如何免除Office 365流量在思科網路安全裝置(WSA)上的身份驗證和解密

簡介

本文描述免除Office 365流量在網路安全裝置(WSA)上進行身份驗證和解密的相關過程。  Office 365和代理存在幾個已知的相容性問題，免除Office 365流量身份驗證和解密可以解決其中的一些問題。 

附註：這不是Web代理的完全繞行，而免除流量解密會阻止WSA檢查Office 365客戶端生成的加密HTTPS流量。

配置步驟

概觀:

1.     使用Office365外部源建立自定義URL類別
2.     為Office 365流量建立標識配置檔案
3.     將Office 365流量從解密策略中免除

附註：此過程需要使用動態更新的Office 365外部JSON源，該源包含與Office 365關聯的所有URL/IP地址。 

附註：AsyncOS版本10.5.3及更高版本支援此饋送。

1.使用Office365外部源建立自定義URL類別

• 導航到Web Security Manager->自定義和外部URL類別
• 按一下「Add Category」
• 為類別分配名稱，將類別型別選擇為「外部即時源類別」，然後選擇Office 365 Web服務"。
• 如果要測試WSA下載Office 365 JavaScript Object Notation(JSON)源的能力，請按一下「Start Test」。
• 在底部，將「Auto Update the Feed」選項設定為「Hourly」，間隔為00:05（每5分鐘）
• 按一下「Submit」按鈕。

2.為Office 365流量建立標識配置檔案

• 導航到Web安全管理器 — >標識配置檔案
• 按一下「添加標識配置檔案」
• 分配名稱，將「Identification and Authentication」設定為「Exempt from authentication/identication」。
• 按一下「Advanced」按鈕，然後按一下「URL Categories」旁邊的連結
• 查詢在上一步中建立的類別，選擇該類別，然後滾動到頁面底部並按一下「完成」按鈕。

  標識配置檔案現在應如下所示：

• 按一下螢幕底部的「Submit」按鈕。

3.免除Office 365流量使用解密策略

• 導航到網路安全管理器 — >解密策略
• 按一下「Add Policy」
• 分配名稱，然後在「Identification Profiles and Users」欄位中，選擇「Select One or More Identification Profiles」選項，並從上一步中選擇您的Office 365身份。

• 按一下「Submit」按鈕。
• 按一下「URL Filtering」下的連結，該連結顯示「Monitor:1"
• 將Office 365類別設定為「Passthrough」，然後按一下「Submit」按鈕。

• 最後，按一下GUI右上角的黃色「Commit Changes」按鈕提交更改。

參考

有關如何啟用Office 365外部源和如何免除Office 365在WSA中的解密策略的更多Cisco正式文檔：

如何在AsyncOS中啟用思科網路安全的Office 365外部源