35-9ae6-3f10adb04a6aに戻ります。

Netskopeアプリケーション クライアントIDの検索

  1. Netskope Security Assessment]アプリを選択し、[Add]をクリックします。

[Netskope Security Assessment]の選択

SharePointクライアント側オブジェクト モデル(CSOM) APIにSharePoint管理者権限を追加する

  1. Webブラウザーで、https://[TENANT]-admin.sharepoint.com/_layouts/15/appinv.aspxに移動します。
注:[TENANT] = 会社のSharePointドメイン名
  1. グローバル管理者アカウントでログインします。
  2. [App Id]に 2038fb3d-092b-4c35-9ae6-3f10adb04a6a をクリックし、[ ルックアップ] をクリックします。
注:アプリケーションIDを入力して[Lookup]をクリックすると、[Title]フィールドに「Netskope Security Assessment」と自動的に入力されます。

検索

  1. [App Domain]に netskope.com を入力します。

[App Domain]

  1. Permission Request XML]に、次のXMLコードを入力します。
<AppPermissionRequests
AllowAppOnlyPolicy="true"><AppPermissionRequest
Scope="http://sharepoint/content/tenant"
Right="FullControl" /></AppPermissionRequests>

[Permission Request XML]

  1. [作成]をクリックします。

[作成] ボタン

  1. 権限を確認し、[Trust It]をクリックします。

権限を確認して[信頼]をクリックする

注:これにより、Netskope Security AssessmentアプリがSharePoint CSOM APIにアクセスするために必要なアプリケーション権限が作成されます。
  1. Webブラウザーで、Netskope Webコンソールに移動します。
    • 米国データセンター:https://[TENANT].goskope.com/
    • 欧州連合データセンター:https://[TENANT].eu.goskope.com/
    • フランクフルト データセンター:https://[TENANT].de.goskope.com/
注:[TENANT] = お使いの環境内のテナント名
  1. Netskope Webコンソールにログインします。

Netskope Webコンソール

  1. Policies]をクリックします。

Policies

  1. [Policies]で、[Security Posture]をクリックします。

[Security Posture]

注:[Security Posture]ページには、SaaSアプリ用に構成されたポリシーのリストが表示されます。

フィールドは次のとおりです。

  • ポリシー名: ポリシーの名前。
  • インスタンス: ポリシーが定義されているインスタンスの名前。
  • プロフィール: ポリシーに関連付けられているプロファイルのリスト。
  • 最終編集: 最後に編集されたポリシーのタイム スタンプ。

ポリシーを編集、復元、無効化、クローン作成、削除できます。ポリシー エントリーの右側にある [その他の オプション]アイコン(...)をクリックし、次のいずれかのオプションを選択します。

  • 編集: このオプションを選択すると、ポリシーを編集できます。
  • 無効にする: このオプションを選択すると、Netskopeはポリシーを無効にし、ポリシーのスキャンを停止します。
  • クローン: オプションを選択すると、Netskopeはポリシーの複製コピーを作成します。
  • 削除: このオプションを選択すると、Netskopeはポリシーを削除します。

ポリシー テーブルでは、複数のポリシーを選択し、次のタスクを実行できます。

  • 無効にする: このオプションを選択すると、Netskopeはポリシーを無効にし、ポリシーのスキャンを停止します。
  • 元に戻す: このオプションを選択すると、Netskopeはポリシーを最後に適用された変更に戻します。
  • 削除: このオプションを選択すると、Netskopeはポリシーを削除します。

ポリシーを削除すると、スキャンは次のスキャン間隔で停止します。既存のスキャンは、完了するまで引き続き実行されます。

  1. New Policy]をクリックして、セキュリティ体制ポリシーを作成します。

[New Policy]ボタン
新しいセキュリティ体制ポリシー

  1. [新しいセキュリティ態勢ポリシー] ページで、[インスタンス] をクリックし、[Microsoft 365] を選択します。

インスタンスの選択

注:デフォルトでは、[Instance = All]が選択されています。環境内の特定の Microsoft 365 インスタンスのポリシーのみを作成する場合は、 [インスタンス = すべて ] ボックスをクリックし、分析する特定のインスタンスのチェック ボックスをオンにします。
  1. 「プロファイルとアクション」で、「プロファイル」をクリックし、「プロファイル評価」を選択します。

プロファイルの選択

  1. 必要に応じて、別の[Action]を選択します。

別のアクションの選択

注:Show Rules]をクリックすると、選択したプロファイルに適用されるルールが表示されます。
  1. [Policy Name(ポリシー名)]を入力します。

ポリシー名

注:ポリシー名に次の文字を含めることはできません。 ' " ! @ # $ % ^ & * ( ) { } \ / ; ? = + . , : |
  1. 必要に応じて、[+POLICY DESCRIPTION]をクリックし、ポリシーの説明を入力します。

[Policy Description]

  1. 必要に応じて、[+EMAIL NOTIFICATION]をクリックして、ポリシーに関するメール通知アラートを設定します。

Eメール通知

  1. デフォルトでは、[Status]は[Disabled]に設定されています。スライダーをクリックして、ポリシーを[Enabled]に設定します。

[Status]の有効化

  1. 右上にある[保存]をクリックします。

保存

  1. [Security Posture]ページで[Apply Changes]をクリックして、新しく作成されたポリシーの適用を開始します。

Apply Changes

  1. 適用する変更に関するメモを入力し、[Apply]をクリックします。

メモの入力

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Additional Information

 

Videos

 

Affected Products

Netskope
Article Properties
Article Number: 000189369
Article Type: How To
Last Modified: 16 Feb 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.