Configuration des paramètres de compte de messagerie sécurisée Cisco pour l'API Microsoft Azure (Microsoft 365)

Introduction

Ce document fournit une procédure pas à pas pour l'enregistrement d'une nouvelle application dans Microsoft Azure (Azure Active Directory) afin de générer l'ID client, l'ID client et les informations d'identification client nécessaires, puis la configuration des paramètres de compte sur une passerelle de messagerie sécurisée Cisco ou une passerelle cloud. La configuration des paramètres de compte et du profil de compte associé est requise lorsqu'un administrateur de messagerie configure Mailbox Auto Remediation (MAR) for Advanced Malware Protection (AMP) ou URL Filtering ou utilise l'action Remediate à partir du suivi des messages sur Cisco Secure Email and Web Manager ou Cisco Secure Gateway/Cloud Gateway.

Flux du processus de correction automatique de la boîte aux lettres

Une pièce jointe (fichier) dans votre courrier électronique ou une URL peut être notée comme étant malveillante à tout moment, même après avoir atteint la boîte aux lettres d'un utilisateur. AMP sur Cisco Secure Email (via Cisco Secure Malware Analytics) peut identifier ce développement au fur et à mesure que de nouvelles informations apparaissent et envoie des alertes rétrospectives à Cisco Secure Email. Cisco Talos offre la même fonctionnalité d'analyse des URL, à partir de AsyncOS 14.2 pour Cisco Secure Email Cloud Gateway.  Si votre entreprise utilise Microsoft 365 pour gérer les boîtes aux lettres, vous pouvez configurer Cisco Secure Email pour effectuer des actions de correction automatique sur les messages de la boîte aux lettres d'un utilisateur lorsque ces verdicts de menace changent.

Cisco Secure Email communique directement et en toute sécurité avec Microsoft Azure Active Directory pour accéder aux boîtes aux lettres Microsoft 365.  Par exemple, si un e-mail avec une pièce jointe est traité par votre passerelle et analysé par AMP, la pièce jointe (SHA256) est fournie à AMP pour la réputation des fichiers.  La disposition AMP peut être marquée comme Clean (étape 5, Figure 1), puis remise à la boîte aux lettres Microsoft 365 du destinataire final.  Par la suite, la disposition AMP est remplacée par Malicious. Cisco Malware Analytics envoie une mise à jour rétrospective du verdict (étape 8, Figure 1) à toute passerelle qui a traité ce SHA256 spécifique.  Une fois que la passerelle reçoit la mise à jour rétrospective du verdict de Malicious (si elle est configurée), elle effectue l'une des actions suivantes de correction automatique de boîte aux lettres (MAR) : Transférer, Supprimer ou Transférer et Supprimer.

Figure 1 : MAR (pour AMP) sur Cisco Secure Email

    

Ce guide explique comment configurer Cisco Secure Email avec Microsoft 365 pour la correction automatique de boîte aux lettres uniquement.  AMP (File Reputation and File Analysis) et/ou le filtrage des URL sur la passerelle doivent déjà être configurés.  Pour plus de détails sur la réputation des fichiers et l'analyse des fichiers, consultez le Guide de l'utilisateur pour la version d'AsyncOS que vous avez déployée.

    

Conditions préalables

1. Abonnement au compte Microsoft 365 (assurez-vous que votre abonnement au compte Microsoft 365 inclut l'accès à Exchange, tel qu'un compte Enterprise E3 ou Enterprise E5.)

2. Compte administrateur Microsoft Azure et accès à http://portal.azure.com

3. Les comptes Microsoft 365 et Microsoft Azure AD sont correctement liés à une adresse e-mail "user@domain.com" active et vous pouvez envoyer et recevoir des e-mails via cette adresse e-mail.

Vous allez créer les valeurs suivantes afin de configurer la communication de l'API de passerelle de messagerie sécurisée Cisco vers Microsoft Azure AD :

• ID client
• ID du locataire
• secret client

Note: À partir de AsyncOS 14.0, les paramètres de compte permettent la configuration à l'aide d'un secret client lors de la création de l'enregistrement Microsoft Azure App. C'est la méthode la plus facile et la plus prisée.

   

Facultatif - Si vous n'utilisez PAS le secret client, vous devez créer et préparer :

• Empreinte numérique
• La clé privée (fichier PEM)

La création de l'empreinte numérique et de la clé privée est traitée dans l'annexe de ce guide :

1. Un certificat public (ou privé) actif (CER) et la clé privée utilisée pour signer le certificat (PEM), ou la capacité de créer un certificat public (CER) et la capacité d'enregistrer la clé privée utilisée pour signer le certificat (PEM).  Cisco propose deux méthodes dans ce document pour que cela se fasse en fonction de votre préférence d'administration :
   1. Certificat: Unix/Linux/OS X (avec OpenSSL)
   2. Certificat: Windows (utilisation de PowerShell)

2. Accès à Windows PowerShell, généralement administré à partir d'un hôte ou d'un serveur Windows, ou accès à l'application Terminal via Unix/Linux

Pour créer ces valeurs requises, vous devez effectuer les étapes indiquées dans ce document.

    

Enregistrer une application Azure à utiliser avec Cisco Secure Email

Inscription d'une demande

Connectez-vous à votre portail Microsoft Azure 1. Cliquez sur Azure Active Directory (Figure 2) 2. Cliquez sur les enregistrements d'application 3. Cliquez sur + Nouvelle inscription 4. Sur la page « Enregistrer une demande » : a. Nom : Cisco Secure Email MAR (ou le nom de votre choix) b. Types de compte pris en charge : Comptes dans cet annuaire d'organisation uniquement (Nom du compte) c. URI de redirection : (facultatif) [Remarque: Vous pouvez laisser ce champ vide ou utiliser https://www.cisco.com/sign-on pour remplir] d. En bas de la page, cliquez sur Register

Figure 2 : Exemple Microsoft Azure Portal

    

Une fois les étapes ci-dessus complétées, vous recevrez votre demande :

    

Figure 3 : Page de l'application Microsoft Azure Active Directory

     

Certificats et secrets

Si vous exécutez AsyncOS 14.0 ou version ultérieure, Cisco recommande de configurer votre application Azure pour utiliser un secret client.  Dans le volet Application, dans les options Gérer :

1. Sélectionnez Certificats et secrets

2. Dans la section secrets client, cliquez sur + Nouveau secret client

3. Ajoutez une description pour vous aider à identifier le secret de ce client, p. ex. « Correction de la messagerie sécurisée Cisco »

4. Sélectionner une période d'expiration

5. Cliquez sur Add

6. Placez la souris sur la droite de la valeur générée, puis cliquez sur l'icône Copier dans le Presse-papiers

7. Enregistrez cette valeur dans vos notes, notez ceci comme « Client secret ”

Figure 4 : Exemple de secret de création de Microsoft Azure

    

Note: Une fois que vous avez quitté votre session Microsoft Azure active, la valeur du secret client que vous venez de générer est *** extraite de la valeur.  Si vous n'enregistrez pas et ne protégez pas la valeur avant de quitter, vous devrez recréer le secret client afin de voir la sortie en texte clair.

   

Facultatif - Si vous ne configurez pas votre application Azure avec un secret client, configurez votre application Azure pour utiliser votre certificat.  Dans le volet Application, dans les options Gérer :

1. Sélectionnez Certificats et secrets
2. Cliquez sur Télécharger le certificat
3. Sélectionnez le fichier CRT (tel que créé précédemment)
4. Cliquez sur Add

     

Autorisations API

Note: À partir de AsyncOS 13.0 pour la sécurité de la messagerie électronique, les autorisations d'API pour la communication de messagerie sécurisée Microsoft Azure à Cisco requises ont changé, passant de l'utilisation de Microsoft Exchange à Microsoft Graph.  Si vous avez déjà configuré MAR et que vous mettez à niveau votre passerelle de messagerie sécurisée Cisco existante vers AsyncOS 13.0, vous pouvez simplement mettre à jour/ajouter les nouvelles autorisations d'API.  (Si vous exécutez une version antérieure d'AsyncOS, 11.x ou 12.x, reportez-vous à l'annexe B avant de continuer.)

Dans le volet Application, dans les options Gérer :

1. Sélectionner les autorisations d'API
2. Cliquez sur + Ajouter une autorisation
3. Sélectionner Microsoft Graph
4. Sélectionnez les autorisations ci-dessous sur les autorisations d'application :
   1. Mail > « Mail.Read » (Lire le courrier dans toutes les boîtes aux lettres)
   2. Mail > « Mail.ReadWrite » (Lecture et écriture de courrier dans toutes les boîtes aux lettres)
   3. Mail > « Mail.Send » (Envoyer le courrier comme n'importe quel utilisateur)
   4. Répertoire > « Répertoire.Read.All » (Lire les données du répertoire) [*Facultatif : Si vous utilisez la synchronisation LDAP Connector/LDAP, activez.  Si ce n'est pas le cas, cela n'est pas nécessaire.]
5. Facultatif: Vous verrez que Microsoft Graph est activé par défaut pour “ Utilisateur.Lire les autorisations ” ; vous pouvez laisser ceci tel que configuré ou cliquer sur Lire et cliquez sur Supprimer l'autorisation pour supprimer ceci de vos autorisations API associées à votre application.
6. Cliquez sur Ajouter des autorisations (ou Mettre à jour des autorisations, si Microsoft Graph était déjà répertorié)
7. Enfin, cliquez sur Accorder le consentement de l'administrateur pour... pour s'assurer que vos nouvelles autorisations sont appliquées à l'application
8. Une fenêtre contextuelle s'affiche et demande :

"Voulez-vous accorder le consentement pour les autorisations demandées pour tous les comptes de <Azure Name> ? Ceci mettra à jour tous les enregistrements de consentement d'administrateur existants que cette application doit déjà correspondre à ce qui est indiqué ci-dessous."

Cliquez sur Oui

    

À ce stade, vous devriez voir un message de réussite vert et la colonne « Consentement de l'administrateur requis » s'afficher.

     

Obtention de votre ID client et de votre ID client

Dans le volet Application, dans les options Gérer :

1. Cliquez sur Vue d'ensemble
2. Placez la souris sur la droite de votre ID d'application (client) et cliquez sur l'icône Copier dans le Presse-papiers
3. Enregistrez cette valeur dans vos notes, notez-la comme « ID client ”
4. Placez la souris sur la droite de votre ID de répertoire (locataire) et cliquez sur l'icône Copier dans le Presse-papiers
5. Enregistrez cette valeur dans vos notes, notez-la comme « ID du client ».

Figure 5 : Microsoft Azure... ID client, exemple d'ID client

     

Configuration de votre passerelle de messagerie sécurisée/passerelle cloud Cisco

    

À ce stade, les valeurs suivantes doivent être préparées et enregistrées dans vos notes :

• ID client
• ID du locataire
• secret client

Facultatif, si vous n'utilisez pas Client secret :

• Empreinte numérique
• La clé privée (fichier PEM)

  

Vous êtes prêt à utiliser les valeurs créées à partir de vos notes et à configurer les paramètres de compte sur la passerelle de messagerie sécurisée Cisco !

    

Créer un profil de compte

1. Connectez-vous à votre passerelle
2. Accédez à Administration système > Paramètres du compte
   • Note: Si vous exécutez une version antérieure à AsyncOS 13.x, ce sera Administration système > Paramètres de boîte aux lettres
3. Cliquez sur Activer
4. Cochez la case Activer les paramètres de compte, puis cliquez sur Envoyer.
5. Cliquez sur Créer un profil de compte
6. Fournir un nom et une description de profil (qui décriront votre compte de manière unique si vous avez plusieurs domaines)
7. Lorsque vous définissez une connexion Microsoft 365, laissez le type de profil Office 365 / Hybrid (API graphique)
8. Entrez votre ID client
9. Entrez votre ID de client
10. Pour les informations d'identification du client, effectuez l'une des actions suivantes, comme vous l'avez configuré dans Azure :
    1. Cliquez sur Client Secret et collez dans votre secret client configuré, ou...
    2. Cliquez sur Certificat client et entrez votre empreinte numérique et fournissez également votre PEM en cliquant sur « Choisir un fichier » 
11. Cliquez sur Submit
12. Cliquez sur Valider les modifications dans l'angle supérieur droit de l'interface utilisateur.
13. Saisissez vos commentaires et effectuez les modifications de configuration en cliquant sur Valider les modifications.

            

Vérifier la connexion

L'étape suivante consiste uniquement à vérifier la connexion API de votre passerelle de messagerie sécurisée Cisco vers Microsoft Azure :

1. Dans la même page Account Details, cliquez sur Test Connection
2. Entrez une adresse de messagerie valide pour le domaine géré dans votre compte Microsoft 365
3. Cliquez sur Tester la connexion
4. Vous devez recevoir un message de réussite (Figure 6)
5. Cliquez sur Terminé pour terminer

    

Figure 6 : Exemple de vérification du profil de compte/de la connexion

     

6. Dans la section Mappage de domaine, cliquez sur Créer un mappage de domaine

7. Saisissez dans vos noms de domaine associés au compte Microsoft 365 que vous venez de valider la connexion API pour

Voici une liste des formats de domaine valides qui peuvent être utilisés pour mapper un profil de boîte aux lettres :

- Le domaine peut être le mot clé spécial 'ALL' pour faire correspondre tous les domaines afin de créer un mappage de domaine par défaut.

- Noms de domaine tels que 'exemple.com' - Associe n'importe quelle adresse à ce domaine.

- Noms de domaine partiels tels que '@.partial.example.com' : correspond à toute adresse se terminant par ce domaine.

- Vous pouvez entrer plusieurs domaines à l'aide d'une liste de domaines séparés par des virgules.

8. Cliquez sur Submit

9. Cliquez sur Valider les modifications dans l'angle supérieur droit de l'interface utilisateur.

10. Saisissez vos commentaires et effectuez les modifications de configuration en cliquant sur Valider les modifications.

     

     

Activer la correction automatique de la boîte aux lettres (MAR) pour Advanced Malware Protection dans la politique de messagerie

    

Exécutez cette étape pour activer MAR dans la configuration AMP pour les stratégies de messagerie.

    

1. Accédez à Politiques de messagerie > Politiques de messagerie entrante
2. Cliquez sur les paramètres de la colonne Advanced Malware Protection pour le nom de stratégie que vous souhaitez configurer (par exemple, Figure 7) :

Figure 7 : Activer MAR (stratégies de messagerie entrante)

3. Faites défiler la page vers le bas
4. Cochez la case Enable Mailbox Auto Remediation (MAR).
5. Sélectionnez l'une des actions suivantes que vous souhaitez effectuer pour MAR (par exemple, Figure 8) :
   • Transférer à : <entrer dans l'adresse e-mail >
   • DELETE
   • Transférer à : <entrer dans l'adresse e-mail> et Supprimer

Figure 8 : Exemple de configuration d'activation de MAR pour AMP

    

6. Cliquez sur Submit
7. Cliquez sur Valider les modifications dans l'angle supérieur droit de l'interface utilisateur.
8. Saisissez vos commentaires et effectuez les modifications de configuration en cliquant sur Valider les modifications.

Activer la correction automatique de la boîte aux lettres (MAR) pour le filtrage des URL

    

À partir de AsyncOS 14.2 pour la passerelle de cloud de messagerie sécurisée Cisco, le filtrage des URL inclut désormais le verdict rétrospectif des URL et la correction des URL.

1. Accédez à Services de sécurité > Filtrage des URL
2. Si le filtrage d'URL n'est pas déjà configuré, cliquez sur Activer
3. Cochez la case Activer les filtres de réputation et de catégorie d'URL.
4. Les paramètres avancés avec les paramètres par défaut
5. Cliquez sur Submit

Votre filtrage d'URL doit être similaire à ce qui suit :

Figure 9 : Exemple de post-activation du filtrage des URL

Afin de voir la rétrospection des URL avec filtrage des URL intégré, effectuez les opérations suivantes ou faites ouvrir un dossier d'assistance à Cisco pour effectuer :

esa1.hcxxyy-zz.iphmx.com> urlretroservice enable

URL Retro Service is enabled.

esa1.hcxxyy-zz.iphmx.com> websecurityconfig

URL Filtering is enabled.
No URL list used.
Web Interaction Tracking is enabled.
URL Retrospective service based Mail Auto Remediation is disabled.
URL Retrospective service status - Unavailable

Disable URL Filtering? [N]>

Do you wish to disable Web Interaction Tracking? [N]>

Do you wish to add URLs to the allowed list using a URL list? [N]>


Enable URL Retrospective service based Mail Auto Remediation to configure remediation actions.

Do you wish to enable Mailbox Auto Remediation action? [N]> y

URL Retrospective service based Mail Auto Remediation is enabled.

Please select a Mailbox Auto Remediation action:
1. Delete
2. Forward and Delete
3. Forward
[1]> 1

esa1.hcxxyy-zz.iphmx.com> commit

Please enter some comments describing your changes:
[]>

Do you want to save the current configuration for rollback? [Y]>

Changes committed: Tue Mar 29 19:43:48 2022 EDT

     

Une fois terminé, actualisez votre interface utilisateur sur la page Filtrage des URL et vous devriez maintenant voir des informations similaires à celles-ci :

Figure 10 : Filtrage des URL (AsyncOS 14.2 pour Cisco Secure Email Cloud Gateway)

     

La protection des URL est maintenant prête à effectuer des actions correctives lorsqu'un verdict change de score.  Pour plus d'informations, consultez Protection contre les URL malveillantes ou indésirables dans le Guide de l'utilisateur d'AsyncOS 14.2 pour la passerelle cloud de messagerie sécurisée Cisco.

    

Configuration terminée !

    

À ce stade, Cisco Secure Email est prêt à évaluer en permanence les menaces émergentes à mesure que de nouvelles informations deviennent disponibles et à vous avertir des fichiers considérés comme des menaces après leur entrée sur votre réseau.

    

Lorsqu'un verdict rétrospectif est produit à partir de File Analysis (Cisco Secure Malware Analytics), un message d'information est envoyé à l'administrateur de la sécurité de la messagerie (s'il est configuré).  Exemple :

La correction automatique de la boîte aux lettres sera considérée comme configurée si elle est configurée en fonction de la stratégie de messagerie.

Exemples de rapport de correction automatique de boîte aux lettres

    

Les rapports relatifs à tout SHA256 qui a été corrigé figurent dans le rapport Mailbox Auto Remediation disponible à la fois sur la passerelle de messagerie sécurisée Cisco et sur Cisco Secure Email and Web Manager.

    

Figure 11 : (Interface utilisateur héritée) Rapport de correction automatique de boîte aux lettres

     

Figure 12 : (NG UI) Rapport de correction automatique de boîte aux lettres

Journalisation de la correction automatique de la boîte aux lettres

    

La correction automatique de la boîte aux lettres a un journal individuel, “ ” mar.  Les journaux de correction automatique de la boîte aux lettres contiendront toutes les activités de communication entre votre passerelle de messagerie sécurisée Cisco et Microsoft Azure, Microsoft 365.

    

Exemple de journaux de la mémoire :

Mon May 27 02:24:28 2019 Info: Version: 12.1.0-087 SN: 420DE3B51AB744C7F092-9F0000000000
Mon May 27 02:24:28 2019 Info: Time offset from UTC: 18000 seconds
Fri May 31 01:11:53 2019 Info: Process ready for Mailbox Auto Remediation
Fri May 31 01:17:57 2019 Info: Trying to connect to Azure AD.
Fri May 31 01:17:57 2019 Info: Requesting token from Azure AD.
Fri May 31 01:17:58 2019 Info: Token request successful.
Fri May 31 01:17:58 2019 Info: The appliance is able to read the user's(robsherw@bce-demo.info) mailbox.
Fri May 31 04:41:54 2019 Info: Trying to perform the configured action on MID:312391 SHA256:de4dd03acda0a24d0f7e375875320538952f1fa30228d1f031ec00870ed39f62 Recipient:robsherw@bce-demo.info.
Fri May 31 04:41:55 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.
Tue Jun  4 04:42:20 2019 Info: Trying to perform the configured action on MID:348938 SHA256:7d06fd224e0de7f26b48dc2daf7f099b3770080d98bd38c49ed049087c416c4b Recipient:robsherw@bce-demo.info.
Tue Jun  4 04:42:21 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.

     

Dépannage de Cisco Secure Email Gateway

    

Si les résultats du test d'état de la connexion ne sont pas visibles, vous pouvez consulter l'enregistrement de l'application effectué à partir de Microsoft Azure AD.

    

À partir de la passerelle de messagerie sécurisée Cisco, définissez vos journaux MAR au niveau de trace et testez à nouveau la connexion.

    

Pour les connexions infructueuses, les journaux peuvent afficher des informations similaires à :

Thu Mar 30 16:08:49 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 16:08:49 2017 Info: Requesting token from Azure AD.
Thu Mar 30 16:08:50 2017 Info: Error in requesting token: AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
 Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
 Timestamp: 2017-03-30 20:08:50Z
Thu Mar 30 16:08:50 2017 Info: Error while requesting token AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
 Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
 Timestamp: 2017-03-30 20:08:50Z

    

Confirmez l'ID de l'application, l'ID du répertoire (identique à l'ID du client) ou d'autres identificateurs associés à partir du journal avec votre application dans Azure AD.  Si vous n'êtes pas sûr des valeurs, supprimez l'application du portail Azure AD et recommencez.

    

Pour une connexion réussie, les journaux doivent être similaires à :

Thu Mar 30 15:51:58 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 15:51:58 2017 Info: Requesting token from Azure AD.
Thu Mar 30 15:51:58 2017 Trace: command session starting
Thu Mar 30 15:52:00 2017 Info: Token request successful.
Thu Mar 30 15:52:00 2017 Info: The appliance is able to read the user's(myuser@mydomain.onmicrosoft.com) mailbox.

     

Dépannage d'Azure AD

        

Remarque : le TAC et l'assistance Cisco ne sont pas autorisés à résoudre les problèmes liés au client avec Microsoft Exchange, Microsoft Azure AD ou Office 365.

    

Pour les problèmes côté client avec Microsoft Azure AD, vous devez faire appel au support Microsoft.  Consultez l'option « Aide + support » de votre tableau de bord Microsoft Azure.  Vous pouvez peut-être ouvrir des demandes de support direct à Microsoft Support à partir du tableau de bord.

     

Annexe A

Remarque : ceci n'est obligatoire que si vous n'utilisez PAS le secret client pour configurer votre application Azure.

     

Création d'un certificat public et privé et d'une paire de clés

    

Conseil : Veuillez enregistrer le résultat localement pour $base64Value, $base64Thumbprint et $keyid, car ils seront requis ultérieurement dans les étapes de configuration.  Munissez-vous du fichier .crt et du fichier .pem associé à votre certificat dans un dossier local disponible sur votre ordinateur.

Note: Si vous avez déjà un certificat (format x509/standard) et une clé privée, ignorez cette section.  Assurez-vous d'avoir des fichiers CRT et PEM, car vous en aurez besoin dans les sections suivantes !    

    

Certificat: Unix/Linux (utilisation d'openssl)

Valeurs à créer :

: Empreinte numérique ◦ Certificat public (fichier CRT) ◦ Clé privée (fichier PEM)

    

Les administrateurs qui utilisent Unix/Linux/OS X, pour l'exécution et l'exécution du script fourni, supposent que vous avez installé OpenSSL.

    

Note: Exécutez les commandes 'qui openssl' et 'openssl version' afin de vérifier l'installation d'OpenSSL. Installez OpenSSL s'il n'est pas présent !

    

Consultez le document suivant pour obtenir de l'aide : Azure AD Configuration Script pour Cisco Secure Email

    

À partir de votre hôte (UNIX/Linux/OS X) : 

1. À partir d'une application de terminal, un éditeur de texte (ou quel que soit le moment où vous souhaitez créer un script shell), créez un script en copiant les éléments suivants : https://raw.githubusercontent.com/robsherw/my_azure/master/my_azure.sh

2. Coller le script
3. Assurez-vous de rendre le script exécutable ! Exécutez la commande suivante : chmod u+x my_azure.sh
4. Exécuter le script : ./my_azure.sh

Figure 13 : sortie d'écran de my_azure.sh

     

Comme vous le voyez dans la Figure 2, le script crée et appelle le fichier de certificat public (fichier CER) nécessaire pour l'enregistrement Azure App. Le script appelle également leEmpreinte numériqueetClé privée de certificat (fichier PEM)vous allez utiliser dans la section Configuration de la messagerie sécurisée Cisco. 

vous avez les valeurs nécessaires pour enregistrer notre application dans Microsoft Azure ! 

     

[Ignorer la section suivante ! Passez à l'étape « Enregistrer une application Azure pour l'utiliser avec Cisco Secure Email »]

     

Certificat: Windows (utilisation de PowerShell)

Pour les administrateurs qui utilisent Windows, vous devez utiliser une application ou avoir les connaissances nécessaires pour créer un certificat auto-signé.  Ce certificat est utilisé afin de créer l'application Microsoft Azure et d'associer la communication API.

Valeurs à créer :

: Empreinte numérique ◦ Certificat public (fichier CRT) ◦ Clé privée (fichier PEM)

     

Notre exemple pour que ce document crée un certificat auto-signé utilise XCA (https://hohnstaedt.de/xca/,https://sourceforge.net/projects/xca/).

    

Note: XCA peut être téléchargé pour Mac, Linux ou Windows.

    

1. Créez une base de données pour votre certificat et vos clés : a. Sélectionnez Fichier dans la barre d'outils b. Sélectionner une nouvelle base de données c. Créer un mot de passe pour votre base de données (vous en aurez besoin ultérieurement, alors n'oubliez pas !) 2. Cliquez sur l'onglet Certificats, puis sur Nouveau certificat
3. Cliquez sur l'onglet Objet et remplissez les champs suivants : a. Nom interne b. NomPays c. stateOrProvinceName d. NomLocalité e. nomOrganisation f.  organisationnelNomUnité (OU) g. commonName (CN) h. adresseEmail 4. Cliquez sur Générer une nouvelle clé 5. Dans la fenêtre contextuelle, vérifiez les informations fournies (modification souhaitée) : a. Name (nom) b. Type de clé : RSA c. Taille de clé : 2048 bit d. Cliquez sur Créer e. Reconnaître la fenêtre contextuelle « Nom » de la clé privée RSA en cliquant sur OK	Figure 14 : Utilisation de XCA (étapes 3 à 5)
6. Cliquez sur l'onglet Key usage (Utilisation de clé) et sélectionnez les options suivantes : a. Sous Utilisation de clé X509v3 :     Signature numérique, chiffrement de clé b. Sous X509v3 Utilisation étendue des clés :     Protection de la messagerie	Figure 15 : Utilisation de XCA (étape 6)
7. Cliquez sur OK pour appliquer des modifications à votre certificat 8. Reconnaître la fenêtre contextuelle "Nom" du certificat en cliquant sur OK

    

Ensuite, vous voudrez exporter à la fois le fichier de certificat public (fichier CER) et la clé privée de certificat (fichier PEM) à utiliser dans les commandes PowerShell suivantes, et à utiliser dans les étapes Configuration de la messagerie sécurisée Cisco :

    

1. Cliquez sur le nom interne de votre nouveau certificat et mettez-le en surbrillance. 2. Cliquez sur Exporter a. Définir le répertoire de sauvegarde pour faciliter l'accès (en changeant selon vos besoins) b. Vérifiez que le format d'exportation est défini sur PEM (.crt) c. Click OK	Figure 16 : Utilisation de XCA (exportation CRT) (étapes 1 à 2)
3. Cliquez sur l'onglet Clés privées 4. Cliquez sur le nom interne de votre nouveau certificat et mettez-le en surbrillance. 5. Cliquez sur Exporter a. Définir le répertoire de sauvegarde pour faciliter l'accès (en changeant selon vos besoins) b. Vérifiez que le format d'exportation est défini sur PEM private (.pem) c. Click OK 6. Quitter et fermer XCA	Figure 17 : Utilisation de XCA (export PEM) (étapes 3 à 5)

    

    

Enfin, vous prendrez le certificat créé et extrairez l'empreinte numérique, nécessaire à la configuration de la messagerie sécurisée Cisco.

    

1. À l'aide de Windows PowerShell, exécutez les opérations suivantes :

$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import("c:\Users\joe\Desktop\myCert.crt")
$bin = $cer.GetRawCertData()
$base64Value = [System.Convert]::ToBase64String($bin)
$bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
$keyid = [System.Guid]::NewGuid().ToString()[Note: “c:\Users\joe\Desktop...” is the location on your PC where your CRT file is saved.]

    

2. Afin d'obtenir des valeurs pour les étapes à venir, enregistrez dans un fichier ou copiez dans votre presse-papiers :

$base64Thumbprint | Out-File c:\Users\joe\Desktop\base64Thumbprint.txt
$base64Thumbprint

    

Note: “c:\Users\joe\Desktop...” est l'emplacement sur votre ordinateur où vous enregistrez le résultat.

    

Le résultat attendu lors de l'exécution de la commande PowerShell doit être similaire à ce qui suit :

PS C:\Users\joe\Desktop> $base64Thumbprint
75fA1XJEJ4I1ZVFOB2xqkoCIh94=

    

Comme vous pouvez le voir, la commande PowerShell appelle l'empreinte de base64Thumbprint, qui est l'empreinte de Thumbprint requise pour la configuration de la passerelle de messagerie sécurisée Cisco. 

Vous avez également terminé la création du certificat public (fichier CER) nécessaire pour l'enregistrement Azure App. Vous avez également créé la clé privée de certificat (fichier PEM) que vous utiliserez dans la section Configuration de la messagerie sécurisée Cisco.

Vous avez les valeurs nécessaires pour enregistrer votre application dans Microsoft Azure !

     

[Passez à l'« Enregistrement d'une application Azure à utiliser avec Cisco Secure Email »]

     

Annexe B

Remarque : ceci est obligatoire UNIQUEMENT si vous exécutez AsyncOS 11.x ou 12.x pour la messagerie sur votre passerelle.

Autorisations API (AsyncOS 11.x, 12.x)

Dans le volet d'application, dans les options Gérer...

1. Sélectionner les autorisations d'API
2. Cliquez sur + Ajouter une autorisation
3. Faites défiler jusqu'à API héritées prises en charge et sélectionnez Exchange
4. Sélectionnez les autorisations suivantes sur les autorisations déléguées :
   1. EWS > “ EWS.AccessAsUser.All ” (Accéder aux boîtes aux lettres en tant qu'utilisateur connecté via les services Web Exchange)
   2. Mail > « Mail.Read » (Lire le message utilisateur)
   3. Mail > « Mail.ReadWrite » (Lecture et écriture du courrier utilisateur)
   4. Mail > « Mail.Send » (Envoyer le courrier en tant qu'utilisateur)
5. Faites défiler le menu jusqu'en haut du volet...
6. Sélectionnez les autorisations suivantes sur les autorisations d'application :
   1. “ full_access_as_app ” (Utiliser les services Web Exchange avec un accès complet à toutes les boîtes aux lettres)
   2. Mail > « Mail.Read » (Lire le message utilisateur)
   3. Mail > « Mail.ReadWrite » (Lecture et écriture du courrier utilisateur)
   4. Mail > « Mail.Send » (Envoyer le courrier en tant qu'utilisateur)
7. Facultatif: Vous verrez que Microsoft Graph est activé par défaut pour “ Utilisateur.Lire les autorisations ” ; vous pouvez laisser ceci tel que configuré ou cliquer sur Lire et cliquez sur Supprimer l'autorisation pour supprimer ceci de vos autorisations API associées à votre application.
8. Cliquez sur Ajouter des autorisations (ou Mettre à jour des autorisations, si Microsoft Graph était déjà répertorié)
9. Enfin, cliquez sur Accorder le consentement de l'administrateur pour... pour s'assurer que vos nouvelles autorisations sont appliquées à l'application
10. Une fenêtre contextuelle s'affiche et demande :

"Voulez-vous accorder le consentement pour les autorisations demandées pour tous les comptes de <Azure Name> ? Ceci mettra à jour tous les enregistrements de consentement d'administrateur existants que cette application doit déjà correspondre à ce qui est indiqué ci-dessous."

Cliquez sur Oui

    

À ce stade, vous devriez voir un message de réussite vert et l'affichage de la colonne « Consentement de l'administrateur requis », comme indiqué ci-dessous :

    

Figure 18 : Enregistrement Microsoft Azure App (autorisations API requises)

     

[Passez à l'« Enregistrement d'une application Azure à utiliser avec Cisco Secure Email »]

     

     

Informations connexes

• Appareil de sécurité de la messagerie Cisco - Assistance produit
• Dispositif de sécurité de la messagerie Cisco - Notes de version
• Cisco Email Security Appliance - Guide de l'utilisateur final