如何为Microsoft Azure (Microsoft 365) API配置思科安全电子邮件帐户设置

下载选项

  • PDF     (1.8 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.5 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.0 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2022 年 6 月 22 日
文档 ID:211404

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档提供在Microsoft Azure (Azure Active Directory)中注册新应用程序的分步“操作方法”,以生成所需的客户端ID、租户ID和客户端凭据,然后配置思科安全电子邮件网关或云网关上的帐户设置。当邮件管理员配置高级恶意软件防护(AMP)或URL过滤的邮箱自动补救(MAR)或使用思科安全邮件和网络管理器或思科安全网关/云网关上的邮件跟踪的补救操作时,需要配置帐户设置和相关帐户配置文件。

    邮箱自动补救流程

    您的电子邮件或URL中的附件(文件)随时可能被评定为恶意的,即使它到达用户邮箱后也是如此。思科安全邮件上的AMP(通过思科安全恶意软件分析)可以在出现新信息时识别此发展,并将向思科安全邮件推送追溯性警报。Cisco Talos提供的URL分析功能与AsyncOS 14.2 for Cisco Secure Email Cloud Gateway相同。  如果您的组织使用Microsoft 365管理邮箱,您可以配置Cisco Secure Email,以便在这些威胁判定更改时对用户邮箱中的邮件执行自动补救操作。

    Cisco Secure Email安全直接与Microsoft Azure Active Directory通信,以获得对Microsoft 365邮箱的访问权限。  例如,如果包含附件的邮件通过网关处理并由AMP扫描,则文件附件(SHA256)会提供给AMP以获得文件信誉。  可以将AMP处置情况标记为正常(步骤5,图1),然后将其传送到最终收件人的Microsoft 365邮箱。  稍后,AMP处置更改为恶意,思科恶意软件分析会向处理了特定SHA256的任何网关发送追溯性判定更新(第8步,图1)。一旦网关收到恶意的追溯性判定更新(如果已配置),网关将随后执行以下邮箱自动补救(MAR)操作之一:转发、删除或转发和删除。

    思科安全邮件的MAR(适用于AMP)图1:思科安全邮件的MAR(适用于AMP)

        

    本指南介绍如何使用Microsoft 365配置Cisco Secure Email,仅用于邮箱自动补救。  应已配置网关上的AMP(文件信誉和文件分析)和/或URL过滤。  有关文件信誉和文件分析的更多详细信息,请参阅用户指南以了解您已部署的AsyncOS版本。

        

    先决条件

    1. Microsoft 365帐户订阅(请确保您的Microsoft 365帐户订阅包含对Exchange的访问权限,例如企业E3或企业E5帐户。)

    2. Microsoft Azure管理员帐户和对http://portal.azure.com的访问权限

    3. Microsoft 365和Microsoft Azure AD帐户均正确绑定到活动的“user@domain.com”电子邮件地址,你可以通过该电子邮件地址发送和接收电子邮件。

    您将创建以下值,以配置与Microsoft Azure AD的思科安全电子邮件网关API通信:

    • 客户端ID
    • 租户Id
    • 客户端密码

    注意从AsyncOS 14.0开始,帐户设置允许在创建Microsoft Azure应用注册时使用客户端密钥进行配置。这是比较容易和首选的方法。

       

    可选 -如果您未使用客户端密钥,则需要创建以下密钥并做好准备:

    • 指纹
    • 私钥(PEM文件)

    本指南的附录中介绍了创建指纹和私钥:

    1. 活动公有(或私有)证书(CER)和用于签署证书(PEM)的私钥,或者能够创建公共证书(CER),以及能够保存用于签署证书的私钥(PEM)。思科在本文档中提供了两种方法,以根据您的管理首选项完成此操作:
      1. 证书:Unix/Linux/OS X(使用OpenSSL)
      2. 证书:Windows(使用PowerShell)
    1. 对Windows PowerShell的访问,通常从Windows主机或服务器管理-或通过Unix/Linux访问终端应用程序

    为了构建这些必需的值,您需要完成本文档中提供的步骤。

        

    注册Azure应用以便与思科安全电子邮件配合使用

    申请注册

    登录您的Microsoft Azure门户

    1. 点击Azure Active Directory(图2)

    2. 点击应用注册

    3. 点击+新注册

    4. 在“注册申请”页上:

    a.名称:Cisco Secure Email MAR(或您选择的名称)
    b.支持的帐户类型:仅此组织目录中的帐户(帐户名称)
    c.重定向URI:(可选)

    [注意:您可以将此处留空,或者随意使用https://www.cisco.com/sign-on进行填写]
    d.在页面底部,点击注册

    azure_main图2: Microsoft Azure门户示例

        

    完成上述步骤后,系统将显示您的应用程序:

        

    app_main图3: Microsoft Azure Active Directory应用程序页

         

    证书和密钥

    如果您正在运行AsyncOS 14.0或更高版本,思科建议将Azure应用配置为使用客户端密码。  在应用程序窗格中,在管理选项中:

    1. 选择证书和密钥

    2. 在客户端密钥部分,单击+新客户端密钥

    3. 添加说明以帮助确定此客户端密钥的用途,例如“思科安全邮件补救”

    4. 选择到期期间

    5. 单击添加

    6. 将鼠标悬停在所生成值的右侧,然后单击复制到剪贴板图标

    7. 将此值保存到您的注释中,请将此值记为“客户端密码”

    客户端密码图4: Microsoft Azure create client secret示例

        

    注意:一旦退出活动的Microsoft Azure会话,您刚生成的客户端密钥的值将***出该值。  如果您在退出前没有记录和保护该值,则需要重新创建客户端加密口令才能看到明文输出。

       

    可选- 如果您未使用客户端密钥配置Azure应用程序,请将Azure应用程序配置为使用您的证书。  在应用程序窗格中,在管理选项中:

    1. 选择证书和密钥
    2. 点击上传证书
    3. 选择CRT文件(如之前创建)
    4. 点击添加

         

    API权限

    注意:从AsyncOS 13.0 for Email Security开始,所需的Microsoft Azure到Cisco Secure Email通信的API权限已从使用Microsoft Exchange更改为Microsoft Graph。  如果您已经配置了MAR,并且要将现有的Cisco安全邮件网关升级到AsyncOS 13.0,则只需更新/添加新的API权限即可。  (如果您运行的AsyncOS版本为11.x或12.x,请参阅附录B后继续。)

    在应用程序窗格中,在管理选项中:

    1. 选择API权限
    2. 单击+“添加权限”
    3. 选择Microsoft Graph
    4. 选择以下对应用程序权限的权限:
      1. Mail >“Mail.Read”(读取所有邮箱中的邮件)
      2. Mail >“Mail.ReadWrite”(在所有邮箱中读取和写入邮件)
      3. Mail >“Mail.Send”(以任何用户身份发送邮件)
      4. Directory > "Directory.Read.All" (Read directory data) [*可选:如果您正在使用LDAP连接器/LDAP同步,请启用。  如果不是,则无需执行此操作。]
    5. 可选:您将看到Microsoft Graph默认情况下启用“User.Read”权限;您可以保留此权限的配置不变,或单击Read 并单击Remove permission,将此权限从与应用程序关联的API权限中删除。
    6. 单击Add permissions(如果已经列出了Microsoft Graph,请单击Update permissions)
    7. 最后,单击Grant admin consent for...以确保您的新权限应用于该应用程序
    8. 窗格中将显示一个弹出窗口,询问:

    是否要为<Azure Name>中的所有帐户所请求的权限授予许可?这将更新此应用已有的任何现有管理员同意记录,使其与下面列出的内容匹配。

    单击Yes

        

    此时,您应该会看到绿色的成功消息,并且“需要管理员同意”(Admin Consent Required)列显示已批准(Granted)。

         

    获取您的客户端ID和租户ID

    在应用程序窗格中,在管理选项中:

    1. 点击概述
    2. 将鼠标悬停在应用程序(客户端)ID右侧,然后单击复制到剪贴板图标
    3. 将此值保存到您的注释中,请将此值记为“客户端ID”
    4. 将鼠标悬停在目录(租户) ID右侧,然后点击复制到剪贴板图标
    5. 将此值保存到您的注释,请将此值记为“租户ID”

    application_client图5: Microsoft Azure...客户端ID、租户ID示例

         

    配置您的思科安全邮件网关/云网关

        

    此时,应准备以下值并将其保存到您的注释中:

    • 客户端ID
    • 租户Id
    • 客户端密码

    可选,如果不使用客户端密码:

    • 指纹
    • 私钥(PEM文件)

      

    您已准备好使用您的注释中创建的值并在Cisco Secure Email网关上配置帐户设置!

        

    创建帐户配置文件

    1. 登录到您的网关
    2. 导航到系统管理>帐户设置
      • 注意:如果您运行的AsyncOS 13.x之前的版本是系统管理>邮箱设置
    3. 单击Enable
    4. 点击“启用帐户设置”复选框,然后点击提交
    5. 点击创建帐户配置文件
    6. 提供配置文件名称和说明(如果您有多个域,则可以唯一描述您的帐户)
    7. 在定义Microsoft 365连接时,请将配置文件类型保留为Office 365/混合(图形API)
    8. 输入您的客户端ID
    9. 输入您的租户ID
    10. 对于客户端凭据,按照您在Azure中的配置执行下列操作之一:
      1. 单击Client Secret,然后粘贴到您配置的客户端密钥或……
      2. 单击Client Certificate,然后输入您的指纹,并通过单击“Choose File”提供您的PEM 
    11. 单击 Submit
    12. 单击UI右上方的Commit Changes
    13. 输入任何备注,并通过点击确认更改完成配置更改

                

    检查连接

    下一步仅验证从思科安全电子邮件网关到Microsoft Azure的API连接:

    1. 从同一Account Details页中,单击Test Connection
    2. 输入在Microsoft 365帐户中管理的域的有效邮件地址
    3. 单击测试连接
    4. 您应该会收到一条成功消息(图6)
    5. 单击完成完成

        

    MAR_test图6:帐户配置文件/连接检查示例

         

    6. 在域映射部分,单击创建域映射

    7. 输入与刚刚验证的API连接的Microsoft 365帐户关联的域名

    以下是可用于映射邮箱配置文件的有效域格式列表:

    - 域可以是特殊关键字“ALL”,用于匹配所有域,以便创建默认域映射。

    - 域名(例如“example.com”)-匹配任意地址与此域。

    - 部分域名(例如'@.partial.example.com') -匹配以此域结尾的任何地址

    - 可以使用逗号分隔的域列表输入多个域。

    8. 单击Submit

    9. 单击UI右上方的Commit Changes

    10. 输入任何备注,并通过点击提交更改完成配置更改

         

         

    在邮件策略中为高级恶意软件防护启用邮箱自动补救(MAR)

        

    完成此步骤可在邮件策略的AMP配置中启用MAR。

        

    1. 导航到邮件策略>传入邮件策略
    2. 点击要配置的策略名称的“高级恶意软件防护”(Advanced Malware Protection)列中的设置(例如,图7):

    mail_policy图7:启用MAR(传入邮件策略)

    1. 滚动到页面底部
    2. 点击启用邮箱自动补救(MAR)复选框
    3. 选择您要为MAR采取的以下操作之一(例如,图8):
      • 转发至:<输入电子邮件地址>
      • DELETE
      • 转发至:<输入电子邮件地址>并删除

    MAR_AMP_policy图8:启用AMP的MAR配置示例

        

    1. 单击 Submit
    2. 单击UI右上方的Commit Changes
    3. 输入任何备注,并通过点击确认更改完成配置更改

    启用邮箱自动补救(MAR)以进行URL过滤

        

    从AsyncOS 14.2 for Cisco Secure Email Cloud Gateway开始,URL过滤现在包括URL追溯性判定和URL补救

    1. 导航到安全服务> URL过滤
    2. 如果您尚未配置URL过滤,请点击启用
    3. 点击“Enable URL Category and Reputation Filters”复选框
    4. 高级设置(默认)
    5. 单击 Submit

    您的URL过滤应类似于以下内容:

    URL_retro_1图9:启用后的URL过滤示例

    要查看带有内部URL过滤功能的URL追溯,请执行以下操作或创建支持案例供思科执行:

    esa1.hcxxyy-zz.iphmx.com> urlretroservice enable

    URL Retro Service is enabled.

    esa1.hcxxyy-zz.iphmx.com> websecurityconfig

    URL Filtering is enabled.
    No URL list used.
    Web Interaction Tracking is enabled.
    URL Retrospective service based Mail Auto Remediation is disabled.
    URL Retrospective service status - Unavailable

    Disable URL Filtering? [N]>

    Do you wish to disable Web Interaction Tracking? [N]>

    Do you wish to add URLs to the allowed list using a URL list? [N]>


    Enable URL Retrospective service based Mail Auto Remediation to configure remediation actions.

    Do you wish to enable Mailbox Auto Remediation action? [N]> y

    URL Retrospective service based Mail Auto Remediation is enabled.

    Please select a Mailbox Auto Remediation action:
    1. Delete
    2. Forward and Delete
    3. Forward
    [1]> 1

    esa1.hcxxyy-zz.iphmx.com> commit

    Please enter some comments describing your changes:
    []>

    Do you want to save the current configuration for rollback? [Y]>

    Changes committed: Tue Mar 29 19:43:48 2022 EDT

         

    完成后,在URL Filtering页面上刷新UI,此时应显示类似以下内容:

    url_filtering_enabled图10:URL过滤(AsyncOS 14.2用于思科安全邮件云网关)

         

    现在,URL保护已准备好在判定更改分数时执行补救措施。  有关详细信息,请参阅思科安全邮件云网关AsyncOS 14.2用户指南中的防止恶意或不需要的URL

        

    配置完成!

        

    此时,思科安全电邮已准备就绪,能够在新信息出现时持续评估新出现的威胁,并在文件进入您的网络后通知您。

        

    当从文件分析(思科安全恶意软件分析)生成追溯性判定时,信息消息会发送给邮件安全管理员(如果已配置)。  示例:

    信息示例

    如果根据邮件策略进行配置,邮箱自动补救将采取已配置的方式。

    邮箱自动修正报告示例

        

    已修复的任何SHA256的报告都将包含在思科安全邮件网关和思科安全邮件和网络管理器上可用的邮箱自动修复报告中。

        

    Legacy_UI_reporting图11:(传统UI)邮箱自动补救报告

         

    NGUI_reporting图12: (NG UI)邮箱自动修正报告

    邮箱自动补救日志记录

        

    邮箱自动补救具有单独的日志“mar”。  邮箱自动补救日志将包含Cisco安全电子邮件网关与Microsoft Azure、Microsoft 365之间的所有通信活动。

        

    以下是日志示例:

    Mon May 27 02:24:28 2019 Info: Version: 12.1.0-087 SN: 420DE3B51AB744C7F092-9F0000000000
    Mon May 27 02:24:28 2019 Info: Time offset from UTC: 18000 seconds
    Fri May 31 01:11:53 2019 Info: Process ready for Mailbox Auto Remediation
    Fri May 31 01:17:57 2019 Info: Trying to connect to Azure AD.
    Fri May 31 01:17:57 2019 Info: Requesting token from Azure AD.
    Fri May 31 01:17:58 2019 Info: Token request successful.
    Fri May 31 01:17:58 2019 Info: The appliance is able to read the user's(robsherw@bce-demo.info) mailbox.
    Fri May 31 04:41:54 2019 Info: Trying to perform the configured action on MID:312391 SHA256:de4dd03acda0a24d0f7e375875320538952f1fa30228d1f031ec00870ed39f62 Recipient:robsherw@bce-demo.info.
    Fri May 31 04:41:55 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.
    Tue Jun  4 04:42:20 2019 Info: Trying to perform the configured action on MID:348938 SHA256:7d06fd224e0de7f26b48dc2daf7f099b3770080d98bd38c49ed049087c416c4b Recipient:robsherw@bce-demo.info.
    Tue Jun  4 04:42:21 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.

         

    Cisco安全电子邮件网关故障排除

        

    如果您没有看到连接状态测试成功的结果,您可能希望查看从Microsoft Azure AD执行的应用程序注册。

        

    从Cisco安全电邮网关将您的MAR日志设置为“跟踪”级别,然后重新测试连接。

        

    对于不成功的连接,日志可能会显示类似以下内容:

    Thu Mar 30 16:08:49 2017 Info: Trying to connect to Azure AD.
    Thu Mar 30 16:08:49 2017 Info: Requesting token from Azure AD.
    Thu Mar 30 16:08:50 2017 Info: Error in requesting token: AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
     Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
     Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
     Timestamp: 2017-03-30 20:08:50Z
    Thu Mar 30 16:08:50 2017 Info: Error while requesting token AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
     Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
     Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
     Timestamp: 2017-03-30 20:08:50Z

        

    确认日志中的应用程序ID、目录ID(与租户ID相同)或其他关联标识符,以及Azure AD中的应用程序。如果您不确定这些值,请从Azure AD门户中删除应用程序并重新开始。

        

    对于成功的连接,日志应类似于:

    Thu Mar 30 15:51:58 2017 Info: Trying to connect to Azure AD.
    Thu Mar 30 15:51:58 2017 Info: Requesting token from Azure AD.
    Thu Mar 30 15:51:58 2017 Trace: command session starting
    Thu Mar 30 15:52:00 2017 Info: Token request successful.
    Thu Mar 30 15:52:00 2017 Info: The appliance is able to read the user's(myuser@mydomain.onmicrosoft.com) mailbox.

         

    Azure AD故障排除

            

    注意:思科TAC和思科支持无权解决与Microsoft Exchange、Microsoft Azure AD或Office 365相关的客户方问题。

        

    对于Microsoft Azure AD的客户方问题,您需要与Microsoft支持部门接洽。 请从Microsoft Azure仪表板中查看“帮助+支持”选项。 您可以从控制面板向Microsoft支持部门提出直接支持请求。

         

    附录 A

    注意:只有当您未使用客户端密钥设置Azure应用程序时才需要这样做。

         

    构建公共和专用证书以及密钥对

        

    提示请将$base64Value$base64Thumbprint$keyid的输出保存在本地,因为稍后配置步骤将会需要这些输出。 请将证书的.crt和关联的.pem放在计算机上可用的本地文件夹中。

    注意:如果您已经拥有证书(x509格式/标准)和私钥,请跳过此部分。  请确保您同时具有CRT和PEM文件,因为您将在接下来的部分中需要它们!    

        

    证书:Unix/Linux(使用openssl)

    要创建的值:

    指纹

    公共证书(CRT文件)

    私钥(PEM文件)

        

    使用Unix/Linux/OS X的管理员为了执行提供的脚本,假定您已安装了OpenSSL。

        

    注意:运行“which openssl”和“openssl version”命令以验证OpenSSL安装。安装OpenSSL(如果它不存在)!

        

    如需帮助,请参阅以下文档:Azure AD Configuration Script for Cisco Secure Email

        

    从您的主机(UNIX/Linux/OS X): 

    1. 在终端应用程序、文本编辑器(或您愿意创建shell脚本的任何方法)中,通过复制以下内容来创建脚本:https://raw.githubusercontent.com/robsherw/my_azure/master/my_azure.sh
    1. 粘贴脚本
    2. 请确保使脚本可执行!运行以下命令:chmod u+x my_azure.sh
    3. 运行脚本:./my_azure.sh

    script_output_示例图13:my_azure.sh的屏幕输出

         

    如图2所示,脚本会构建并调用Azure应用注册所需的公共证书(CER文件)。该脚本还调您将在“配置Cisco安全邮件”部分使用的ThumbprintandCertificate私钥(PEM文件)。 

    您拥有在Microsoft Azure中注册我们的应用程序所需的值! 

         

    [跳过下一部分!  请继续执行“注册Azure应用以使用思科安全邮件”]

         

    证书:Windows(使用PowerShell)

    对于使用Windows的管理员,您需要利用应用或具备创建自签名证书的知识。  此证书用于创建Microsoft Azure应用程序并关联API通信。

    要创建的值:

    指纹

    公共证书(CRT文件)

    私钥(PEM文件)

         

    本文档创建自签名证书的示例使用XCA (https://hohnstaedt.de/xca/https://sourceforge.net/projects/xca/)。

        

    注意:可以为Mac、Linux或Windows下载XCA。

        

    1. 为证书和密钥创建数据库:

    a.从工具栏中选择文件

    b.选择新数据库

    c.为您的数据库创建口令

    (后面的步骤中将需要它,请记住它!)

    2. 单击“证书”选项卡,然后单击新建证书

    3. 单击“主题”选项卡并填写以下内容:

    a.内部名称

    b.国家/地区名称

    c. stateOrProvinceName

    d. localityName

    e.组织名称

    f. organizationalUnitName (OU)

    g. commonName (CN)

    h.电子邮件地址

    4. 单击生成新密钥

    5. 在弹出窗口中,验证所提供的信息

    (根据需要更改):

    a.姓名

    b.密钥类型:RSA

    c.密钥长度:2048位

    d.点击“创建”

    e.点击确定以确认“已成功创建RSA私钥‘名称’”弹出窗口

    		 XCA_1图14:使用XCA(步骤3-5)

    6. 单击“密钥用法”选项卡,然后选择以下选项:

    a.在X509v3 Key Usage:

        数字签名、密钥加密

    b.在X509v3 Extended Key Usage下:

        电子邮件保护

    		 XCA_2图15:使用XCA(第6步)

    7. 单击确定,将更改应用于您的证书

    8.单击确定以确认“已成功创建证书‘名称’”弹出窗口

        

    接下来,您要导出公共证书(CER文件)证书私钥(PEM文件),以便下一步在PowerShell命令中使用,并用于配置Cisco Secure邮件步骤:

        

    1. 单击并突出显示新创建的证书的“内部名称”。

    2. 单击导出

    a.设置存储目录以便于访问(根据需要更改)

    b.确保导出格式设置为PEM (.crt)

    c.单击确定

    		 XCA_3图16:使用XCA(导出CRT)(步骤1-2)

    3. 单击私钥选项卡

    4. 单击并突出显示新创建的证书的“内部名称”。

    5. 单击导出

    a.设置存储目录以便于访问(根据需要更改)

    b.确保导出格式设置为PEM专用(.pem)

    c.单击确定

    6. 退出并关闭XCA

    		 XCA_4图17:使用XCA(导出PEM)(步骤3-5)

        

        

    最后,您将获取您创建的证书并提取指纹,这是配置Cisco安全电子邮件所必需的。

        

    1. 使用Windows PowerShell,运行以下命令:
    $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
    $cer.Import("c:\Users\joe\Desktop\myCert.crt")
    $bin = $cer.GetRawCertData()
    $base64Value = [System.Convert]::ToBase64String($bin)
    $bin = $cer.GetCertHash()
    $base64Thumbprint = [System.Convert]::ToBase64String($bin)
    $keyid = [System.Guid]::NewGuid().ToString()[Note: “c:\Users\joe\Desktop...” is the location on your PC where your CRT file is saved.]

        

    1. 要获取后续步骤的值,请保存到文件或复制到剪贴板:
    $base64Thumbprint | Out-File c:\Users\joe\Desktop\base64Thumbprint.txt
    $base64Thumbprint

        

    注意"c:\Users\joe\Desktop..."是PC上保存输出的位置。

        

    运行PowerShell命令时的预期输出应类似于以下内容:

    PS C:\Users\joe\Desktop> $base64Thumbprint
    75fA1XJEJ4I1ZVFOB2xqkoCIh94=

        

    如您所见,PowerShell命令可调用base64Thumbprint,这是Cisco安全电子邮件网关配置所需的Thumbprint 

    您还创建了Azure应用注册所需的公共证书(CER文件)。并且,您已创建将在“配置思科安全邮件”部分中使用的证书私钥(PEM文件)

    您拥有在Microsoft Azure中注册应用程序所需的值!

         

    [请继续执行“注册Azure应用以便用于思科安全邮件”]

         

    附录 B

    注意:仅当在网关上运行AsyncOS 11.x或12.x for Email时才需要这样做。

    API权限(AsyncOS 11.x、12.x)

    在应用程序窗格中,在管理选项中……

    1. 选择API权限
    2. 单击+“添加权限”
    3. 向下滚动到支持的传统API并选择Exchange
    4. 选择以下对授权权限的权限:
      1. EWS > "EWS.AccessAsUser.All"(通过Exchange Web服务以登录用户身份访问邮箱)
      2. 邮件>“Mail.Read”(读取用户邮件)
      3. Mail >“Mail.ReadWrite”(读取和写入用户邮件)
      4. Mail >“Mail.Send”(以用户身份发送邮件)
    5. 滚动到窗格顶部……
    6. 选择以下对应用程序权限的权限:
      1. “full_access_as_app”(使用具有对所有邮箱的完全访问权限的Exchange Web服务)
      2. 邮件>“Mail.Read”(读取用户邮件)
      3. Mail >“Mail.ReadWrite”(读取和写入用户邮件)
      4. Mail >“Mail.Send”(以用户身份发送邮件)
    7. 可选:您将看到Microsoft Graph默认情况下启用“User.Read”权限;您可以保留此权限的配置不变,或单击Read 并单击Remove permission,将此权限从与应用程序关联的API权限中删除。
    8. 单击Add permissions(如果已经列出了Microsoft Graph,请单击Update permissions)
    9. 最后,单击Grant admin consent for...以确保您的新权限应用于该应用程序
    10. 窗格中将显示一个弹出窗口,询问:

    是否要为<Azure Name>中的所有帐户所请求的权限授予许可?这将更新此应用已有的任何现有管理员同意记录,使其与下面列出的内容匹配。

    单击Yes

        

    此时,您应该会看到绿色的成功消息,并且“需要管理员同意”(Admin Consent Required)列显示“已批准”(Granted),如下所示:

        

    legacy_API图18: Microsoft Azure应用注册(需要API权限)

         

    [请继续执行“注册Azure应用以便用于思科安全邮件”]

         

         

    相关信息

      修订历史记录

      版本 发布日期 备注
      2.0
      22-Jun-2022
      刷新包含更新的首选项的文章,以便使用Microsoft Azure中的客户端密码。
      1.0
      31-Aug-2021
      初始版本
      TAC Authored

      由思科工程师提供

      • 罗伯特·舍温
        思科安全电邮技术营销工程师

      此文档是否有帮助?

      Feedback反馈

      联系我们

      本文档适用于以下产品