Настройка Microsoft 365 для Netskope Security Posture Management

Summary: Узнайте, как настроить Netskope Security Posture Management для Microsoft 365, следуя этим пошаговым инструкциям.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Microsoft 365 — это динамическая инфраструктура, и ее необходимо постоянно отслеживать на предмет ошибок в конфигурациях и уязвимостей. Netskope позволяет получить четкое представление о средствах обеспечения безопасности ПО как услуги (SaaS). Администраторы могут увидеть, как инфраструктура работает в соответствии со стандартами и передовыми подходами, такими как эталонные тесты Center for Internet Security (CIS).

Затронутые продукты:

  • Netskope
  • Microsoft 365

Затронутые версии:

  • Netskope выпуска 86 и выше

Microsoft 365 — это облачный сервис, объединяющий лучшие в своем классе приложения Office 365 для продуктивной работы с расширенными возможностями управления устройствами, интеллектуальной безопасностью и инновационными онлайн-сервисами. Если обнаружены нарушения, они определяются как критические, высокие, средние или низкие. Простой способ мониторинга и создания отчетов о безопасности инфраструктуры Microsoft 365 позволяет администраторам создавать отчеты для аудиторов. После этого администраторы могут быстро устранить недостатки, используя рекомендованные инструкции.

Администратор может настроить экземпляр Microsoft 365 для средства обеспечения безопасности или настроить политику Microsoft 365 для средства обеспечения безопасности. Для получения дополнительной информации выберите соответствующий процесс.

В данных инструкциях по установке описывается интеграция учетной записи Microsoft 365 с Netskope. Операция включает четыре процесса:

  1. Настройка клиента SharePoint, чтобы разрешить проверку подлинности пользовательского приложения
  2. Предоставление доступа к учетной записи Microsoft 365
  3. Добавление ролей Azure AD
  4. Добавление разрешений администратора SharePoint для API-интерфейса модели CSOM на стороне клиента SharePoint

Для получения дополнительной информации выберите соответствующий процесс.

Примечание.: Netskope требует минимального набора лицензий Microsoft 365 для сканирования инфраструктуры Microsoft 365. Поддерживаются следующие лицензии:
  • Microsoft 365 A3, A5
  • Microsoft 365 E3, E5
  • Microsoft 365 F1, F3

Netskope также может поддерживать другие лицензии Microsoft 365, если для Microsoft Intune и Azure Active Directory Premium P1 Edition получены дополнительные лицензии.

Настройка клиента SharePoint, чтобы разрешить проверку подлинности пользовательского приложения

При первой настройке экземпляра Microsoft 365 для новой учетной записи Microsoft 365 может потребоваться включение пользовательской проверки подлинности приложения для пользователя SharePoint. По умолчанию Microsoft отключает приложения, использующие токен доступа только для приложений Azure Access Control (ACS).

Примечание.: Следующие действия выполняются на устройстве с ОС Windows.
  1. Установите последнюю версию PowerShell на компьютер с ОС Windows.
Примечание.: Инструкции по получению последней версии PowerShell см. в разделе Установка PowerShell в Windows (https://docs.microsoft.com/powershell/scripting/install/installing-powershell-core-on-windows?view=powershell-7 Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.).
  1. Нажмите правой кнопкой мыши кнопку Windows «Пуск» и выберите пункт Выполнить.

Выполнить

  1. В пользовательском интерфейсе «Выполнить» введите powershell затем нажмите клавиши CTRL+SHIFT+ENTER. При этом запускается PowerShell с правами администратора.

Выполнение команды в пользовательском интерфейсе «Выполнить»

  1. Введите Install-Module -Name Microsoft.Online.Sharepoint.PowerShell и нажмите клавишу Enter.

Установка модуля

  1. Если вы получили предупреждение о ненадежном репозитории ("Вы устанавливаете модули из недоверенного репозитория. Если вы доверяете этому репозиторию, измените его значение InstallationPolicy, выполнив команду Set-PSRepository Командлет. Действительно установить модули из «PSGallery'?»), введите Y , а затем нажмите клавишу Enter , чтобы установить модуль. В противном случае перейдите к шагу 6.

Предупреждение о ненадежном репозитории

  1. После завершения установки пакета PowerShell на экране появляется строка с мерцающим курсором. Введите $adminUPN=”[GLOBALADMINUPN]” и затем нажмите клавишу Enter.

Ввод имени участника-пользователя администратора

Примечание.:
  • [GLOBALADMINUPN] = полное имя участника-пользователя учетной записи глобального администратора
  • Пример. admin@testdomain.onmicrosoft.com
  1. Введите $orgName="[365DOMAINNAME]” и затем нажмите клавишу Enter.

Ввод названия организации

Примечание.:
  • [365DOMAINNAME] = название вашей организации Microsoft 365
  • Пример. testdomain
  1. Введите $userCredential=Get-Credential -UserName $adminUPN -Message "Type the password” и затем нажмите клавишу Enter.

Ввод учетных данных пользователя

  1. При появлении диалогового окна с запросом учетных данных Windows PowerShell введите пароль для учетной записи глобального администратора, указанной в шаге 6.

Ввод пароля

  1. Введите Connect-SPOService -Url https://$orgName-admin.sharepoint.com и затем нажмите клавишу Enter.

Подключение к службе SharePoint Online

  1. Может появиться запрос на вход в учетную запись. Если появится запрос, введите информацию для входа в качестве глобального администратора. Если нет, перейдите к шагу 12.

Экран входа в Microsoft

  1. После входа в систему в пустой командной строке PowerShell введите Get-SPOTenant и затем нажмите клавишу Enter.

Ввод команды «Получение пользователя SharePoint Online»

  1. Найдите параметр DisableCustomAppAuthentication . Если установлено значение «True», перейдите к шагу 14. Если установлено значение «False», перейдите в раздел Предоставление доступа к учетной записи Microsoft 365.

Расположение параметра DisableCustomAppAuthentication в PowerShell

Примечание.: Если вы не видите значок DisableCustomAppAuthentication параметр, тип Install-Module -Name Microsoft.Online.Sharepoint.PowerShell -Force и вернитесь к шагу 2.
  1. Введите Set-SPOTenant -DisableCustomAppAuthentication $false и затем нажмите клавишу Enter.

Ввод «Set SharePoint Online»

  1. Введите Get-SPOTenant , а затем подтвердите DisableCustomAppAuthentication теперь установлено в значение False.

Проверка того, что параметр DisableCustomAppAuthentication имеет значение false в PowerShell

Предоставление доступа к учетной записи Microsoft 365

Внимание! Для успешного предоставления доступа к учетной записи Microsoft 365 необходимо создать оценку безопасности (Майкрософт). Если учетная запись Microsoft 365 настроена недавно, создание оценки безопасности (Майкрософт) для учетной записи Microsoft 365 может занять от 2 до 4 дней. Netskope SSPM содержит данные оценки безопасности (Майкрософт) и требует создания отчета о безопасности. Если вы не видите заполненных данных на панели управления пользовательского интерфейса Netskope (API Data Protection>COMPLIANCE >Security Posture), дождитесь создания отчета Microsoft Secure Score. Оценку безопасности (Майкрософт) можно просмотреть на портале Azure в разделе Azure AD Identity Secure Score.
  1. В браузере перейдите к веб-консоли Netskope:
    • Центр обработки данных в США: https://[TENANT].goskope.com/
    • Центр обработки данных в Европейском Союзе: https://[TENANT].eu.goskope.com/
    • Центр обработки данных во Франкфурте: https://[TENANT].de.goskope.com/
Примечание.: [TENANT] = имя пользователя в вашей инфраструктуре.
  1. Войдите в веб-консоль Netskope.

Вход в веб-консоль Netskope

  1. Нажмите Параметры.

Settings

  1. Нажмите API-enabled Protection.

API-enabled Protection

  1. Нажмите SaaS.

SaaS

  1. Нажмите на значок Microsoft 365.

Microsoft 365

  1. Нажмите Setup Instance.

Setup Instance

  1. В меню «Setup Instance » выполните следующие действия.
    1. Заполните поле Instance Name.
    2. Выберите Security Posture для типа экземпляра.
    3. Выберите временной интервал для применения политики.
    4. Нажмите Save.

Запрос на настройку экземпляра

Примечание.:
  • Instance Name должно быть полным доменным именем (FQDN) учетной записи Microsoft 365. Например, если для входа в Microsoft 365 используется https://domain.sharepoint.com, то domain.sharepoint.com — Instance Name.
  • Чтобы найти FQDN учетной записи Microsoft 365, войдите в учетную запись Microsoft 365. Затем нажмите значок запуска, выберите приложение SharePoint и скопируйте текст FQDN. Удалите https://, косую черту в конце пути FQDN и все, что находится после этой косой черты.
  • Если Security Posture недоступно или отключено, обратитесь в службу поддержки Dell за помощью во включении этой функции. Дополнительную информацию можно найти в статье как получить поддержку для Netskope.
  1. В экземпляре SaaS Microsoft 365 нажмите Grant Access для вновь созданного экземпляра приложения.

Grant Access

  1. Выполните вход с помощью имени пользователя и пароля глобального администратора.
  2. Примите разрешения для оценки безопасности Netskope.

Принять разрешения

  1. Нажмите Закрыть.

Close

Примечание.: В экземпляре приложения Microsoft 365 теперь используются новые API-интерфейсы Graph от Microsoft.
  1. Обновите браузер и убедитесь, что рядом с именем экземпляра отображается зеленый значок галочки.

Зеленый значок галочки

Добавление ролей Azure AD

После предоставления доступа к приложению Microsoft 365 необходимо назначить идентификатор клиента приложения Netskope роли Global Reader.

  1. В браузере перейдите в раздел https://portal.azure.comЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies..
  2. Войдите в систему в качестве глобального администратора

Вход в Microsoft Azure

  1. В разделе «Manage Azure Active Directory» нажмите View.

Manage Azure Active Directory > View

  1. На левой навигационной панели нажмите Roles and administrators.

Roles and administrators

  1. Найдите роль Global Reader.

Поиск Global Reader

  1. Выберите роль Global Reader.

Выбор роли Global Reader

  1. Нажмите + Add assignments в левом верхнем углу.

Add assignments

  1. На панели Add assignments справа выполните поиск Netskope application client ID 2038fb3d-092b-4c35-9ae6-3f10adb04a6a.

Поиск идентификатора клиента приложения Netskope

  1. Выберите приложение Netskope Security Assessment и нажмите кнопку Add.

Выбор Netskope Security Assessment

Добавление разрешений администратора SharePoint для API-интерфейса модели CSOM на стороне клиента SharePoint

  1. В браузере перейдите по адресу https://[TENANT]-admin.sharepoint.com/_layouts/15/appinv.aspx.
Примечание.: [TENANT] = имя домена SharePoint вашей компании
  1. Войдите в систему с помощью учетной записи глобального администратора.
  2. В поле App Id введите 2038fb3d-092b-4c35-9ae6-3f10adb04a6a , а затем нажмите кнопку Найти.
Примечание.: При нажатии кнопки Lookup с заполненным идентификатором приложения в поле заголовка автоматически вводится Netskope Security Assessment.

Lookup

  1. В поле App Domain введите netskope.com.

App Domain

  1. В поле Permission Request XML введите следующий XML-код:
<AppPermissionRequests
AllowAppOnlyPolicy="true"><AppPermissionRequest
Scope="http://sharepoint/content/tenant"
Right="FullControl" /></AppPermissionRequests>

Permission Request XML

  1. Нажмите Create.

Кнопка «Создать»

  1. Просмотрите разрешения и нажмите Trust It.

Просмотр разрешений и нажатие кнопки «Доверять»

Примечание.: Это создает разрешения для приложения Netskope Security Assessment, необходимые для доступа к API-интерфейсам SharePoint CSOM.
  1. В браузере перейдите к веб-консоли Netskope:
    • Центр обработки данных в США: https://[TENANT].goskope.com/
    • Центр обработки данных в Европейском Союзе: https://[TENANT].eu.goskope.com/
    • Центр обработки данных во Франкфурте: https://[TENANT].de.goskope.com/
Примечание.: [TENANT] = имя пользователя в вашей инфраструктуре.
  1. Войдите в веб-консоль Netskope.

Веб-консоль Netskope

  1. Нажмите Policies.

Политики

  1. В разделе «Policies» нажмите Security Posture.

Security Posture

Примечание.: На странице «Security Posture» отображается список политик, настроенных для приложений SaaS.

Отображаются следующие поля::

  • Имя политики: Имя политики.
  • Инстанс: Имя экземпляра, для которого определена политика.
  • Профиль: Список профилей, связанных с политикой.
  • Последнее изменение: Временная отметка последней отредактированной политики.

Политику можно редактировать, возвращать, отключать, клонировать и удалять. Нажмите значок More Options (...) справа от записи политики и выберите один из следующих вариантов.

  • Редактировать: При выборе этого параметра можно изменить политику.
  • Отключить: При выборе этого параметра Netskope отключает политику и останавливает поиск политики.
  • Клонирование: При выборе этого параметра Netskope создает дубликат политики.
  • Удалить: При выборе этого параметра Netskope удаляет политику.

В таблице политик можно выбрать несколько политик и выполнить следующие задачи.

  • Отключить: При выборе этого параметра Netskope отключает политику и останавливает поиск политики.
  • Откат: При выборе этого параметра Netskope возвращает политику к последним примененным изменениям.
  • Удалить: При выборе этого параметра Netskope удаляет политику.

При удалении политики сканирование закончится на следующем интервале сканирования. Существующее сканирование будет выполняться до его завершения.

  1. Нажмите New Policy, чтобы создать политику средства обеспечения безопасности.

Кнопка «New Policy»
Новая политика средства обеспечения безопасности

  1. На странице New Security Posture Policy нажмите Instances и выберите Microsoft 365.

Выбор экземпляра

Примечание.: По умолчанию выбран параметр «Instance = All». Если требуется создать политику только для определенного экземпляра Microsoft 365 в среде, установите флажок « Instance = All », а затем установите флажок для конкретного экземпляра, который требуется проанализировать.
  1. В разделе «Profile & Action» нажмите Profile и выберите Profile assessment.

Выбор профиля

  1. При необходимости выберите другое действие.

Выбор другого действия

Примечание.: При нажатии кнопки Show Rules отображаются правила, применяемые к выбранному профилю.
  1. Заполните поле Policy Name.

Policy Name

Примечание.: Имя политики не может содержать следующие символы: ' " ! @ # $ % ^ & * ( ) { } \ / ; ? = + . , : |
  1. При необходимости нажмите +POLICY DESCRIPTION и введите описание политики.

Описание политики

  1. При необходимости нажмите +EMAIL NOTIFICATION, чтобы настроить уведомления по электронной почте для политики.

Уведомление по электронной почте

  1. По умолчанию для параметра Status установлено значение «Disabled». Нажмите на ползунок, чтобы установить для политики значение Enabled.

Состояние «Enabled»

  1. Нажмите Save в правом верхнем углу.

Save

  1. На странице «Security Posture» нажмите Apply Changes, чтобы начать применение новой политики.

Apply Changes

  1. Заполните заметку о примененных изменениях и нажмите Apply.

Заполнение заметки

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Additional Information

 

Videos

 

Affected Products

Netskope
Article Properties
Article Number: 000189369
Article Type: How To
Last Modified: 16 Feb 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.