共用方式為

瞭解安全性服務 Edge (SSE) 與 Microsoft 和 Netskope 共存

  • 發行項

Microsoft的 Security Service Edge 解決方案提供一組強大的功能,可提升Microsoft 365 產品的安全性和效能。 其中一些功能包括:

  • 防止數據移至不受信任的租使用者。
  • 在授與網路存取權之前,請先確認使用者和條件。
  • 當條件發生變化時,使用持續存取評估撤銷對 Microsoft 365 產品的存取權。
  • 利用來源IP還原,套用以位置為基礎的條件式存取、風險偵測和增強的活動記錄。
  • 保護Microsoft 365 個應用程式,以防止令牌滲透和匿名存取。

這些功能是 Microsoft Entra 網際網路存取服務專為 Microsoft 365 提供的獨特功能。 您可以將這些功能適用於 Microsoft 365,並同時使用 Netskope Security Service Edge(SSE)解決方案。 因此,您會利用這兩個平臺的健全功能集來提升您的 SSE 旅程。 這些平臺之間的協同效應可讓您獲得增強的安全性和順暢的連線能力。

本檔包含並存部署這兩個解決方案的步驟。 具體來說,Microsoft Entra 網路存取適用於 Microsoft 365 應用程式,例如 Exchange Online 和 SharePoint Online,而 Netskope SSE 用於所有其他網路流量。

組態概觀

在 Microsoft Entra 中,您可以啟用Microsoft 365 流量轉送配置檔,並停用因特網存取和私人存取流量轉送配置檔。 只會擷取 Microsoft 365 流量。 在 Netskope 中,您會擷取因特網存取流量,並排除Microsoft 365 流量。

注意

客戶端必須安裝在 Windows 10 或 Windows 11 的 Microsoft Entra 已加入裝置或 Microsoft Entra 混合加入裝置上。

Microsoft 365 組態的 Microsoft Entra 網際網路存取

為您的 Microsoft Entra 租戶啟用 Microsoft 365 流量轉送配置檔。 如需啟用和停用配置檔的詳細資訊,請參閱 全域安全存取流量轉送配置檔

在終端使用者裝置上安裝並設定全球安全存取客戶端。 如需用戶端的詳細資訊,請參閱 全域安全存取用戶端。 若要了解如何安裝 Windows 用戶端,請參閱適用於 Windows 的全球安全存取用戶端

Netskope 組態

建立網路位置設定檔,以略過 Microsoft 365 目的地 IP 位址以及 Microsoft SSE 服務 IP。

  1. 流覽至 [策略>配置檔>網絡位置>新增網絡位置>單一物件]。
  2. 新增路由,並將其儲存為 MSFT SSE Service150.171.19.0/24150.171.20.0/2413.107.232.0/2413.107.233.0/24150.171.15.0/24150.171.18.0/24、 。 151.206.0.0/166.6.0.0/16
  3. 重複步驟 1 和 2 以新增 Microsoft 365 IP,並將其儲存為 MSFT SSE M365132.245.0.0/16204.79.197.215/32150.171.32.0/22131.253.33.215/3223.103.160.0/2040.96.0.0/1352.96.0.0/1440.104.0.0/1513.107.128.0/2213.107.18.10/3113.107.6.152/3152.238.78.88/32104.47.0.0/1752.100.0.0/1440.107.0.0/1640.92.0.0/15150.171.40.0/2252.104.0.0/14104.146.128.0/1740.108.128.0/1713.107.136.0/2240.126.0.0/1820.231.128.0/1920.190.128.0/1820.20.32.0/19.

    注意

    稍後會新增其他Microsoft 365 流量。 如需 完整清單,請參閱 M365 URL 和 IP 位址範圍

  4. 流覽至 [原則>配置檔],然後選取畫面右上方的 [套用變更]。

建立轉向設定,以引導所有 Web 應用程式流量前往 Netskope,但 Microsoft 365 除外。

  1. 流覽至 設定>安全性雲端平臺>流量轉向>轉向設定>新組態
  2. 新增名稱,例如 MSFTSSEWebTraffic,並指派使用者群組或組織單位(OU)。
  3. 選取 Web 流量 作為要引導的流量類型。 讓設定保持為關閉,然後按一下 [ 儲存]。
  4. 流覽至 例外>新的例外>目的地位置 並選取新建立的配置。
  5. 在此例外狀況中,在目的地位置新增 MSFT SSE 服務和MSFT SSE M365
  6. 選取 [ 略過 ],並將 它視為本機 IP 位址 選項。
  7. 接下來,新增對 MSFT SSE 服務MSFT M365 網域的例外狀況。 選取 例外狀況>新增例外>網域,並新增下列例外狀況:*.globalsecureaccess.microsoft.com*.auth.microsoft.com*.msftidentity.com*.msidentity.com*.onmicrosoft.com*.outlook.com*.protection.outlook.com*.sharepoint.com*.sharepointonline.com*.svc.ms*.wns.windows.comaccount.activedirectory.windowsazure.comaccounts.accesscontrol.windows.netadmin.onedrive.comadminwebservice.microsoftonline.comapi.passwordreset.microsoftonline.comautologon.microsoftazuread-sso.combecws.microsoftonline.comccs.login.microsoftonline.comclientconfig.microsoftonline-p.netcompanymanager.microsoftonline.comdevice.login.microsoftonline.comg.live.comgraph.microsoft.comgraph.windows.netlogin-us.microsoftonline.comlogin.microsoft.comlogin.microsoftonline-p.comlogin.microsoftonline.comlogin.windows.netlogincert.microsoftonline.comloginex.microsoftonline.comnexus.microsoftonline-p.comofficeclient.microsoft.comoneclient.sfx.msoutlook.cloud.microsoftoutlook.office.comoutlook.office365.compasswordreset.microsoftonline.comprovisioningapi.microsoftonline.comspoprod-a.akamaihd.net
  8. 請確定 MSFT SSE 設定位於租用戶中導向組態清單的頂端。 然後啟用組態。

設定 Netskope 用戶端。 如需 Netskope 用戶端的詳細資訊,請參閱 https://docs.netskope.com/en/netskope-help/netskope-client

如需最基本的設定,請將您的電子郵件位址新增至 Netskope Security Cloud Platform。

  1. 流覽至 設定>安全性雲端平臺>Netskope 用戶端>使用者
  2. 新增使用者的電子郵件位址。 使用者會收到設定客戶端的電子郵件。
  3. 開啟系統匣,檢查全域安全存取和 Netskope 用戶端是否已啟用。
  4. 以滑鼠右鍵單擊 全域安全存取客戶端>進階診斷>轉發設定檔。 確認此用戶端僅套用 Microsoft 365 的規則。
  5. 請轉到進階診斷>健康檢查並確認所有檢查都正常。
  6. 以滑鼠右鍵單擊 Netskope 用戶端>客戶端設定。 在先前的步驟中,確認轉向設定與流量導向類型之組態匹配。 驗證組態是否為最新狀態或加以更新。

測試流量

Microsoft的 SSE 設定:啟用Microsoft 365 流量轉送配置檔、停用因特網存取和私人存取流量轉送配置檔。

Netskope SSE 設定:擷取因特網存取流量。 Microsoft 365 流量已排除。

  1. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 選取 流量 標籤,然後選取 開始收集
  2. 從瀏覽器存取這些網站: bing.comsalesforce.comInstagram.com
  3. 登入 Microsoft Entra 系統管理中心,並流覽至全域安全存取>>流量記錄。 請確認這些網站相關的流量是否遺失在全域安全存取流量記錄中。
  4. 登入 Netskope 雲端帳戶,並瀏覽至 Skope IT>事件>頁面事件。 驗證與這些網站相關的流量存在於 Netskope 記錄中。
  5. 存取 Outlook Online (、 outlook.comoutlook.office.com)、 SharePoint Online (outlook.office365.com<yourtenantdomain>.sharepoint.com) 並確認 Microsoft Entra 網際網路存取 Microsoft 365 存取設定檔正在擷取流量。 驗證「全域安全存取」流量記錄中的流量。
  6. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 在 [網络流量] 對話框中,選取 [ 停止收集]。
  7. 在 [網路流量] 對話框中,確認全域安全存取用戶端 只會 處理Microsoft 365 流量。
  8. 驗證在 Skope IT 的事件頁面事件中,Netskope 記錄中遺漏與 Outlook Online 和 SharePoint Online 相關的流量。

下一步