如何在思科网络安全设备(WSA)上免除Office 365流量的身份验证和解密

简介

本文介绍在网络安全设备(WSA)上免除Office 365流量身份验证和解密的过程。  Office 365和代理存在几个已知的兼容性问题，免除Office 365流量身份验证和解密有助于解决其中一些问题。 

注意：这不是Web代理的完全绕行，而且免除解密流量会阻止WSA检查由Office 365客户端生成的加密HTTPS流量。

配置步骤

概述:

1.     使用Office365外部源创建自定义URL类别
2.     为Office 365流量创建标识配置文件
3.     使Office 365流量免于解密策略

注意：此过程需要使用动态更新的Office 365外部JSON源，该源包含与Office 365关联的所有URL/IP地址。 

注意：AsyncOS版本10.5.3及11.5及以后版本支持此源。

1.使用Office365外部源创建自定义URL类别

• 导航至Web安全管理器 — >自定义和外部URL类别
• 单击“添加类别”
• 为类别指定名称，选择类别类型“外部实时源类别”，然后选择“”Office 365 Web服务"选项.
• 如果要测试WSA下载Office 365 JavaScript对象表示法(JSON)源的能力，请单击“开始测试”。
• 在底部，将“Auto Update the Feed”选项设置为“Hourly”，间隔为00:05（每5分钟）
• 单击“Submit”按钮。

2.为Office 365流量创建标识配置文件

• 导航至Web安全管理器 — >标识配置文件
• 单击“添加标识配置文件”
• 指定名称，将“Identification and Authentication”设置为“Exempt from authentication/identification”。
• 单击“Advanced(高级)”按钮，然后单击“URL Categories（URL类别）”旁边的链接
• 查找您在上一步中创建的类别，选择该类别，然后滚动到页面底部并单击“完成”按钮。

  现在，标识配置文件应如下所示：

• 单击屏幕底部的Submit按钮。

3.将Office 365流量从解密策略中豁免

• 导航至Web安全管理器 — >解密策略
• 单击“添加策略”
• 指定名称，然后在“Identification Profiles and Users”字段中，选择“Select One or More Identification Profiles”选项，然后从上一步中选择Office 365身份。

• 单击“Submit”(提交)按钮。
• 单击“URL Filtering”(URL过滤)下的链接，其中显示：1"
• 将Office 365类别设置为“直通”，然后单击“提交”按钮。

• 最后，单击GUI右上角的黄色“Commit Changes”按钮提交更改。

参考

有关如何在WSA中启用Office 365外部源和如何使Office 365免于解密策略的更多正式思科文档：

如何在AsyncOS中启用Office 365外部源以实现思科网络安全