如何為Microsoft Azure (Microsoft 365) API配置思科安全電子郵件帳戶設定

簡介

本文檔提供了在Microsoft Azure (Azure Active Directory)中註冊新應用程式以生成所需客戶端ID、租戶ID和客戶端憑據的分步操作方法，然後提供了思科安全電子郵件網關或雲網關上的帳戶設定的配置。當郵件管理員為高級惡意軟體防護(AMP)或URL過濾配置郵箱自動補救(MAR)或利用思科安全郵件和網路管理器或思科安全網關/雲網關上的郵件跟蹤中的補救操作時，需要配置帳戶設定和相關帳戶配置檔案。

信箱自動修正處理流程

您的電子郵件或URL中的附件（檔案）在任何時候都可能被評定為惡意，即使它到達使用者的郵箱之後也是如此。思科安全電子郵件上的AMP（透過思科安全惡意軟體分析）可以在出現新資訊時辨識此發展，並將追溯性警報推送至思科安全電子郵件。Cisco Talos的URL分析功能與AsyncOS 14.2 for Cisco Secure Email Cloud Gateway相同。  如果您的組織使用Microsoft 365管理郵箱，則可以配置Cisco Secure Email，以便在這些威脅判定更改時對使用者郵箱中的郵件執行自動補救操作。

Cisco Secure Email安全且直接地與Microsoft Azure Active Directory通訊，以訪問Microsoft 365郵箱。  例如，如果包含附件的電子郵件透過網關處理並由AMP掃描，則檔案附件(SHA256)會提供給AMP以獲得檔案信譽。  AMP處置可以標籤為Clean（步驟5，圖1），然後傳送到最終收件人的Microsoft 365郵箱。  稍後，AMP處置更改為「惡意」，思科惡意軟體分析會向處理該特定SHA256的任何網關傳送追溯裁決更新（步驟8，圖1）。一旦網關收到惡意（如果已配置）的追溯裁決更新，則網關將採取以下郵箱自動補救(MAR)操作之一：轉發、刪除或轉發和刪除。

圖1：思科安全電郵上的MAR（適用於AMP）

    

本指南介紹如何使用Microsoft 365配置Cisco Secure Email僅用於郵箱自動補救。  應已配置網關上的AMP（檔案信譽和檔案分析）和/或URL過濾。  有關檔案信譽和檔案分析的更多詳細資訊，請參閱使用手冊以瞭解所部署的AsyncOS版本。

    

必要條件

1. Microsoft 365帳戶訂閱（請確保您的Microsoft 365帳戶訂閱包含對Exchange的訪問，例如企業E3或企業E5帳戶。）

2. Microsoft Azure管理員帳戶和對http://portal.azure.com的訪問許可權

3. Microsoft 365和Microsoft Azure AD帳戶均正確繫結到有效的「user@domain.com」電子郵件地址，並且你可以透過該電子郵件地址傳送和接收電子郵件。

您將建立以下值以配置與Microsoft Azure AD的思科安全電子郵件網關API通訊：

• 使用者端ID
• 租戶ID
• 使用者端密碼

注意：從AsyncOS 14.0開始，帳戶設定允許在建立Microsoft Azure應用註冊時使用客戶端金鑰進行配置。這是比較容易且較佳的方法。

   

可選- 如果未使用客戶端金鑰，則需要建立並做好準備：

• 指紋
• 私密金鑰（PEM檔案）

本指南的附錄中介紹了建立指紋和私鑰：

1. 使用中的公用（或私人）憑證(CER)以及用於簽署憑證(PEM)的私密金鑰，或建立公用憑證(CER)的能力，以及儲存用於簽署憑證的私密金鑰(PEM)的能力。根據您的管理偏好設定，Cisco在本檔案中提供兩種方法來完成此操作：
   1. 憑證：Unix/Linux/OS X （使用OpenSSL）
   2. 憑證：Windows （使用PowerShell）

2. 存取Windows PowerShell，通常由Windows主機或伺服器管理，或透過Unix/Linux存取終端機應用程式

為了構建這些必需的值，您需要完成本文檔中提供的步驟。

    

註冊Azure應用以便與思科安全電子郵件配合使用

申請註冊

登入您的Microsoft Azure門戶 1. 按一下Azure Active Directory（圖2） 2. 點選應用註冊 3. 點選+新註冊 4. 在「註冊應用程式」頁面上： a.名稱：Cisco Secure Email MAR（或您選擇的名稱） b.支援的帳戶型別：僅限此組織目錄中的帳戶（帳戶名稱） c.重定向URI：（可選） [注意：您可以將此欄位留空，也可以隨意使用https://www.cisco.com/sign-on進行填充] d.按一下頁面底部的註冊

圖2： Microsoft Azure Portal示例

    

完成上述步驟後，您將會看到您的應用程式：

    

圖3： Microsoft Azure Active Directory應用程式頁

     

證書和機密

如果您運行的是AsyncOS 14.0或更高版本，思科建議將Azure應用配置為使用客戶端密碼。  在應用程式窗格的「管理」選項中：

1. 選擇證書和金鑰

2. 在Client secrets部分中，按一下+New client secret

3. 增加描述以幫助確定此客戶端金鑰的用途，例如「思科安全電子郵件補救」

4. 選取到期期間

5. 按一下增加

6. 將滑鼠移至產生之值的右側，然後按一下「複製到剪貼簿」圖示

7. 將此值儲存至備註，請將此值記為「使用者端密碼」

圖4： Microsoft Azure建立客戶端金鑰示例

    

注意：一旦您退出活動的Microsoft Azure會話，您剛生成的客戶端金鑰值將***出該值。  如果您在退出之前不記錄和保護該值，則需要重新建立客戶端密碼才能看到明文輸出。

   

可選- 如果您未使用客戶端金鑰配置Azure應用程式，請將Azure應用配置為使用您的證書。  在應用程式窗格的「管理」選項中：

1. 選擇證書和金鑰
2. 點選上傳證書
3. 選取CRT檔案（如先前所建立）
4. 點選增加

     

API許可權

注意：從AsyncOS 13.0開始，郵件安全需要Microsoft Azure到Cisco Secure Email通訊的API許可權已從使用Microsoft Exchange更改為Microsoft Graph。  如果您已經配置了MAR，並且要將現有的Cisco Secure Email網關升級到AsyncOS 13.0，則只需更新/增加新的API許可權即可。  （如果您運行的是較舊版本的AsyncOS、11.x或12.x，請參閱附錄B再繼續。）

在應用程式窗格的「管理」選項中：

1. 選擇API許可權
2. 點選+增加許可權
3. 選擇Microsoft Graph
4. 在應用程式許可權上選取下列許可權：
   1. 郵件>「Mail.Read」（讀取所有郵箱中的郵件）
   2. 郵件>「Mail.ReadWrite」（在所有郵箱中讀取和寫入郵件）
   3. 「郵件」(Mail) >「郵件」(Mail.Send)（以任意使用者身份傳送郵件）
   4. Directory > 「Directory.Read.All」（讀取目錄資料） [*可選：如果使用LDAP聯結器/LDAP同步，請啟用。  如果不是，則此為不必要項。]
5. 可選：您將看到Microsoft Graph預設情況下啟用「User.Read」許可權；您可以將此許可權保留為已配置，或按一下讀取並按一下刪除許可權，將此許可權從與您的應用程式關聯的API許可權中刪除。
6. 按一下Add permissions(如果已經列出了Microsoft Graph，請按一下Update permissions)
7. 最後，按一下Grant admin consent for...以確保您的新許可權應用於該應用程式
8. 窗格中會出現一個快顯視窗，詢問您：

「是否要對<Azure Name>中所有帳戶的請求許可權授予許可？這將更新此應用程式已經擁有的與下面所列內容匹配的任何現有管理員同意記錄。」

按一下Yes

    

此時，您應該會看到綠色成功消息，並且「需要管理員同意」列顯示「已授權」。

     

獲取您的客戶端ID和租戶ID

在應用程式窗格的「管理」選項中：

1. 點選概述
2. 將滑鼠懸停在應用程式（客戶端）ID右側，然後按一下Copy to Clipboard圖示
3. 將此值儲存到您的註釋，請將此值記為「客戶端ID」
4. 將滑鼠懸停在目錄（租戶） ID右側並點選複製到剪貼簿圖示
5. 將此值儲存到您的筆記，請將此記為「租戶ID」

圖5： Microsoft Azure...客戶端ID、租戶ID示例

     

配置您的思科安全郵件網關/雲網關

    

此時，您應準備下列值並將其儲存至備註：

• 使用者端ID
• 租戶ID
• 使用者端密碼

可選，如果未使用客戶端密碼：

• 指紋
• 私密金鑰（PEM檔案）

  

您已準備好使用您的備註中建立的值，並在思科安全郵件網關上配置帳戶設定！

    

建立帳戶設定檔

1. 登入您的閘道
2. 導航到系統管理>帳戶設定
   • 注意：如果您運行的AsyncOS 13.x之前的版本是System Administration > Mailbox Settings
3. 按一下Enable
4. 按一下「Enable Account Settings」覈取方塊，然後按一下Submit
5. 點選建立帳戶配置檔案
6. 提供設定檔名稱與說明（如果您有多個網域，此名稱與說明會唯一地描述您的帳戶）
7. 在定義Microsoft 365連線時，請將配置檔案型別保留為Office 365/混合(Graph API)
8. 輸入您的使用者端ID
9. 輸入您的租戶ID
10. 對於客戶端憑證，請執行以下操作之一，就像您在Azure中配置的一樣：
    1. 按一下Client Secret並貼上到已配置的客戶端金鑰或……
    2. 按一下Client Certificate，然後輸入您的指紋，再按一下「Choose File」提供您的PEM 
11. 點選提交
12. 按一下UI右上角的Commit Changes
13. 輸入任何註釋，並透過按一下Commit Changes完成配置更改

            

檢查連線

下一步僅驗證從思科安全電子郵件網關到Microsoft Azure的API連線：

1. 在同一帳戶詳細資訊頁中，按一下測試連線。
2. 輸入您的Microsoft 365帳戶所管理之網域的有效電子郵件地址
3. 按一下測試連線
4. 您應該會收到一條成功消息（圖6）
5. 按一下完成完成

    

圖6：帳戶配置檔案/連線檢查示例

     

6. 在域對映部分中，按一下建立域對映

7. 輸入與剛驗證其API連線的Microsoft 365帳戶相關聯的網域名稱

以下是可用於對映信箱設定檔的有效網域格式清單：

- 域可以是特殊關鍵字「ALL」以匹配所有域，從而建立預設域對映。

- 域名（例如「example.com」） -匹配任意地址與此域。

- 部分域名，例如「@.partial.example.com」-匹配以此域結尾的所有地址

- 可以使用逗號分隔的域清單輸入多個域。

8. 按一下提交

9. 按一下UI右上方的提交更改

10. 輸入任何註解，然後按一下「確認變更」來完成組態變更

     

     

啟用信箱自動修正(MAR)以在郵件策略中提供進階惡意軟體防護

    

完成此步驟以啟用郵件策略的AMP配置中的MAR。

    

1. 導航到郵件策略>傳入郵件策略
2. 點選要配置的策略名稱的Advanced Malware Protection列中的設定（例如，圖7）：

圖7：啟用MAR（傳入郵件策略）

3. 捲動至頁面底端
4. 點選啟用郵箱自動補救(MAR)覈取方塊
5. 選擇您要對MAR採取的下列操作之一（例如，圖8）：
   • 轉寄至：<輸入電子郵件地址>
   • 刪除
   • 轉寄至：<輸入電子郵件地址>並刪除

圖8：啟用AMP的MAR配置示例

    

6. 點選提交
7. 按一下UI右上角的Commit Changes
8. 輸入任何註釋，並透過按一下Commit Changes完成配置更改

啟用信箱自動修正(MAR)以進行URL篩選

    

從AsyncOS 14.2 for Cisco Secure Email Cloud Gateway開始，URL過濾現在包括URL追溯性裁決和URL補救。

1. 導航到安全服務> URL過濾
2. 如果您尚未配置URL過濾，請點選啟用
3. 點選「啟用URL類別和信譽過濾器」覈取方塊
4. 具有預設設定的高級設定
5. 點選提交

您的URL過濾應類似於以下內容：

圖9： URL過濾後啟用示例

要檢視帶內URL過濾的URL追溯，請執行以下操作或打開支援案例供思科執行：

esa1.hcxxyy-zz.iphmx.com> urlretroservice enable

URL Retro Service is enabled.

esa1.hcxxyy-zz.iphmx.com> websecurityconfig

URL Filtering is enabled.
No URL list used.
Web Interaction Tracking is enabled.
URL Retrospective service based Mail Auto Remediation is disabled.
URL Retrospective service status - Unavailable

Disable URL Filtering? [N]>

Do you wish to disable Web Interaction Tracking? [N]>

Do you wish to add URLs to the allowed list using a URL list? [N]>


Enable URL Retrospective service based Mail Auto Remediation to configure remediation actions.

Do you wish to enable Mailbox Auto Remediation action? [N]> y

URL Retrospective service based Mail Auto Remediation is enabled.

Please select a Mailbox Auto Remediation action:
1. Delete
2. Forward and Delete
3. Forward
[1]> 1

esa1.hcxxyy-zz.iphmx.com> commit

Please enter some comments describing your changes:
[]>

Do you want to save the current configuration for rollback? [Y]>

Changes committed: Tue Mar 29 19:43:48 2022 EDT

     

完成後，請在「URL篩選」頁面上重新整理您的UI，現在您應該會看到類似下列內容：

圖10：URL過濾（AsyncOS 14.2用於思科安全郵件雲網關）

     

現在，URL保護已準備好在判定結果更改分數時執行補救操作。  有關詳細資訊，請參閱AsyncOS 14.2 for Cisco Secure Email Cloud Gateway使用手冊中的防止惡意或不需要的URL。

    

配置完成！

    

目前，思科安全電郵已準備好在新資訊出現時持續評估新興威脅，並在確定是威脅的檔案進入您的網路後通知您。

    

當從檔案分析（思科安全惡意軟體分析）生成追溯性判定時，會向郵件安全管理員（如果已配置）傳送資訊消息。  範例：

如果根據郵件策略進行配置，則郵箱自動補救將採用配置方式。

郵箱自動修正報告示例

    

任何已修正的SHA256報告將包含在思科安全郵件網關和思科安全郵件和網路管理器上提供的郵箱自動修正報告中。

    

圖11：（傳統UI）郵箱自動修正報告

     

圖12：(NG UI)郵箱自動修正報告

信箱自動修正記錄日誌

    

郵箱自動修正具有單個日誌「mar」。  郵箱自動修正日誌將包含思科安全電子郵件網關與Microsoft Azure、Microsoft 365之間的所有通訊活動。

    

日誌的範例：

Mon May 27 02:24:28 2019 Info: Version: 12.1.0-087 SN: 420DE3B51AB744C7F092-9F0000000000
Mon May 27 02:24:28 2019 Info: Time offset from UTC: 18000 seconds
Fri May 31 01:11:53 2019 Info: Process ready for Mailbox Auto Remediation
Fri May 31 01:17:57 2019 Info: Trying to connect to Azure AD.
Fri May 31 01:17:57 2019 Info: Requesting token from Azure AD.
Fri May 31 01:17:58 2019 Info: Token request successful.
Fri May 31 01:17:58 2019 Info: The appliance is able to read the user's(robsherw@bce-demo.info) mailbox.
Fri May 31 04:41:54 2019 Info: Trying to perform the configured action on MID:312391 SHA256:de4dd03acda0a24d0f7e375875320538952f1fa30228d1f031ec00870ed39f62 Recipient:robsherw@bce-demo.info.
Fri May 31 04:41:55 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.
Tue Jun  4 04:42:20 2019 Info: Trying to perform the configured action on MID:348938 SHA256:7d06fd224e0de7f26b48dc2daf7f099b3770080d98bd38c49ed049087c416c4b Recipient:robsherw@bce-demo.info.
Tue Jun  4 04:42:21 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's (robsherw@bce-demo.info) mailbox.

     

Cisco Secure Email Gateway故障排除

    

如果您沒有看到連線狀態測試成功的結果，您可能希望檢視從Microsoft Azure AD執行的應用程式註冊。

    

從Cisco Secure Email網關，將您的MAR日誌設定為「跟蹤」級別，然後重新測試連線。

    

對於不成功的連線，日誌可能會顯示類似以下內容：

Thu Mar 30 16:08:49 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 16:08:49 2017 Info: Requesting token from Azure AD.
Thu Mar 30 16:08:50 2017 Info: Error in requesting token: AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
 Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
 Timestamp: 2017-03-30 20:08:50Z
Thu Mar 30 16:08:50 2017 Info: Error while requesting token AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
 Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
 Timestamp: 2017-03-30 20:08:50Z

    

確認來自日誌的應用程式ID、目錄ID（與租戶ID相同）或其他關聯識別符號，並在Azure AD中使用你的應用程式。如果你不確定這些值，請從Azure AD門戶刪除該應用程式，然後重新開始。

    

要成功連線，日誌應類似於：

Thu Mar 30 15:51:58 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 15:51:58 2017 Info: Requesting token from Azure AD.
Thu Mar 30 15:51:58 2017 Trace: command session starting
Thu Mar 30 15:52:00 2017 Info: Token request successful.
Thu Mar 30 15:52:00 2017 Info: The appliance is able to read the user's(myuser@mydomain.onmicrosoft.com) mailbox.

     

疑難排解Azure AD

        

注意：Cisco TAC和Cisco支援無權對Microsoft Exchange、Microsoft Azure AD或Office 365的客戶方問題進行故障排除。

    

對於Microsoft Azure AD的客戶方問題，您需要聯絡Microsoft支援。 請從Microsoft Azure儀表板檢視「幫助+支援」選項。 您可以從儀表板開啟直接支援要求給Microsoft支援。

     

附錄A

注意：僅當未使用客戶端金鑰設定Azure應用程式時，才需要執行此操作。

     

建立公用和專用證書及金鑰對

    

提示：請將輸出以$base64Value、$base64Thumbprint和$keyid儲存在本地（因為稍後在配置步驟中需要這些輸出）。 請將憑證的.crt和關聯的.pem放在電腦上可用的本機資料夾中。

注意：如果您已有證書（x509格式/標準）和私鑰，請跳過此部分。  請確保您同時擁有CRT和PEM檔案，因為您將在後續部分中需要它們！    

    

憑證：Unix/Linux （使用openssl）

要建立的值：

●指紋 ● 公用憑證（CRT檔案） ●私密金鑰（PEM檔案）

    

使用Unix/Linux/OS X的管理員為了執行提供的命令檔，假設您已安裝OpenSSL。

    

附註：執行命令'which openssl'和'openssl version'以驗證OpenSSL安裝。安裝OpenSSL （如果沒有）！

    

如需幫助，請參閱以下文檔：Azure AD思科安全電子郵件配置指令碼

    

從您的主機(UNIX/Linux/OS X)： 

1. 從終端應用程式、文字編輯器（或您想要建立shell程式檔的方式），複製下列專案來建立程式檔：https://raw.githubusercontent.com/robsherw/my_azure/master/my_azure.sh

2. 貼上命令檔
3. 請務必使指令碼可執行！運行以下命令：chmod u+x my_azure.sh
4. 運行指令碼：./my_azure.sh

圖13： my_azure.sh的螢幕輸出

     

如圖2所示，指令碼構建並呼叫Azure應用註冊所需的公共證書（CER檔案）。該指令碼還呼叫您將在「配置Cisco Secure電子郵件」部分中使用的ThumbprintandCertificate私鑰（PEM檔案）。 

您擁有在Microsoft Azure中註冊我們的應用程式所需的值！ 

     

[跳過下一節！  請繼續執行「註冊Azure應用以使用思科安全電子郵件」]

     

憑證：Windows （使用PowerShell）

對於使用Windows的管理員，您需要利用應用程式或具備建立自簽名證書的知識。  此證書用於建立Microsoft Azure應用程式並關聯API通訊。

要建立的值：

●指紋 ● 公用憑證（CRT檔案） ●私密金鑰（PEM檔案）

     

本文檔建立自簽名證書的示例使用XCA(https://hohnstaedt.de/xca/，https://sourceforge.net/projects/xca/)。

    

注意：可以為Mac、Linux或Windows下載XCA。

    

1. 為證書和金鑰建立資料庫： a.從工具欄中選擇檔案。 b.選擇新資料庫 c.為您的資料庫建立口令 （在後面的步驟中，您將需要它，請記住它！） 2. 按一下「證書」頁籤，然後按一下新建證書。
3. 按一下「主旨」頁標，並填寫下列專案： a.內部名稱 b.國家名稱 c. stateOrProvinceName d. localityName e.組織名稱 f. organizationalUnitName (OU) g. commonName (CN) h.電子郵件地址 4. 按一下生成新金鑰 5. 在快顯視窗中，確認所提供的資訊 （視需要變更）： a.姓名 b.金鑰型別：RSA c.金鑰大小：2048位 d.按一下「建立」 e.按一下確定，確認「已成功建立RSA私鑰『名稱』」彈出窗口	圖14：使用XCA（步驟3-5）
6. 按一下「主要用途」頁標，然後選取下列專案： a.在X509v3金鑰使用之下：     數位簽章、金鑰加密 b.在X509v3 Extended Key Usage下：     電子郵件保護	圖15：使用XCA（步驟6）
7. 按一下確定，將更改應用於您的證書 8. 按一下「確定」，確認「已成功建立憑證'名稱'」快顯視窗

    

接下來，您需要導出公共證書（CER檔案）和證書私鑰（PEM檔案），以便下一步在PowerShell命令中使用，並用於配置Cisco Secure Email步驟：

    

1. 按一下並反白顯示新建立憑證的「內部名稱」。 2. 按一下「匯出」 a.設定儲存目錄以便於存取（視需要變更） b.確保導出格式設定為PEM (.crt) c.按一下確定	圖16：使用XCA （匯出CRT）（步驟1-2）
3. 按一下私鑰頁籤 4. 按一下並反白顯示新建立憑證的「內部名稱」。 5. 按一下「匯出」 a.設定儲存目錄以便於存取（視需要變更） b.確保導出格式設定為PEM private (.pem) c.按一下確定 6. 退出並關閉XCA	圖17：使用XCA（導出PEM）（步驟3-5）

    

    

最後，您將獲取您建立的證書並解壓縮指紋，這是配置Cisco Secure Email所必需的。

    

1. 使用Windows PowerShell，執行下列動作：

$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import("c:\Users\joe\Desktop\myCert.crt")
$bin = $cer.GetRawCertData()
$base64Value = [System.Convert]::ToBase64String($bin)
$bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
$keyid = [System.Guid]::NewGuid().ToString()[Note: “c:\Users\joe\Desktop...” is the location on your PC where your CRT file is saved.]

    

2. 若要取得後續步驟的值，請儲存至檔案或複製到剪貼簿：

$base64Thumbprint | Out-File c:\Users\joe\Desktop\base64Thumbprint.txt
$base64Thumbprint

    

註： "c：\Users\joe\Desktop..."是您在PC上儲存輸出的位置。

    

運行PowerShell命令時的預期輸出應類似於以下內容：

PS C:\Users\joe\Desktop> $base64Thumbprint
75fA1XJEJ4I1ZVFOB2xqkoCIh94=

    

如您所見，PowerShell命令呼叫了base64Thumbprint，這是Cisco安全電子郵件網關配置所需的Thumbprint。 

您還已完成建立Azure應用註冊所需的公共證書（CER檔案）。您已經建立了將在「配置Cisco Secure電子郵件」部分中使用的證書私鑰（PEM檔案）。

您擁有在Microsoft Azure中註冊應用程式所需的值！

     

[請繼續執行「註冊Azure應用以使用思科安全電子郵件」]

     

附錄B

注意：僅當在網關上運行AsyncOS 11.x或12.x for Email時才需要執行此操作。

API許可權(AsyncOS 11.x、12.x)

在您的應用程式窗格上，在管理選項中……

1. 選擇API許可權
2. 點選+增加許可權
3. 向下滾動到Supported legacy APIs並選擇Exchange
4. 選取下列委派許可權的許可權：
   1. EWS >「EWS.AccessAsUser.All」（透過Exchange Web Services以登入使用者身份訪問郵箱）
   2. 郵件>「Mail.Read」（讀取使用者郵件）
   3. 郵件>「Mail.ReadWrite」（讀取和寫入使用者郵件）
   4. 「郵件」(Mail) >「郵件」(Mail.Send)（以使用者身份傳送郵件）
5. 捲動至窗格頂端……
6. 選取下列應用程式許可權許可權：
   1. 「full_access_as_app」（使用對所有郵箱具有完全訪問許可權的Exchange Web服務）
   2. 郵件>「Mail.Read」（讀取使用者郵件）
   3. 郵件>「Mail.ReadWrite」（讀取和寫入使用者郵件）
   4. 「郵件」(Mail) >「郵件」(Mail.Send)（以使用者身份傳送郵件）
7. 可選：您將看到Microsoft Graph預設情況下啟用「User.Read」許可權；您可以將此許可權保留為已配置，或按一下讀取並按一下刪除許可權，將此許可權從與您的應用程式關聯的API許可權中刪除。
8. 按一下Add permissions(如果已經列出了Microsoft Graph，請按一下Update permissions)
9. 最後，按一下Grant admin consent for...以確保您的新許可權應用於該應用程式
10. 窗格中會出現一個快顯視窗，詢問您：

「是否要對<Azure Name>中所有帳戶的請求許可權授予許可？這將更新此應用程式已經擁有的與下面所列內容匹配的任何現有管理員同意記錄。」

按一下Yes

    

此時，您應該會看到綠色成功消息，並且「需要管理員同意」列顯示「已授權」，與圖中所示類似：

    

圖18： Microsoft Azure應用註冊（需要API許可權）

     

[請繼續執行「註冊Azure應用以使用思科安全電子郵件」]

     

     

相關資訊

• 思科電子郵件安全裝置-產品支援
• 思科電子郵件安全裝置-發行版本註釋
• 思科郵件安全裝置-最終使用手冊