Cisco Secure Email Account Settings configureren voor Microsoft Azure (Microsoft 365) API

Inleiding

In dit document wordt een stapsgewijze 'instructie' beschreven voor het registreren van een nieuwe toepassing in Microsoft Azure (Azure Active Directory) voor het genereren van de benodigde client-ID, tenant-ID en clientreferenties en vervolgens de configuratie voor accountinstellingen op een Cisco Secure Email Gateway of Cloud Gateway. De accountinstellingen en het bijbehorende accountprofiel moeten worden geconfigureerd wanneer een e-mailbeheerder de automatische probleemoplossing (MAR) voor Advanced Malware Protection (AMP) of URL-filtering configureert of de herstelactie van Message Tracking gebruikt in Cisco Secure Email and Web Manager of Cisco Secure Gateway/Cloud Gateway.

Automatisch herstelproces voor postvak

Een bijlage (bestand) in uw e-mail of een URL kan op elk moment als kwaadaardig worden gescoord, zelfs nadat deze de mailbox van een gebruiker heeft bereikt. AMP op Cisco Secure Email (via Cisco Secure Malware Analytics) kan deze ontwikkeling identificeren wanneer nieuwe informatie naar voren komt en zal retrospectieve waarschuwingen naar Cisco Secure Email pushen. Cisco Talos biedt hetzelfde met URL-analyse, zoals van AsyncOS 14.2 voor Cisco Secure Email Cloud Gateway.  Als uw organisatie Microsoft 365 gebruikt om postvakken te beheren, kunt u Cisco Secure Email configureren om automatisch herstelacties uit te voeren op de berichten in het postvak van een gebruiker wanneer deze bedreigingsoordelen worden gewijzigd.

Cisco Secure Email communiceert veilig en rechtstreeks met Microsoft Azure Active Directory om toegang te krijgen tot Microsoft 365-mailboxes.  Als een e-mail met een bijlage bijvoorbeeld wordt verwerkt via uw gateway en wordt gescand door AMP, wordt de bestandsbijlage (SHA256) aan AMP verstrekt voor bestands reputatie.  De AMP-dispositie kan worden gemarkeerd als Schoon (stap 5, Afbeelding 1) en vervolgens worden geleverd aan de Microsoft 365-mailbox van de eindontvanger.  Op een later tijdstip wordt de AMP-toewijzing gewijzigd in Malicious, Cisco Malware Analytics stuurt een retrospectieve verdict-update (stap 8, afbeelding 1) naar elke gateway die die specifieke SHA256 heeft verwerkt. Zodra de gateway de retrospectieve verdict-update van Malicious heeft ontvangen (indien geconfigureerd), zal de gateway vervolgens een van de volgende Mailbox Auto Remediation (MAR)-acties ondernemen: Doorsturen, Verwijderen of Doorsturen en Verwijderen.

Afbeelding 1: MAR (voor AMP) op Cisco Secure Email

In deze handleiding wordt uitgelegd hoe u Cisco Secure Email configureert met Microsoft 365 voor alleen automatische probleemoplossing voor postvakken.  AMP (File Reputation and File Analysis) en/of URL Filtering op de gateway moeten al zijn geconfigureerd.  Voor meer informatie over Bestandsreputatie en Bestandsanalyse, raadpleegt u de Gebruikershandleiding voor de versie van AsyncOS die u hebt geïmplementeerd.

Voorwaarden

1. Microsoft 365-accountabonnement (Zorg ervoor dat uw Microsoft 365-accountabonnement toegang tot Exchange bevat, zoals een Enterprise E3- of Enterprise E5-account.)

2. Microsoft Azure-beheerdersaccount en toegang tot http://portal.azure.com

3. Zowel de Microsoft 365- als Microsoft Azure AD-accounts zijn correct gekoppeld aan een actief e-mailadres "user@domain.com" en u kunt e-mails verzenden en ontvangen via dat e-mailadres.

U maakt de volgende waarden om de communicatie van de Cisco Secure Email gateway API naar Microsoft Azure AD te configureren:

• Klant-ID
• ID huurder
• Cliëntgeheim

Opmerking: Vanaf AsyncOS 14.0 kunnen accountinstellingen worden geconfigureerd met behulp van een clientgeheim bij het maken van de Microsoft Azure App Registration. Dit is de eenvoudigste en voorkeursmethode.

Optioneel - Als u het clientgeheim NIET gebruikt, moet u het volgende maken en gereed hebben:

• vingerafdruk
• De privésleutel (PEM-bestand)

Het maken van de duimafdruk en de privésleutel worden behandeld in de bijlage van deze handleiding:

1. Een actief publiek (of privé) certificaat (CER) en de private sleutel die wordt gebruikt om het certificaat (PEM) te ondertekenen, of de mogelijkheid om een publiek certificaat (CER) te maken en de mogelijkheid om de private sleutel op te slaan die wordt gebruikt om het certificaat (PEM) te ondertekenen. Cisco biedt twee methoden in dit document om dit gedaan te krijgen op basis van uw administratieve voorkeur:
   1. Certificaat: Unix/Linux/OS X (met OpenSSL)
   2. Certificaat: Windows (met PowerShell)

2. Toegang tot Windows PowerShell, meestal beheerd vanaf een Windows-host of -server of toegang tot Terminal-toepassing via Unix/Linux

Om deze vereiste waarden op te bouwen, moet u de stappen in dit document voltooien.

Een Azure-app registreren voor gebruik met Cisco Secure Email

inschrijvingsaanvraag

Na het voltooien van de bovenstaande stappen wordt uw aanvraag gepresenteerd:

Afbeelding 3: Microsoft Azure Active Directory-toepassingspagina

Certificaten en geheimen

Als u AsyncOS 14.0 of nieuwer gebruikt, raadt Cisco u aan uw Azure-app te configureren om een clientgeheim te gebruiken.  In het deelvenster Toepassingen vindt u in de opties Beheer:

1. Selecteer Certificaten en geheimen

2. Klik in het gedeelte Clientgeheimen op + Nieuw clientgeheim

3. Voeg een beschrijving toe om te helpen identificeren waar dit clientgeheim voor dient, bijvoorbeeld "Cisco Secure Email remediation"

4. Selecteer een vervalperiode

5. Klik op Toevoegen

6. Plaats de muis rechts van de gegenereerde waarde en klik op het pictogram Kopiëren naar klembord

7. Sla deze waarde op in uw notities en noteer dit als "Klantgeheim"

Afbeelding 4: Microsoft Azure maakt clientgeheim, voorbeeld

Opmerking: zodra u uw actieve Microsoft Azure-sessie hebt afgesloten, wordt de waarde van het clientgeheim dat u zojuist hebt gegenereerd *** uit de waarde verwijderd.  Als u de waarde niet opslaat en beveiligt voordat u afsluit, moet u het clientgeheim opnieuw maken om de duidelijke tekstuitvoer te zien.

Optioneel - Als u uw Azure-toepassing niet configureert met een clientgeheim, configureert u uw Azure-app om uw certificaat te gebruiken.  In het deelvenster Toepassingen vindt u in de opties Beheer:

1. Selecteer Certificaten en geheimen
2. Klik op Certificaat uploaden
3. Selecteer het CRT-bestand (zoals eerder gemaakt)
4. Klik op Toevoegen

API-machtigingen

Opmerking: vanaf AsyncOS 13.0 voor e-mailbeveiliging zijn de vereiste API-machtigingen voor Microsoft Azure naar Cisco Secure E-mailcommunicatie gewijzigd van Microsoft Exchange naar Microsoft Graph.  Als u MAR al hebt geconfigureerd en uw bestaande Cisco Secure Email-gateway wilt upgraden naar AsyncOS 13.0, kunt u de nieuwe API-machtigingen eenvoudig bijwerken/toevoegen.  (Als u een oudere versie van AsyncOS, 11.x of 12.x gebruikt, raadpleegt u Bijlage B voordat u doorgaat.)

In het deelvenster Toepassingen vindt u in de opties Beheer:

1. Selecteer API-machtigingen
2. Klik op + Een machtiging toevoegen
3. Selecteer Microsoft Graph
4. Selecteer de onderstaande machtigingen voor Toepassingsmachtigingen:
   1. Mail > "Mail.Read" (Lees e-mail in alle postvakken)
   2. Mail > "Mail.ReadWrite" (E-mail lezen en schrijven in alle postvakken)
   3. Mail > "Mail.Send" (Mail verzenden als elke gebruiker)
   4. Directory > "Directory.Read.All" (Directory-gegevens lezen) [*Optioneel: als u LDAP Connector/LDAP-synchronisatie gebruikt, schakelt u deze optie in.  Zo niet, dan is dit niet nodig.]
5. Optioneel: u ziet dat Microsoft Graph standaard is ingeschakeld voor machtigingen voor "Gebruiker.Lezen"; u kunt dit laten zoals geconfigureerd of klikken op Lezen en klikken op Verwijderen machtigingen om dit te verwijderen uit uw API-machtigingen die zijn gekoppeld aan uw toepassing.
6. Klik op Machtigingen toevoegen (of Machtigingen bijwerken, als Microsoft Graph al is vermeld)
7. Klik tot slot op Toestemming verlenen voor... om ervoor te zorgen dat uw nieuwe machtigingen worden toegepast op de toepassing
8. Er verschijnt een pop-up in het venster met de vraag:

"Wilt u toestemming verlenen voor de gevraagde machtigingen voor alle accounts in <Azure Name>? Hierdoor worden eventuele bestaande records voor beheerdersmachtigingen bijgewerkt die deze toepassing al heeft om overeen te komen met wat hieronder wordt vermeld."

Klik op Ja

Op dit punt ziet u een groen succesbericht en de kolom "Toestemming voor beheerder vereist" wordt weergegeven.

Uw klant-ID en huurder-ID ophalen

In het deelvenster Toepassingen vindt u in de opties Beheer:

1. Klik op Overzicht
2. Plaats de muis rechts van de ID van uw toepassing (client) en klik op het pictogram Kopiëren naar klembord
3. Sla deze waarde op in uw notities en noteer dit als "Client ID"
4. Ga met de muis naar rechts van de directory (tenant)-ID en klik op het pictogram Kopiëren naar klembord
5. Sla deze waarde op in uw notities en noteer deze als "Huurder-ID"

Afbeelding 5: Microsoft Azure... Klant-ID, voorbeeld van Huurder-ID

Uw Cisco Secure Email Gateway/Cloud Gateway configureren

Op dit moment moeten de volgende waarden worden voorbereid en opgeslagen in uw notities:

• Klant-ID
• ID huurder
• Cliëntgeheim

Optioneel, als u geen clientgeheim gebruikt:

• vingerafdruk
• De privésleutel (PEM-bestand)

U bent klaar om de gemaakte waarden uit uw notities te gebruiken en de accountinstellingen te configureren op de Cisco Secure Email-gateway!

Accountprofiel maken

1. Log in op uw gateway
2. Navigeer naar Systeembeheer > Accountinstellingen
   • Opmerking: Als u een versie vóór AsyncOS 13.x uitvoert, wordt dit Systeembeheer > Postvakinstellingen
3. Klik op Inschakelen
4. Klik op het selectievakje Accountinstellingen inschakelen en klik op Indienen
5. Klik op Accountprofiel maken
6. Geef een profielnaam en beschrijving op (iets dat uw account uniek beschrijft als u meerdere domeinen hebt)
7. Als u een Microsoft 365-verbinding definieert, laat u het profieltype Office 365 / Hybrid (Graph API)
8. Voer uw client-ID in
9. Voer uw huurder-ID in
10. Voer een van de volgende handelingen uit voor clientreferenties, zoals u hebt geconfigureerd in Azure:
    1. Klik op Clientgeheim en plak het geconfigureerde clientgeheim in.
    2. Klik op Clientcertificaat en voer uw Thumbprint in en geef ook uw PEM op door op "Bestand kiezen" te klikken 
11. Klik op Submit (Verzenden)
12. Klik op Wijzigingen vastleggen in de rechterbovenhoek van de gebruikersinterface
13. Voer opmerkingen in en voltooi de configuratiewijzigingen door op Wijzigingen vastleggen te klikken

Verbinding controleren

De volgende stap is alleen om de API-verbinding van uw Cisco Secure Email-gateway naar Microsoft Azure te verifiëren:

1. Klik op dezelfde pagina met accountgegevens op Verbinding testen
2. Voer een geldig e-mailadres in voor het domein dat wordt beheerd in uw Microsoft 365-account
3. Klik op Verbinding testen
4. U ontvangt een succesbericht (Figuur 6)
5. Klik op Gereed om te voltooien

Afbeelding 6: Voorbeeld van accountprofiel/verbindingscontrole

6. Klik in de sectie Domeintoewijzing op Domeintoewijzing maken

7. Voer uw domeinnaam(en) in die zijn gekoppeld aan de Microsoft 365-account waarvoor u zojuist de API-verbinding hebt gevalideerd

Hieronder volgt een lijst met geldige domeinindelingen die kunnen worden gebruikt om een postvakprofiel toe te wijzen:

- Het domein kan het speciale trefwoord 'ALL' zijn dat overeenkomt met alle domeinen om een standaard domeintoewijzing te maken.

- Domeinnamen zoals 'example.com' - Komt overeen met elk adres met dit domein.

- Gedeeltelijke domeinnamen zoals '@.partial.example.com' - Komt overeen met elk adres dat eindigt met dit domein

- Meerdere domeinen kunnen worden ingevoerd met behulp van een komma-gescheiden lijst van domeinen.

8. Klik op Indienen

9. Klik op Wijzigingen vastleggen in de rechterbovenhoek van de gebruikersinterface

10. Voer opmerkingen in en voltooi de configuratiewijzigingen door te klikken op Wijzigingen vastleggen

Automatische probleemoplossing (MAR) inschakelen voor geavanceerde bescherming tegen malware in het e-mailbeleid

Voltooi deze stap om MAR in te schakelen in de AMP-configuratie voor e-mailbeleid.

1. Navigeer naar E-mailbeleid > Beleid voor inkomende e-mail
2. Klik op de instellingen in de kolom Advanced Malware Protection (Geavanceerde bescherming tegen malware) voor de naam van het beleid dat u wilt configureren (bijvoorbeeld Afbeelding 7):

Afbeelding 7: MAR inschakelen (beleid voor inkomende e-mail)

3. Scroll naar de onderkant van de pagina
4. Schakel het selectievakje in voor Automatisch herstel in postvak inschakelen
5. Selecteer een van de volgende acties die u wilt ondernemen voor MAR (bijv. Afbeelding 8):
   • Doorsturen naar: <invoeren in e-mailadres>
   • doorhalen
   • Doorsturen naar: <e-mailadres invoeren> en Verwijderen

Afbeelding 8: MAR inschakelen voor AMP-configuratie, voorbeeld

6. Klik op Submit (Verzenden)
7. Klik op Wijzigingen vastleggen in de rechterbovenhoek van de gebruikersinterface
8. Voer opmerkingen in en voltooi de configuratiewijzigingen door op Wijzigingen vastleggen te klikken

Automatische correctie in postvak inschakelen voor URL-filtering

Beginnend met AsyncOS 14.2 voor Cisco Secure Email Cloud Gateway, bevat URL Filtering nu URL Retrospective Verdict en URL Remediation.

1. Navigeer naar Beveiligingsservices > URL-filtering
2. Als URL-filters nog niet zijn geconfigureerd, klikt u op Inschakelen
3. Klik op het selectievakje voor "URL-categorie en reputatiefilters inschakelen"
4. De geavanceerde instellingen met de standaardinstellingen
5. Klik op Submit (Verzenden)

De URL-filtering moet er ongeveer als volgt uitzien:

Afbeelding 9: Voorbeeld van URL-filtering na inschakelen

Als u URL-retrospectie met invoegtoepassing URL-filtering wilt bekijken, voert u het volgende uit of laat u een supportcase openen voor Cisco om uit te voeren:

esa1.hcxxyy-zz.iphmx.com> urlretroservice enable

URL Retro Service is enabled.

esa1.hcxxyy-zz.iphmx.com> websecurityconfig

URL Filtering is enabled.
No URL list used.
Web Interaction Tracking is enabled.
URL Retrospective service based Mail Auto Remediation is disabled.
URL Retrospective service status - Unavailable

Disable URL Filtering? [N]>

Do you wish to disable Web Interaction Tracking? [N]>

Do you wish to add URLs to the allowed list using a URL list? [N]>


Enable URL Retrospective service based Mail Auto Remediation to configure remediation actions.

Do you wish to enable Mailbox Auto Remediation action? [N]> y

URL Retrospective service based Mail Auto Remediation is enabled.

Please select a Mailbox Auto Remediation action:
1. Delete
2. Forward and Delete
3. Forward
[1]> 1

esa1.hcxxyy-zz.iphmx.com> commit

Please enter some comments describing your changes:
[]>

Do you want to save the current configuration for rollback? [Y]>

Changes committed: Tue Mar 29 19:43:48 2022 EDT

Als je klaar bent, vernieuw je UI op de URL-filterpagina en je zou nu vergelijkbaar met het volgende moeten zien:

Afbeelding 10: URL-filtering (AsyncOS 14.2 voor Cisco Secure Email Cloud Gateway)

URL-bescherming is nu klaar om corrigerende acties uit te voeren wanneer een vonnis de score wijzigt.  Zie Bescherming tegen schadelijke of ongewenste URL's in de gebruikershandleiding voor AsyncOS 14.2 voor Cisco Secure Email Cloud Gateway voor meer informatie.

Configuratie voltooid!

Op dit moment is Cisco Secure Email klaar om opkomende bedreigingen voortdurend te evalueren wanneer nieuwe informatie beschikbaar komt en u op de hoogte te stellen van bestanden waarvan is vastgesteld dat ze bedreigingen zijn nadat ze uw netwerk zijn binnengekomen.

Wanneer een retrospectief vonnis wordt geproduceerd uit Bestandsanalyse (Cisco Secure Malware Analytics), wordt een infobericht verzonden naar de e-mailbeveiligingsbeheerder (indien geconfigureerd).  Voorbeeld:

Automatisch herstel van postvak wordt uitgevoerd zoals geconfigureerd als dit is geconfigureerd volgens het e-mailbeleid.

Voorbeelden van rapporten voor automatisch herstel in postvak

Rapportage voor elke SHA256 die is verholpen, wordt weergegeven in het rapport Automatisch herstel van postvak dat beschikbaar is op de Cisco Secure Email-gateway en Cisco Secure Email and Web Manager.

Afbeelding 11: (verouderde gebruikersinterface) Rapport Automatische probleemoplossing in postvak

Afbeelding 12: (NG UI) Mailbox Auto Remediation Report

Logboekregistratie voor automatische probleemoplossing in postvak

Mailbox Auto Remediation heeft een individueel logboek, "mar".  De logboeken voor automatische probleemoplossing van Mailbox bevatten alle communicatieactiviteiten tussen uw Cisco Secure Email-gateway en Microsoft Azure, Microsoft 365.

Een voorbeeld van de mar logs:

Mon May 27 02:24:28 2019 Info: Version: 12.1.0-087 SN: 420DE3B51AB744C7F092-9F0000000000
Mon May 27 02:24:28 2019 Info: Time offset from UTC: 18000 seconds
Fri May 31 01:11:53 2019 Info: Process ready for Mailbox Auto Remediation
Fri May 31 01:17:57 2019 Info: Trying to connect to Azure AD.
Fri May 31 01:17:57 2019 Info: Requesting token from Azure AD.
Fri May 31 01:17:58 2019 Info: Token request successful.
Fri May 31 01:17:58 2019 Info: The appliance is able to read the user's(robsherw@bce-demo.info) mailbox.
Fri May 31 04:41:54 2019 Info: Trying to perform the configured action on MID:312391 SHA256:de4dd03acda0a24d0f7e375875320538952f1fa30228d1f031ec00870ed39f62 Recipient:robsherw@bce-demo.info.
Fri May 31 04:41:55 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.
Tue Jun  4 04:42:20 2019 Info: Trying to perform the configured action on MID:348938 SHA256:7d06fd224e0de7f26b48dc2daf7f099b3770080d98bd38c49ed049087c416c4b Recipient:robsherw@bce-demo.info.
Tue Jun  4 04:42:21 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.

Problemen oplossen met Cisco Secure Email Gateway

Als er geen succesvolle resultaten worden weergegeven voor de verbindingstest, kunt u de registratie van de toepassing bekijken die is uitgevoerd vanuit Microsoft Azure AD.

Stel vanuit de Cisco Secure Email gateway uw MAR-logs in op het 'trace'-niveau en test de verbinding opnieuw.

Voor niet-geslaagde verbindingen kunnen logboeken vergelijkbaar zijn met:

Thu Mar 30 16:08:49 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 16:08:49 2017 Info: Requesting token from Azure AD.
Thu Mar 30 16:08:50 2017 Info: Error in requesting token: AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
 Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
 Timestamp: 2017-03-30 20:08:50Z
Thu Mar 30 16:08:50 2017 Info: Error while requesting token AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
 Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
 Timestamp: 2017-03-30 20:08:50Z

Bevestig de applicatie-ID, de directory-ID (die hetzelfde is als de tenant-ID) of andere bijbehorende id's uit het logbestand met uw toepassing in Azure AD. Als u niet zeker bent van de waarden, verwijdert u de toepassing uit het Azure AD-portaal en begint u opnieuw.

Voor een geslaagde verbinding moeten logs vergelijkbaar zijn met:

Thu Mar 30 15:51:58 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 15:51:58 2017 Info: Requesting token from Azure AD.
Thu Mar 30 15:51:58 2017 Trace: command session starting
Thu Mar 30 15:52:00 2017 Info: Token request successful.
Thu Mar 30 15:52:00 2017 Info: The appliance is able to read the user's(myuser@mydomain.onmicrosoft.com) mailbox.

Problemen oplossen met Azure AD

Opmerking: Cisco TAC en Cisco Support hebben niet het recht om problemen aan de kant van de klant op te lossen met Microsoft Exchange, Microsoft Azure AD of Office 365.

Voor problemen aan de kant van de klant met Microsoft Azure AD moet u Microsoft Support inschakelen.  Zie de optie "Help + ondersteuning" van uw Microsoft Azure Dashboard.  Mogelijk kunt u vanuit het dashboard rechtstreekse supportverzoeken openen voor Microsoft Support.

Bijlage A

Opmerking: Dit is ALLEEN vereist als u het clientgeheim NIET gebruikt voor het instellen van uw Azure-toepassing.

Het bouwen van een publiek en privaat certificaat en sleutelpaar

Tip: Laat de uitvoer lokaal opslaan voor $base64Value, $base64Thumbprint, en $keyid, omdat deze later in de configuratiestappen vereist zijn.  Zorg ervoor dat het .crt en de bijbehorende .pem van uw certificaat in een beschikbare, lokale map op uw computer.

Opmerking: Als u al een certificaat (x509-indeling / standaard) en een privésleutel hebt, slaat u dit gedeelte over.  Zorg ervoor dat u zowel CRT- als PEM-bestanden hebt, omdat u ze in de komende secties nodig hebt!    

Certificaat: Unix/Linux (met OpenSSL)

Beheerders die Unix/Linux/OS X gebruiken voor het doel en de uitvoering van het geleverde script, gaan ervan uit dat u OpenSSL hebt geïnstalleerd.

Opmerking: Voer de opdrachten 'die openssl' en 'openssl-versie' uit om de OpenSSL-installatie te verifiëren. Installeer OpenSSL als het niet aanwezig is!

Zie het volgende document voor hulp: Azure AD Configuration Script for Cisco Secure Email

Vanaf uw host (UNIX/Linux/OS X): 

1. Maak vanuit een terminaltoepassing, teksteditor (of hoe comfortabel u ook bent met het maken van een shell-script) een script door het volgende te kopiëren: https://raw.githubusercontent.com/robsherw/my_azure/master/my_azure.sh

2. Plak het script
3. Zorg ervoor dat het script uitvoerbaar is! Voer de volgende opdracht uit: chmod u+x my_azure.sh
4. Voer het script uit: ./my_azure.sh

Afbeelding 13: schermuitvoer van my_azure.sh

Zoals u in Afbeelding 2 ziet, bouwt en roept het script het Public Certificate (CER-bestand) op dat nodig is voor de Azure App-registratie. Het script roept ook devingerafdrukenPrivate Certificate Key (PEM-bestand)wordt gebruikt in het gedeelte Cisco Secure Email configureren. 

U hebt de benodigde waarden om onze toepassing te registreren in Microsoft Azure! 

[Sla de volgende sectie over!  Ga verder naar "Een Azure-app registreren voor gebruik met Cisco Secure Email"]

Certificaat: Windows (met PowerShell)

Voor beheerders die Windows gebruiken, moet u een toepassing gebruiken of de kennis hebben om een zelf ondertekend certificaat te maken.  Dit certificaat wordt gebruikt om de Microsoft Azure-toepassing te maken en API-communicatie te koppelen.

Ons voorbeeld voor dit document om een zelf ondertekend certificaat te maken, is XCA (https://hohnstaedt.de/xca/,https://sourceforge.net/projects/xca/).

Opmerking: XCA kan worden gedownload voor Mac, Linux of Windows.

1. Maak een database voor uw certificaat en sleutels: a. Selecteer Bestand op de werkbalk b. Selecteer Nieuwe database c. Maak een wachtwoord voor uw database (Je zult het in latere stappen nodig hebben, dus onthoud het!) 2. Klik op het tabblad Certificaten en klik vervolgens op Nieuw certificaat
3. Klik op het tabblad Onderwerp en vul het volgende in: a. Interne naam b. landNaam c. stateOrProvinceName d. plaatsNaam e. organisatienaam f. OrganizationalUnitName (OU) g. algemene benaming (GN) h. e-mailadres 4. Klik op Genereer een nieuwe sleutel 5. Controleer in het pop-upvenster de verstrekte informatie (wijzigen zoals gewenst): a. Naam b. Hoofdtype: RSA c. Keysize: 2048-bits d. Klik op Aanmaken e. Bevestig het pop-upvenster "De RSA-privésleutel 'Naam' is gemaakt" door op OK te klikken	Afbeelding 14: XCA gebruiken (stappen 3-5)
6. Klik op het tabblad Sleutelgebruik en selecteer het volgende: a. Onder X509v3 Sleutelgebruik:     Digitale handtekening, sleutelversleuteling b. Onder X509v3 Uitgebreid sleutelgebruik:     E-mailbeveiliging	Afbeelding 15: XCA gebruiken (stap 6)
7. Klik op OK om wijzigingen in uw certificaat toe te passen 8. Bevestig het pop-upvenster "Naam certificaat met succes gemaakt" door op OK te klikken

Vervolgens wilt u zowel het Public Certificate (CER-bestand) als de Certificate Private Key (PEM-bestand) exporteren voor gebruik in de PowerShell-opdrachten en voor gebruik in de stappen Cisco Secure Email configureren:

1. Klik op de interne naam van het nieuwe certificaat en markeer deze. 2. Klik op Exporteren a. Stel de map voor opslaan in voor gemakkelijke toegang (wijzigen zoals gewenst) b. Controleer of het exportformaat is ingesteld op PEM (.crt) c. Klik op OK	Afbeelding 16: XCA gebruiken (CRT exporteren) (stappen 1-2)
3. Klik op het tabblad Privésleutels 4. Klik op de interne naam van het nieuwe certificaat en markeer deze. 5. Klik op Exporteren a. Stel de map voor opslaan in voor gemakkelijke toegang (wijzigen zoals gewenst) b. Controleer of het exportformaat is ingesteld op PEM (.pem) c. Klik op OK 6. XCA afsluiten en afsluiten	Afbeelding 17: XCA gebruiken (PEM exporteren) (stappen 3-5)

Ten slotte neemt u uw gemaakte certificaat en haalt u de Thumbprint uit, die nodig is voor het configureren van Cisco Secure Email.

1. Voer het volgende uit met Windows PowerShell:

$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import("c:\Users\joe\Desktop\myCert.crt")
$bin = $cer.GetRawCertData()
$base64Value = [System.Convert]::ToBase64String($bin)
$bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
$keyid = [System.Guid]::NewGuid().ToString()[Note: “c:\Users\joe\Desktop...” is the location on your PC where your CRT file is saved.]

2. Als u waarden wilt ophalen voor de volgende stappen, slaat u deze op in een bestand of kopieert u naar het klembord:

$base64Thumbprint | Out-File c:\Users\joe\Desktop\base64Thumbprint.txt
$base64Thumbprint

Opmerking: "c:\Users\joe\Desktop..." is de locatie op uw pc waar u de uitvoer opslaat.

De verwachte uitvoer bij het uitvoeren van de PowerShell-opdracht lijkt op het volgende:

PS C:\Users\joe\Desktop> $base64Thumbprint
75fA1XJEJ4I1ZVFOB2xqkoCIh94=

Zoals u ziet, roept de PowerShell-opdracht de base64Thumbprint op, de Thumbprint die nodig is voor de configuratie van de Cisco Secure Email Gateway. 

U hebt ook het CER-bestand (Public Certificate) gemaakt dat nodig is voor de Azure App-registratie. En u hebt de Certificate Private Key (PEM-bestand) gemaakt die u gebruikt in de sectie Cisco Secure Email configureren.

U hebt de vereiste waarden om uw toepassing te registreren in Microsoft Azure!

[Ga naar "Een Azure-app registreren voor gebruik met Cisco Secure Email"]

Bijlage B

Opmerking: Dit is ALLEEN vereist als u AsyncOS 11.x of 12.x for Email op uw gateway uitvoert.

API-machtigingen (AsyncOS 11.x, 12.x)

In het toepassingsvenster, in de opties Beheren...

1. Selecteer API-machtigingen
2. Klik op + Een machtiging toevoegen
3. Blader omlaag naar Ondersteunde oudere API's en selecteer Exchange
4. Selecteer de onderstaande machtigingen voor Gedelegeerde machtigingen:
   1. EWS > "EWS.AccessAsUser.All" (Postvakken openen als de aangemelde gebruiker via Exchange Web Services)
   2. Mail > "Mail.Read" (Gebruikersmail lezen)
   3. Mail > "Mail.ReadWrite" (Gebruikersmail lezen en schrijven)
   4. Mail > "Mail.Send" (Mail verzenden als gebruiker)
5. Scroll naar de bovenkant van het venster...
6. Selecteer de onderstaande machtigingen voor Toepassingsmachtigingen:
   1. "full_access_as_app" (Exchange Web Services gebruiken met volledige toegang tot alle postvakken)
   2. Mail > "Mail.Read" (Gebruikersmail lezen)
   3. Mail > "Mail.ReadWrite" (Gebruikersmail lezen en schrijven)
   4. Mail > "Mail.Send" (Mail verzenden als gebruiker)
7. Optioneel: u ziet dat Microsoft Graph standaard is ingeschakeld voor machtigingen voor "Gebruiker.Lezen"; u kunt dit laten zoals geconfigureerd of klikken op Lezen en klikken op Verwijderen machtigingen om dit te verwijderen uit uw API-machtigingen die zijn gekoppeld aan uw toepassing.
8. Klik op Machtigingen toevoegen (of Machtigingen bijwerken, als Microsoft Graph al is vermeld)
9. Klik tot slot op Toestemming verlenen voor... om ervoor te zorgen dat uw nieuwe machtigingen worden toegepast op de toepassing
10. Er verschijnt een pop-up in het venster met de vraag:

"Wilt u toestemming verlenen voor de gevraagde machtigingen voor alle accounts in <Azure Name>? Hierdoor worden eventuele bestaande records voor beheerdersmachtigingen bijgewerkt die deze toepassing al heeft om overeen te komen met wat hieronder wordt vermeld."

Klik op Ja

Op dit punt ziet u een groen succesbericht en de kolom "Toestemming voor beheerder vereist", vergelijkbaar met weergegeven:

Afbeelding 18: Microsoft Azure App-registratie (API-machtigingen vereist)

[Ga naar "Een Azure-app registreren voor gebruik met Cisco Secure Email"]

Gerelateerde informatie

• Cisco Email Security Appliance - Productondersteuning
• Cisco Email Security Appliance - Opmerkingen bij de release
• Cisco Email Security Appliance - Handleiding voor eindgebruikers