Сосуществование Security Service Edge (SSE) с Microsoft и Netskope

Обзор

В современном быстро развивающемся цифровом ландшафте организации требуют надежных и унифицированных решений для обеспечения безопасного и эффективного подключения. Корпорация Майкрософт и Netskope предлагают дополнительные возможности службы безопасного доступа (SASE), которые при интеграции обеспечивают расширенную безопасность и подключение для различных сценариев доступа.

В этом руководстве описывается, как настроить и развернуть решения Microsoft Entra вместе с предложениями Netskope Service Edge (SSE). Используя сильные стороны обеих платформ, вы можете оптимизировать состояние безопасности организации при сохранении высокопроизводительного подключения для частных приложений, трафика Microsoft 365 и доступа к Интернету.

1. Частный доступ Microsoft Entra с помощью Netskope Internet Access

В первом сценарии глобальный безопасный доступ обрабатывает трафик частных приложений. Netskope фиксирует только интернет-трафик.

2. Microsoft Entra Частный доступ с Netskope Private Access и Netskope Internet Access

Во втором сценарии оба клиента обрабатывают трафик для отдельных частных приложений. Глобальный безопасный доступ обрабатывает частные приложения в Частный доступ Microsoft Entra. Частные приложения в Netskope Private Access получают доступ через клиент Netskope. Netskope обрабатывает интернет-трафик.

3. Microsoft Entra Microsoft Access с помощью Netskope Private Access и Netskope Internet Access

В третьем сценарии глобальный безопасный доступ обрабатывает весь трафик Microsoft 365. Netskope обрабатывает частное приложение и интернет-трафик.

4. Интернет-доступ Microsoft Entra и Microsoft Entra Microsoft Access с Netskope Private Access

В четвертом сценарии глобальный безопасный доступ обрабатывает интернет и трафик Microsoft 365. Netskope фиксирует только трафик частных приложений.

Предпосылки

Чтобы настроить Microsoft и Netskope для единого решения SASE, начните с настройки Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra. Затем настройте Частный доступ Netskope и Доступ к Интернету. Наконец, обязательно установите требуемое полное доменное имя (FQDN) и обходы IP, чтобы обеспечить плавную интеграцию между двумя платформами.

1. Настройте Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra. Эти продукты составляют решение глобального безопасного доступа.
2. Настройка частного доступа Netskope и доступа к Интернету
3. Настройка обхода полного доменного имени (FQDN) и IP-адресов для глобального безопасного доступа

Глобальный безопасный доступ Майкрософт

Чтобы настроить глобальный безопасный доступ и протестировать все сценарии в этой документации:

1. Включите и отключите различные профили пересылки трафика Глобального безопасного доступа Майкрософт для клиента Microsoft Entra. Дополнительные сведения о включении и отключении профилей см. в разделе "Профили пересылки трафика глобального безопасного доступа".
2. Установите и настройте соединитель частной сети Microsoft Entra. Сведения о том, как установить и настроить соединитель, см. в разделе "Настройка соединителей".

   Замечание

   Соединители частной сети требуются для приложений Закрытого доступа Microsoft Entra.

3. Настройте быстрый доступ к вашим частным ресурсам, а также частные системы доменных имен (DNS) и суффиксы DNS. Сведения о настройке быстрого доступа см. в статье "Как настроить быстрый доступ".
4. Установите и настройте клиент Global Secure Access на устройствах конечных пользователей. Дополнительные сведения о клиентах см. в разделе "Глобальный безопасный доступ". Сведения о том, как установить клиент Windows, см. в статье "Глобальный безопасный доступ" для Windows. Сведения о macOS см. в разделе "Клиент глобального безопасного доступа" для macOS.

Netskope Private Access и Доступ к Интернету

1. Настройте частные приложения Netskope. Дополнительные сведения о настройке Netskope Private Access см. в документации по Netskope One Private Access .
2. Настройте конфигурации управления Netskope для частного и интернет-доступа. Дополнительные сведения о настройке Netskope см. в документации по управлению трафиком Netskope. Перечислены шаги по созданию необходимых конфигураций управления для каждого сценария.
3. Настройте и конфигурируйте политики защиты в режиме реального времени Netskope, чтобы разрешить доступ к личным приложениям. Дополнительные сведения см. в политике защиты Netskope в режиме реального времени для частных приложений.
4. Пригласите пользователей в Netskope и отправьте им сообщение электронной почты, содержащее ссылки на пакет установки клиента Netskope. Чтобы пригласить пользователей, перейдите на портал Netskope>Настройки>Платформа облачной безопасности>Пользователи.

Профили местоположения Netskope

Создайте профили расположения сети для обхода IP-адресов службы Microsoft SSE и IP-адресов назначения Microsoft 365.

Настройте политику Microsoft SSE Service.

1. Перейдите к разделу Политики>Профили>Сетевое расположение>Новое сетевое расположение>Один объект.
2. Добавьте маршруты и сохраните их как MSFT SSE Service:
   150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24150.171.15.0/24150.171.18.0/24151.206.0.0/166.6.0.0/16.

Настройте политику MSFT SSE M365.

• Повторите шаги 1 и 2, чтобы добавить IP-адреса Microsoft 365 и сохранить их как MSFT SSE M365:
  132.245.0.0/16, 204.79.197.215/32, 150.171.32.0/22, 131.253.33.215/32, 23.103.160.0/20, 40.96.0.0/13, 52.96.0.0/14, 40.104.0.0/15, 13.107.128.0/22, 13.107.18.10/31, 13.107.6.152/31, 52.238.78.88/32, 104.47.0.0/17, 52.100.0.0/14, 40.107.0.0/16, 40.92.0.0/15, 150.171.40.0/22, 52.104.0.0/14, 104.146.128.0/17, 40.108.128.0/17, 13.107.136.0/22, 40.126.0.0/18, 20.231.128.0/19, 20.190.128.0/18, 20.20.32.0/19

В конфигурациях управления используются профили MSFT SSE Service и MSFT SSE M365.

Частный доступ Microsoft Entra с помощью Netskope Internet Access

В этом сценарии глобальный безопасный доступ обрабатывает частный трафик приложений. Netskope фиксирует только интернет-трафик.

конфигурация Частный доступ Microsoft Entra

Для этого сценария:

1. Включите профиль пересылки приватного доступа Microsoft Entra.
2. Установите Коннектор Частной Сети для Частный доступ Microsoft Entra.
3. Настройте быстрый доступ и настройте частный DNS.
4. Установите и настройте клиент глобального безопасного доступа для Windows или macOS.

Конфигурация Netskope Internet Access

Конфигурация портала Netskope

1. Настройте и сконфигурируйте конфигурацию маршрутизации Netskope для управления веб-трафиком.
2. Установите клиент Netskope для Windows или macOS.

Добавление конфигурации управления для доступа к Интернету

1. Перейдите на портал Netskope, затем перейдите в раздел >Настройки>, выберите Security Cloud Platform>, затем Steering Configuration>, и создайте Новую конфигурацию.
2. Добавьте имя конфигурации, например MSFTSSEWebTraffic.
3. Выберите группу пользователей или организационную единицу, чтобы применить конфигурацию.
4. В разделе "Облако", "Веб-трафик" и "Брандмауэр>"
5. Обход трафика исключений на>Клиенте
6. В разделе "Частные приложения>" нет.
7. В разделе "Без границы" SD-WAN приложения>нет.
8. Установите состояние на Отключено и выберите Сохранить.
9. MSFTSSEWebTraffic Выберите >исключения>новое исключение>расположения назначения.
10. Выберите MSFT SSE Service (Инструкции по созданию этого объекта перечислены в разделе профилей Netskope).
11. Действие состоит в том, чтобы Обход> отметьте поле 'Обрабатывать как локальный IP-адрес'>Добавить.
12. Выберите Новое исключение>домены и добавьте исключение домена Global Secure Access: *.globalsecureaccess.microsoft.com >Сохранить
13. Убедитесь, что конфигурация MSFTSSEWebTraffic находится в верхней части списка управляющих конфигураций в вашем арендаторе. Затем включите конфигурацию.
14. Перейдите к системной области, чтобы проверить, включены ли клиенты Global Secure Access и Netskope.

Проверка конфигураций для клиентов

1. Щелкните правой кнопкой мыши на глобальном клиенте безопасного доступа, > и профиле переадресации, и убедитесь, что к этому клиенту применяются частный доступ и частные правила DNS.
2. Перейдите к расширенной диагностике>проверке работоспособности и убедитесь, что все проверки завершаются успешно.
3. Щелкните правой кнопкой мыши на клиенте Netskope>Конфигурация. Убедитесь, что конфигурация управления соответствует имени конфигурации. В противном случае выберите ссылку "Обновить ".

   Замечание

   Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок клиента глобального безопасного доступа".

Тестирование потока трафика

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузеров: bing.com, salesforce.com, Instagram.com.
3. В области уведомлений щелкните правой кнопкой мыши Global Secure Access Client и выберите Расширенная диагностика, вкладку >.
4. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик с этих веб-сайтов.
5. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Проверьте, отсутствует ли в журналах трафика глобального безопасного доступа информация о трафике, связанном с этими сайтами.
6. Войдите на портал Netskope и перейдите к Skope IT>Событиям и оповещениям>События страницы. Проверка трафика, связанного с этими сайтами присутствует в журналах Netskope.
7. Доступ к частному приложению, настроенном в Частный доступ Microsoft Entra. Например, доступ к общей папке через блок сообщений сервера (SMB).
8. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Убедитесь, что трафик, связанный с файловой системой с совместным доступом, фиксируется в журналах трафика глобального безопасного доступа.
9. Войдите на портал Netskope и перейдите к Skope IT>Событиям и Оповещениям>События сети. Убедитесь, что трафик, связанный с частным приложением, не присутствует в журналах трафика.
10. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне "Трафик" выберите "Остановить сбор".
11. Прокрутите страницу, чтобы подтвердить, что клиент Глобального безопасного доступа обрабатывает только частный трафик приложения.

Частный доступ Microsoft Entra вместе с Netskope Private Access и Netskope Internet Access

В этом сценарии оба клиента обрабатывают трафик для отдельных частных приложений. Клиент Global Secure Access обрабатывает частные приложения в Частный доступ Microsoft Entra, а клиент Netskope обрабатывает частные приложения в Netskope Private Access. Netskope обрабатывает интернет-трафик.

конфигурация Частный доступ Microsoft Entra

Для этого сценария:

1. Включите профиль пересылки приватного доступа Microsoft Entra.
2. Установите Коннектор Частной Сети для Частный доступ Microsoft Entra.
3. Настройте быстрый доступ и настройте частный DNS.
4. Установите и настройте клиент глобального безопасного доступа для Windows или macOS.

Конфигурация Netskope Private Access и Netskope Internet Access

На портале Netskope:

1. Настройте Netskope Steering Configuration для перенаправления веб-трафика и частных приложений.
2. Установите клиент Netskope для Windows или macOS.
3. Создайте политику защиты в режиме реального времени , чтобы разрешить доступ к частным приложениям.
4. Установите издатель Частного доступа Netskope.

Добавление конфигурации управления для доступа к Интернету и частных приложений

1. Перейдите на портал Netskope, затем перейдите в раздел >Настройки>, выберите Security Cloud Platform>, затем Steering Configuration>, и создайте Новую конфигурацию.
2. Добавьте имя конфигурации , например MSFTSSEWebAndPrivate.
3. Выберите группу пользователей или организационную единицу, чтобы применить конфигурацию.
4. В разделе "Облако", "Веб-трафик" и "Брандмауэр>"
5. Обход трафика исключений на>Клиенте
6. В разделе "Частные приложения" выберите "Конкретные частные приложения".
7. На следующей строке >Netskope будет>Steer
8. В разделе "Без границы" SD-WAN приложения>нет.
9. Установите состояние на Отключено и выберите Сохранить.
10. MSFTSSEWebAndPrivate Выберите >исключения>новое исключение>расположения назначения.
11. Выберите MSFT SSE Service (Инструкции по созданию этого объекта перечислены в разделе профилей Netskope).
12. Действие — Обход> установите флажок для обработки как локальный IP-адрес> Добавить.
13. Выберите новые> и добавьте исключение домена глобального безопасного доступа: *.globalsecureaccess.microsoft.com >Сохранить.
14. Выберите Добавить управляемый элемент.
15. Выберите частное приложение и выберите частные приложения для Netskope, чтобы управлять >.
16. Убедитесь, что конфигурация MSFTSSEWebAndPrivate находится в верхней части списка управляющих конфигураций в вашем арендаторе. Затем включите конфигурацию.

Добавление политики защиты частного приложения Netskope в режиме реального времени

1. Перейдите к порталу Netskope>Политики>Защита в режиме реального времени.
2. Выберите новыйдоступ к>приложениюполитики.
3. В источнике выберите "Пользователи", "Группы" или "Подразделения" , чтобы предоставить доступ.
4. Добавьте все необходимые критерии, например классификацию ОС или устройств.
5. В целевом> частном приложении выберите> приложения, чтобы разрешить доступ.
6. В Профиль и действие>Разрешить.
7. Присвойте политике имя, например Private Apps и поместите его в группу по умолчанию .
8. Установите Состояние в значение Включено.
9. Перейдите к системной области, чтобы проверить, включены ли клиенты Global Secure Access и Netskope.

Проверка конфигураций для клиентов

1. Щелкните правой кнопкой мыши на глобальном клиенте безопасного доступа, > и профиле переадресации, и убедитесь, что к этому клиенту применяются частный доступ и частные правила DNS.
2. Перейдите к расширенной диагностике>проверке работоспособности и убедитесь, что все проверки завершаются успешно.
3. Щелкните правой кнопкой мыши на клиенте Netskope>Конфигурация. Убедитесь, что конфигурация управления соответствует имени созданной конфигурации . В противном случае выберите ссылку "Обновить ".

   Замечание

   Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок клиента глобального безопасного доступа".

Тестирование потока трафика

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузеров: bing.com, salesforce.com, yelp.com.
3. В области уведомлений щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика, вкладка >.
4. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик с этих веб-сайтов.
5. Войдите в Центр администрирования Microsoft Entra и перейдите к Глобальному безопасному доступу>Монитор>Трафикажурналы. Проверьте, отсутствует ли в журналах трафика глобального безопасного доступа информация о трафике, связанном с этими сайтами.
6. Войдите на портал Netskope и перейдите к Skope IT>Событиям и оповещениям>События страницы. Проверка трафика, связанного с этими сайтами присутствует в журналах Netskope.
7. Доступ к частному приложению, настроенном в Частный доступ Microsoft Entra. Например, доступ к общей папке через SMB.
8. Доступ к частному приложению, настроенном в Netskope Private Access. Например, откройте сеанс RDP на частный сервер.
9. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика.
10. Убедитесь, что трафик, связанный с частным приложением для файлового обмена SMB, фиксируется, а трафик, связанный с сеансом RDP, не фиксируется в журналах трафика Глобального безопасного доступа.
11. Войдите на портал Netskope и перейдите к Skope IT>Событиям и Оповещениям>События сети. Проверьте, что трафик, связанный с сеансом RDP, присутствует, а трафик, связанный с файловым ресурсом SMB, отсутствует в журналах Netskope.
12. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне "Трафик" выберите "Остановить сбор".
13. Прокрутите страницу, чтобы подтвердить, что клиент Глобального безопасного доступа обрабатывал частный трафик приложения для общей папки SMB и не обрабатывал трафик сеанса RDP.

Microsoft Entra и Microsoft Access с Netskope Private Access и Netskope Internet Access

В этом сценарии глобальный безопасный доступ обрабатывает весь трафик Microsoft 365. Netskope Private Access обрабатывает трафик частных приложений, и Netskope Internet Access обрабатывает интернет-трафик.

Конфигурация Microsoft Entra и Microsoft Access

Для этого сценария:

1. Включите профиль пересылки Microsoft Entra для Microsoft Access.
2. Установите и настройте клиент глобального безопасного доступа для Windows или macOS.

Конфигурация Netskope Private Access и Netskope Internet Access

На портале Netskope:

1. Настройте Netskope Steering Configuration для перенаправления веб-трафика и частных приложений.
2. Установите клиент Netskope для Windows или macOS.
3. Создайте политику защиты в режиме реального времени , чтобы разрешить доступ к частным приложениям.
4. Установите издатель Частного доступа Netskope.

Добавление конфигурации управления для доступа к Интернету и частных приложений

1. Перейдите на портал Netskope, затем перейдите в раздел >Настройки>, выберите Security Cloud Platform>, затем Steering Configuration>, и создайте Новую конфигурацию.
2. Добавьте имя конфигурации , например MSFTSSEWebAndPrivate-NoM365.
3. Выберите группу пользователей или организационную единицу, чтобы применить конфигурацию.
4. В разделе «Облако, веб и брандмауэр»>веб-трафик.
5. Обход трафика исключений по адресу>Клиент.
6. В разделе "Частные приложения" выберите "Конкретные частные приложения".
7. На следующей строке >Netskope будет>направлять.
8. В разделе "Без границы" SD-WAN приложения>нет.
9. Установите состояние на Отключено и выберите Сохранить.
10. MSFTSSEWebAndPrivate-NoM365 Выберите конфигурацию >Исключения>Новое исключение>Места назначения> и MSFT SSE ServiceMSFT SSE M365 (Инструкции по созданию этого объекта перечислены в разделе профилей Netskope).
11. Выберите параметры "Обход" и "Рассматривать как локальный IP-адрес".
12. Выберите Исключения>Новое Исключение>Домены и добавьте следующие исключения: *.globalsecureaccess.microsoft.com, *.auth.microsoft.com, *.msftidentity.com, *.msidentity.com, *.onmicrosoft.com, *.outlook.com, *.protection.outlook.com, *.sharepoint.com, *.sharepointonline.com, *.svc.ms, *.wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net.
13. Выберите Добавить управляемый элемент>Частное приложение и выберите частные приложения для перенаправления в Netskope, затем нажмите >.
14. Убедитесь, что конфигурация MSFTSSEWebAndPrivate-NoM365 находится в верхней части списка управляющих конфигураций в вашем арендаторе. Затем включите конфигурацию.

Добавление политики защиты частного приложения Netskope в режиме реального времени

1. Перейдите к порталу Netskope>Политики>Защита в режиме реального времени.
2. Выберите новыйдоступ к>приложениюполитики.
3. В источнике выберите "Пользователи", "Группы" или "Подразделения" , чтобы предоставить доступ.
4. Добавьте все необходимые критерии, например классификацию ОС или устройств.
5. В целевом> частном приложении выберите> приложения, чтобы разрешить доступ.
6. В Профиль и действие>Разрешить.
7. Присвойте политике имя, например Private Apps и поместите его в группу по умолчанию .
8. Установите Состояние в значение Включено.
9. Перейдите к системной области, чтобы проверить, включены ли клиенты Global Secure Access и Netskope.

Проверка конфигураций для клиентов

1. Щелкните правой кнопкой мыши на клиенте Global Secure Access>расширенных диагностик>профиле переадресации и убедитесь, что к этому клиенту применяются только правила Microsoft 365.
2. Перейдите к расширенной диагностике>проверке работоспособности и убедитесь, что все проверки завершаются успешно.
3. Щелкните правой кнопкой мыши на клиенте Netskope>Конфигурация. Убедитесь, что конфигурация управления соответствует имени созданной конфигурации . В противном случае выберите ссылку "Обновить ".

   Замечание

   Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок клиента глобального безопасного доступа".

Тестирование потока трафика

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузеров: bing.com, salesforce.com, yelp.com.
3. В области уведомлений щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика, вкладка >.
4. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик с этих веб-сайтов.
5. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Проверьте, отсутствует ли в журналах трафика глобального безопасного доступа информация о трафике, связанном с этими сайтами.
6. Войдите на портал Netskope и перейдите к Skope IT>Событиям и оповещениям>События страницы.
7. Проверка трафика, связанного с этими сайтами присутствует в журналах Netskope.
8. Доступ к частному приложению, настроенном в Netskope Private Access. Например, откройте сеанс RDP на частный сервер.
9. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика.
10. Убедитесь, что трафик, относящийся к сеансу RDP , отсутствует в журналах трафика Global Secure Access.
11. Войдите на портал Netskope и перейдите к Skope IT>Событиям и Оповещениям>События сети. Проверьте, что трафик, связанный с сеансом RDP, присутствует.
12. Доступ к Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне "Трафик" выберите "Остановить сбор".
14. Прокрутите страницу, чтобы подтвердить, что клиент глобального безопасного доступа обрабатывает только трафик Microsoft 365.
15. Вы также можете проверить, фиксируется ли трафик в журналах трафика глобального безопасного доступа. В Центре администрирования Microsoft Entra перейдите к Глобальный безопасный доступ>Монитор>Журналы трафика.
16. Проверка, связанная с трафиком Outlook Online и SharePoint Online, отсутствует на портале Netskope в разделе Skope IT>События и оповещения>События страницы.

Интернет-доступ Microsoft Entra и Microsoft Entra Access с Netskope Private Access

В этом сценарии Netskope записывает только частный трафик приложений. Глобальный безопасный доступ обрабатывает весь остальной трафик.

Конфигурация Интернет-доступ Microsoft Entra и Microsoft Access

Для этого сценария:

1. Включите Microsoft Entra Access и профили пересылки Интернет-доступ Microsoft Entra.
2. Установите и настройте клиент глобального безопасного доступа для Windows или macOS.
3. Добавьте настраиваемый обход маршрутизации трафика в Интернет-доступ Microsoft Entra, чтобы исключить FQDN (полное доменное имя) и IP-адреса службы Netskope.

Добавление настраиваемого обхода в Global Secure Access для Netskope

1. Войдите в Центр администрирования Microsoft Entra и перейдите к разделу Global Secure Access>Connect>Traffic forwarding>Профиль доступа к Интернету.
2. В разделе «Политики доступа к Интернету»> выберите Просмотр.
3. Разверните Custom Bypass> Выберите Добавить правило
4. Оставьте тип назначения FQDN и в поле "Назначение" введите *.goskope.com>Сохранить
5. Нажмите кнопку "Добавить правило" снова >диапазон>IP-адресов (каждый диапазон является новым правилом): 163.116.128.0..163.116.255.255, 162.10.0.0..162.10.127.255, 31.186.239.0..31.186.239.255, 8.39.144.0..8.39.144.2558.36.116.0..8.36.116.255
6. Нажмите кнопку "Сохранить".

Конфигурация частного доступа Netskope

На портале Netskope:

1. Настройте Netskope Steering Configuration для перенаправления веб-трафика и частных приложений.
2. Установите клиент Netskope для Windows или macOS.
3. Создайте политику защиты в режиме реального времени , чтобы разрешить доступ к частным приложениям.
4. Установите издатель Частного доступа Netskope.

Добавление конфигурации управления для частных приложений

1. Перейдите на портал Netskope, затем перейдите в раздел >Настройки>, выберите Security Cloud Platform>, затем Steering Configuration>, и создайте Новую конфигурацию.
2. Добавьте имя конфигурации , например MSFTSSEPrivate.
3. Выберите группу пользователей или организационную единицу, чтобы применить конфигурацию.
4. В разделе "Облако", "Интернет" и "Брандмауэр>" нет.
5. В разделе "Частные приложения" выберите "Все частные приложения".
6. На следующей строке >Netskope будет>направлять.
7. В разделе "Без границы" SD-WAN приложения>нет.
8. Установите состояние на Отключено и выберите Сохранить.
9. Убедитесь, что конфигурация MSFTSSEPrivate находится в верхней части списка управляющих конфигураций в вашем арендаторе. Затем включите конфигурацию.

Добавление политики защиты частного приложения Netskope в режиме реального времени

1. Перейдите к порталу Netskope>Политики>Защита в режиме реального времени.
2. Выберите новыйдоступ к>приложениюполитики.
3. В источнике выберите "Пользователи", "Группы" или "Подразделения" , чтобы предоставить доступ.
4. Добавьте все необходимые критерии, например классификацию ОС или устройств.
5. В целевом> частном приложении выберите> приложения, чтобы разрешить доступ.
6. В Профиль и действие>Разрешить.
7. Присвойте политике имя, например Private Apps и поместите его в группу по умолчанию .
8. Установите Состояние в значение Включено.
9. Перейдите к системной области, чтобы проверить, включены ли клиенты Global Secure Access и Netskope.

Проверка конфигураций для клиентов

1. Щелкните правой кнопкой мыши на клиента глобального безопасного доступа>расширенной диагностики>профиль переадресации и убедитесь, что применяются правила Microsoft Access и Интернет-доступа.
2. Перейдите к расширенной диагностике>проверке работоспособности и убедитесь, что все проверки завершаются успешно.
3. Щелкните правой кнопкой мыши на клиенте Netskope>Конфигурация. Убедитесь, что конфигурация управления соответствует имени созданной конфигурации . В противном случае выберите ссылку "Обновить ".

   Замечание

   Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок клиента глобального безопасного доступа".

Тестирование потока трафика

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузеров: , , Outlook Online (bing.com, salesforce.com, ), Instagram.comSharePoint Online (outlook.com). outlook.office.comoutlook.office365.com<yourtenantdomain>.sharepoint.com
3. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Проверка трафика, связанного с этими сайтами, фиксируется в журналах трафика глобального безопасного доступа.
4. Доступ к частному приложению, настроенном в Netskope Private Apps. Например, с помощью удаленного рабочего стола (RDP).
5. Войдите на портал Netskope и перейдите к Skope IT>Событиям и Оповещениям>События сети. Проверка трафика, связанного с сеансом RDP, показывает его наличие, а трафик, связанный с Microsoft 365 и интернетом, таким как Instagram.com, Outlook Online и SharePoint Online, отсутствует на портале Netskope.
6. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне сетевого трафика нажмите кнопку "Остановить сбор".
7. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик из частного приложения. Кроме того, обратите внимание, что клиент Глобального безопасного доступа фиксирует трафик для Microsoft 365 и другого интернет-трафика.