如何为 Netskope 安全态势管理配置 Microsoft 365

Summary: 按照这些分步说明了解如何为 Microsoft 365 配置 Netskope 安全态势管理。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Microsoft 365 是一个动态环境,必须持续监控它是否存在错误配置和漏洞。借助 Netskope,您可以清晰地了解您的软件即服务 (SaaS) 安全态势。管理员可以对比 Center for Internet Security (CIS) 基准等标准和最佳实践,了解环境的运行情况。

受影响的产品:

  • Netskope
  • Microsoft 365

受影响的版本:

  • Netskope 86 及更高版本

Microsoft 365 是一项云服务,它将 Office 365 中出色的生产力应用程序与高级设备管理、智能安全和创新的在线服务集中在一起。如果发现违规,则会将相关项目标识为严重、高、中或低。管理员能够以简单的方式监视和报告 Microsoft 365 环境的安全性,可以运行报告供审核人员查看。然后,管理员可以根据建议快速修复和解决发现的漏洞。

管理员可以针对安全态势配置 Microsoft 365 实例配置 Microsoft 365 安全态势策略。要了解更多信息,请单击相应的过程。

以下安装说明介绍了如何将 Microsoft 365 帐户与 Netskope 集成。其中涉及四个流程:

  1. 配置 SharePoint 租户以允许自定义应用程序身份验证
  2. 授予 Microsoft 365 帐户的访问权限
  3. 添加 Azure AD 角色
  4. 为 SharePoint Client-side Object Model (CSOM) API 添加 SharePoint 管理员权限

要了解更多信息,请单击相应的过程。

提醒:Netskope 需要一些 Microsoft 365 许可证,以扫描您的 Microsoft 365 环境。支持以下许可证:
  • Microsoft 365 A3、A5
  • Microsoft 365 E3、E5
  • Microsoft 365 F1、F3

如果为 Microsoft Intune 和 Azure Active Directory Premium P1 版本获取其他许可证,Netskope 也可以支持其他 Microsoft 365 许可证。

配置 SharePoint 租户以允许自定义应用程序身份验证

如果您是首次在新的 Microsoft 365 帐户中设置 Microsoft 365 实例,则可能需要为您的 SharePoint 租户启用自定义应用程序身份验证。默认情况下,Microsoft 使用 Azure Access Control (ACS) 仅限应用程序的访问令牌来禁用应用。

提醒:以下步骤在 Windows 设备上执行。
  1. 在 Windows 计算机上安装最新版本的 PowerShell。
提醒:有关如何获取最新版本的 PowerShell,请参阅在 Windows 上安装 Powershell (https://docs.microsoft.com/powershell/scripting/install/installing-powershell-core-on-windows?view=powershell-7 此超链接会将您带往 Dell Technologies 之外的网站。)。
  1. 右键单击 Windows 开始菜单,然后选择运行

运行

  1. 在“运行”UI中,键入 powershell ,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行 PowerShell。

在“运行”UI 中运行命令

  1. 键入 Install-Module -Name Microsoft.Online.Sharepoint.PowerShell 然后按 Enter

安装模块

  1. 如果您收到有关不受信任存储库的警告(“您正在从不受信任的存储库安装模块。如果您信任此存储库,请通过运行 Set-PSRepository Cmdlet。是否确定要从'PSGallery'?“),键入 Y ,然后按 Enter 键 安装模块。否则,请转至步骤 6。

“不受信任的存储库”警告

  1. PowerShell 完成软件包安装后,光标行会闪烁。键入 $adminUPN=”[GLOBALADMINUPN]” 然后按 Enter。

键入管理员 UPN

提醒:
  • [GLOBALADMINUPN] = 全局管理员帐户的完整 UPN
  • 例如: admin@testdomain.onmicrosoft.com
  1. 键入 $orgName="[365DOMAINNAME]” 然后按 Enter。

键入组织名称

提醒:
  • [365DOMAINNAME] = Microsoft 365 组织的名称
  • 例如: testdomain
  1. 键入 $userCredential=Get-Credential -UserName $adminUPN -Message "Type the password” 然后按 Enter。

键入用户凭据

  1. 出现 Windows PowerShell 凭据请求对话框提示时,键入您在步骤 6 中输入的全局管理员帐户的密码。

键入密码

  1. 键入 Connect-SPOService -Url https://$orgName-admin.sharepoint.com 然后按 Enter。

连接 SharePoint Online 服务

  1. 系统可能会提示您登录您的帐户。如果出现提示,请提供您的全局管理员登录信息。如果没有,请转至步骤 12。

Microsoft 登录屏幕

  1. 登录后,在空的 PowerShell 命令提示符处键入 Get-SPOTenant 然后按 Enter。

键入“获取 SharePoint Online 租户”

  1. 找到 DisableCustomAppAuthentication 参数。如果设置为 True,请转至步骤 14。如果设置为 False,请转至授予 Microsoft 365 帐户的访问权限

在 PowerShell 中找到 DisableCustomAppAuthentication 参数

提醒:如果您没有看到 DisableCustomAppAuthentication 参数, 类型 Install-Module -Name Microsoft.Online.Sharepoint.PowerShell -Force 命令,然后返回步骤 2。
  1. 键入 Set-SPOTenant -DisableCustomAppAuthentication $false 然后按 Enter。

键入设置 SharePoint Online 租户

  1. 键入 Get-SPOTenant ,然后确认 DisableCustomAppAuthentication 现在设置为 False。

在 PowerShell 中确认 DisableCustomAppAuthentication 参数为 false

授予 Microsoft 365 帐户的访问权限

注意:必须生成 Microsoft 安全功能分数才能成功授予 Microsoft 365 帐户的访问权限。如果您新设置了 Microsoft 365 帐户,则可能需要 2 到 4 天才能为您的 Microsoft 365 帐户生成 Microsoft 安全功能分数报告。Netskope SSPM 包含来自 Microsoft 安全功能分数的数据,并要求生成安全功能分数报告。如果您在 Netskope UI 仪表板(API Data Protection>COMPLIANCE >安全 态势)中看到未填充任何数据,请等待 Microsoft 安全功能分数报告生成。您可以在 Azure 门户的 Azure AD Identity Secure Score 下查看 Microsoft 安全功能分数。
  1. 在网页浏览器中,导航到 Netskope Web 控制台:
    • 美国数据中心:https://[TENANT].goskope.com/
    • 欧盟数据中心:https://[TENANT].eu.goskope.com/
    • 法兰克福数据中心:https://[TENANT].de.goskope.com/
提醒:[TENANT] = 您的环境中的租户名称
  1. 登录到 Netskope Web 控制台。

Netskope Web 控制台登录

  1. 单击设置

设置

  1. 单击 API-enabled Protection

启用 API 的保护

  1. 单击 SaaS

Saas

  1. 单击 Microsoft 365 图标。

Microsoft 365

  1. 单击 Setup Instance

设置实例

  1. “Setup Instance ”提示符中:
    1. 填充实例名称
    2. 对于“Instance Type”,选择 Security Posture
    3. 选择策略运行的时间间隔。
    4. 单击 Save

“Setup Instance”提示

提醒:
  • 实例名称应为您的 Microsoft 365 帐户的完全限定域名 (FQDN)。例如,如果您使用 https://domain.sharepoint.com 登录到 Microsoft 365,则 domain.sharepoint.com 为实例名称
  • 要查找 Microsoft 365 帐户的 FQDN,请登录您的 Microsoft 365 帐户。登录后,单击启动图标,单击 SharePoint 应用程序,然后复制 FQDN 文本。去掉 https://、FQDN 路径末尾的斜线以及该斜线后面的所有内容。
  • 如果安全态势不可用或已禁用,请联系戴尔支持以帮助启用此功能。有关详细信息,请参阅如何获得对 Netskope 的支持
  1. 在 SaaS Microsoft 365 实例中,单击新创建的应用程序实例的 Grant Access

授予访问权限

  1. 使用全局管理员用户名和密码进行登录。
  2. 接受 Netskope 安全评估的权限。

接受权限

  1. 单击 Close

关闭

提醒:Microsoft 365 应用程序实例现在使用 Microsoft 的新 Graph API。
  1. 刷新浏览器并确认实例名称旁边有一个绿色的选中图标。

绿色选中图标

添加 Azure AD 角色

授予对 Microsoft 365 应用程序的访问权限后,您应将 Netskope 应用程序客户端 ID 分配给全局读取者角色。

  1. 在网页浏览器中,转至 https://portal.azure.com此超链接会将您带往 Dell Technologies 之外的网站。
  2. 以全局管理员身份登录。

Microsoft Azure 登录

  1. 在“Manage Azure Active Directory”中,单击 View

查看“Manage Azure Active Directory”

  1. 在左侧导航窗格中,单击 Roles and administrators

角色和管理员

  1. 搜索 Global Reader 角色。

搜索 Global Reader

  1. 单击 Global Reader 角色。

选择 Global Reader 角色

  1. 单击左上角 + Add assignments

添加分配

  1. 从右侧 的“添加分配 ”面板中,搜索 Netskope 应用程序客户端 ID 2038fb3d-092b-4c35-9ae6-3f10adb04a6a

搜索 Netskope 应用程序客户端 ID

  1. 选择 Netskope Security Assessment 应用程序,然后单击 Add

选择 Netskope Security Assessment

为 SharePoint Client-side Object Model (CSOM) API 添加 SharePoint 管理员权限

  1. 在网页浏览器中,转至 https://[TENANT]-admin.sharepoint.com/_layouts/15/appinv.aspx。
提醒:[TENANT] = 贵公司的 SharePoint 域名
  1. 使用您的全局管理员帐户登录。
  2. “App Id”中,填充 2038fb3d-092b-4c35-9ae6-3f10adb04a6a然后单击查找
提醒:在填充“App Id”并单击 Lookup 后,“Title”字段将自动填充 Netskope Security Assessment。

查找

  1. 应用程序域中,填充 netskope.com

应用程序域

  1. Permission Request XML 下,填充以下 XML 代码:
<AppPermissionRequests
AllowAppOnlyPolicy="true"><AppPermissionRequest
Scope="http://sharepoint/content/tenant"
Right="FullControl" /></AppPermissionRequests>

权限请求 XML

  1. 单击 Create

“Create”按钮

  1. 检视权限,然后单击 Trust It

查看权限并单击“信任”

提醒:这将创建 Netskope Security Assessment 应用程序访问 SharePoint CSOM API 所需的应用程序权限。
  1. 在网页浏览器中,导航到 Netskope Web 控制台:
    • 美国数据中心:https://[TENANT].goskope.com/
    • 欧盟数据中心:https://[TENANT].eu.goskope.com/
    • 法兰克福数据中心:https://[TENANT].de.goskope.com/
提醒:[TENANT] = 您的环境中的租户名称
  1. 登录到 Netskope Web 控制台。

Netskope Web 控制台

  1. 单击 Policies

策略

  1. 在“Policies”中,单击 Security Posture

安全态势

提醒:“Security Posture”页面显示为 SaaS 应用程序配置的策略列表。

字段包括:

  • 策略名称:策略的名称。
  • 实例:为其定义策略的实例的名称。
  • 简介:与策略关联的配置文件列表。
  • Last Edit:上一次编辑策略的时间戳。

您可以编辑、恢复、禁用、克隆和删除策略。单击策略条目右侧的 “更多 选项”图标 (...),然后选择以下选项之一:

  • 编辑:选择此选项时,您可以编辑策略。
  • 禁用:选择此选项时,Netskope 会禁用策略并停止扫描策略。
  • 克隆:选择此选项时,Netskope 会创建策略的副本。
  • 删除:选择此选项时,Netskope 会删除策略。

在策略表中,您可以选择多个策略并执行以下任务:

  • 禁用:选择此选项时,Netskope 会禁用策略并停止扫描策略。
  • 恢复:选择此选项时,Netskope 会将策略恢复为其最后应用的更改。
  • 删除:选择此选项时,Netskope 会删除策略。

如果删除策略,则扫描会在下一个扫描间隔时停止。现有扫描将继续运行,直至完成。

  1. 单击 New Policy 创建安全态势策略。

“New Policy”按钮
新建安全态势策略

  1. New Security Posture Policy 页面中,单击 Instances ,然后选择 Microsoft 365

选择一个实例

提醒:默认情况下,“Instance = All”处于选中状态。如果您只想为环境中的特定 Microsoft 365 实例创建策略,请单击 Instance = All 框,然后单击要分析的特定实例的复选框。
  1. “Profile & Action”中,单击 Profile,然后选择一个 Profile 评估。

选择一个配置文件

  1. (可选)选择其他操作

选择其他操作

提醒:单击 Show Rules 可显示哪些规则应用于所选配置文件。
  1. 填充策略名称

策略名称

提醒:策略名称不能包含以下字符: ' " ! @ # $ % ^ & * ( ) { } \ / ; ? = + . , : |
  1. (可选)单击 +POLICY DESCRIPTION,然后填充策略描述。

策略描述

  1. (可选)单击 +EMAIL NOTIFICATION 配置策略的电子邮件通知警报。

电子邮件通知

  1. 默认情况下,Status 设置为“Disabled”。单击滑块以将策略设置为 Enabled

启用状态

  1. 单击右上角的 Save

保存

  1. 在“Security Posture”页面中,单击 Apply Changes 以开始实施新创建的策略。

应用更改

  1. 填写有关要应用的更改的备注,然后单击 Apply

填写备注

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Additional Information

 

Videos

 

Affected Products

Netskope
Article Properties
Article Number: 000189369
Article Type: How To
Last Modified: 16 Feb 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.