本文档提供在Microsoft Azure (Azure Active Directory)中注册新应用程序的分步“操作方法”，以生成所需的客户端ID、租户ID和客户端凭据，然后配置思科安全电子邮件网关或云网关上的帐户设置。当邮件管理员配置高级恶意软件防护(AMP)或URL过滤的邮箱自动补救(MAR)或使用思科安全邮件和网络管理器或思科安全网关/云网关上的邮件跟踪的补救操作时，需要配置帐户设置和相关帐户配置文件。

邮箱自动补救流程

您的电子邮件或URL中的附件（文件）随时可能被评定为恶意的，即使它到达用户邮箱后也是如此。思科安全邮件上的AMP（通过思科安全恶意软件分析）可以在出现新信息时识别此发展，并将向思科安全邮件推送追溯性警报。Cisco Talos提供的URL分析功能与AsyncOS 14.2 for Cisco Secure Email Cloud Gateway相同。  如果您的组织使用Microsoft 365管理邮箱，您可以配置Cisco Secure Email，以便在这些威胁判定更改时对用户邮箱中的邮件执行自动补救操作。

Cisco Secure Email安全直接与Microsoft Azure Active Directory通信，以获得对Microsoft 365邮箱的访问权限。 例如，如果包含附件的邮件通过网关处理并由AMP扫描，则文件附件(SHA256)会提供给AMP以获得文件信誉。 可以将AMP处置情况标记为正常（步骤5，图1），然后将其传送到最终收件人的Microsoft 365邮箱。 稍后，AMP处置更改为恶意，思科恶意软件分析会向处理了特定SHA256的 任何 网关发送追溯性判定更新（第8步，图1）。一旦网关收到恶意的追溯性判定更新（如果已配置），网关将随后执行以下邮箱自动补救(MAR)操作之一：转发、删除或转发和删除。

图1：思科安全邮件的MAR（适用于AMP）

本指南介绍如何使用Microsoft 365配置Cisco Secure Email，仅用于邮箱自动补救。 应已配置网关上的AMP（文件信誉和文件分析）和/或URL过滤。 有关 文件信誉和文件分析 的更多详细信息，请参阅用户指南以了解您已部署的AsyncOS版本。

1. Microsoft 365帐户订阅（请确保您的Microsoft 365帐户订阅包含对Exchange的访问权限，例如企业E3或企业E5帐户。）

2. Microsoft Azure管理员帐户和对 http://portal.azure.com 的访问权限

3. Microsoft 365和Microsoft Azure AD帐户均正确绑定到活动的“[email protected]”电子邮件地址，你可以通过该电子邮件地址发送和接收电子邮件。

您将创建以下值，以配置与Microsoft Azure AD的思科安全电子邮件网关API通信：

客户端ID

客户端密码

注意 ： 从AsyncOS 14.0开始， 帐户设置 允许在创建Microsoft Azure应用注册时使用客户端密钥进行配置。这是比较容易和首选的方法。

可选 -如果您未使用客户端密钥，则需要创建以下密钥并做好准备：

私钥（PEM文件）

本指南的附录中介绍了创建指纹和私钥：

活动公有（或私有）证书(CER)和用于签署证书(PEM)的私钥，或者能够创建公共证书(CER)，以及能够保存用于签署证书的私钥(PEM)。思科在本文档中提供了两种方法，以根据您的管理首选项完成此操作：

证书：Unix/Linux/OS X（使用OpenSSL）

证书：Windows（使用PowerShell）

对Windows PowerShell的访问，通常从Windows主机或服务器管理-或通过Unix/Linux访问终端应用程序

为了构建这些必需的值，您需要完成本文档中提供的步骤。

注册Azure应用以便与思科安全电子邮件配合使用

登录您的 Microsoft Azure门户

1. 点击 Azure Active Directory （图2）

2. 点击 应用注册

3. 点击 +新注册

4. 在“注册申请”页上：

a.名称： Cisco Secure Email MAR （或您选择的名称）
b.支持的帐户类型： 仅此组织目录中的帐户（帐户名称）
c.重定向URI：（可选）

[注意：您可以将此处留空，或者随意使用 https://www.cisco.com/sign-on 进行填写]
d.在页面底部，点击 注册

图2： Microsoft Azure门户示例

如果您正在运行AsyncOS 14.0或更高版本，思科建议将Azure应用配置为使用客户端密码。  在应用程序窗格中，在管理选项中：

1. 选择 证书和密钥

2. 在 客户端密钥 部分，单击 +新客户端密钥

3. 添加说明以帮助确定此客户端密钥的用途，例如“思科安全邮件补救”

4. 选择到期期间

5. 单击 添加

6. 将鼠标悬停在所生成值的右侧，然后单击 复制到剪贴板 图标

7. 将此值保存到您的注释中，请将此值记为“客户端密码”

图4： Microsoft Azure create client secret示例

注意 ：一旦退出活动的Microsoft Azure会话，您刚生成的客户端密钥的值将***出该值。  如果您在退出前没有记录和保护该值，则需要重新创建客户端加密口令才能看到明文输出。

可选 - 如果您未使用客户端密钥配置Azure应用程序，请将Azure应用程序配置为使用您的证书。  在应用程序窗格中，在管理选项中：

选择 证书和密钥

点击 上传证书

选择CRT文件（如之前创建）

点击 添加

API权限

注意：从AsyncOS 13.0 for Email Security开始，所需的Microsoft Azure到Cisco Secure Email通信的API权限已从使用Microsoft Exchange更改为Microsoft Graph。  如果您已经配置了MAR，并且要将现有的Cisco安全邮件网关升级到AsyncOS 13.0，则只需更新/添加新的API权限即可。  （如果您运行的AsyncOS版本为11.x或12.x，请参阅附录B后继续。）

在应用程序窗格中，在管理选项中：

选择 API权限

单击 +“添加权限”

选择 Microsoft Graph

选择以下对 应用程序权限 的权限：

Mail >“Mail.Read”（读取所有邮箱中的邮件）

Mail >“Mail.ReadWrite”（在所有邮箱中读取和写入邮件）

Mail >“Mail.Send”（以任何用户身份发送邮件）

Directory > "Directory.Read.All" (Read directory data) [*可选：如果您正在使用LDAP连接器/LDAP同步，请启用。  如果不是，则无需执行此操作。]

可选 ：您将看到Microsoft Graph默认情况下启用“User.Read”权限；您可以保留此权限的配置不变，或单击 Read 并单击 Remove permission ，将此权限从与应用程序关联的API权限中删除。

单击 Add permissions (如果已经列出了Microsoft Graph，请单击 Update permissions )

最后，单击 Grant admin consent for... 以确保您的新权限应用于该应用程序

窗格中将显示一个弹出窗口，询问：

“ 是否要为<Azure Name>中的所有帐户所请求的权限授予许可？这将更新此应用已有的任何现有管理员同意记录，使其与下面列出的内容匹配。 ”

单击 Yes

此时，您应该会看到绿色的成功消息，并且“需要管理员同意”(Admin Consent Required)列显示已批准(Granted)。

获取您的客户端ID和租户ID

在应用程序窗格中，在管理选项中：

点击 概述

将鼠标悬停在应用程序（客户端）ID右侧，然后单击 复制到剪贴板 图标

将此值保存到您的注释中，请将此值记为“客户端ID”

将鼠标悬停在目录（租户） ID右侧，然后点击 复制到剪贴板 图标

将此值保存到您的注释，请将此值记为“租户ID”

图5： Microsoft Azure...客户端ID、租户ID示例

配置您的思科安全邮件网关/云网关

此时，应准备以下值并将其保存到您的注释中：

客户端ID

客户端密码

可选，如果不使用客户端密码：

私钥（PEM文件）

您已准备好使用您的注释中创建的值并在Cisco Secure Email网关上配置帐户设置！

创建帐户配置文件

登录到您的网关

导航到 系统管理>帐户设置

注意：如果您运行的AsyncOS 13.x之前的版本是 系统管理>邮箱设置

单击 Enable

点击“启用帐户设置”复选框，然后点击 提交

点击 创建帐户配置文件

提供配置文件名称和说明（如果您有多个域，则可以唯一描述您的帐户）

在定义Microsoft 365连接时，请将配置文件类型保留为 Office 365/混合（图形API）

输入您的 客户端ID

输入您的 租户ID

对于客户端凭据，按照您在Azure中的配置执行下列操作之一：

单击 Client Secret ，然后粘贴到您配置的客户端密钥或……

单击 Client Certificate ，然后输入您的指纹，并通过单击“Choose File”提供您的PEM

单击 Submit

单击UI右上方的 Commit Changes

输入任何备注，并通过点击 确认更改 完成配置更改

下一步仅验证从思科安全电子邮件网关到Microsoft Azure的API连接：

从同一Account Details页中，单击 Test Connection

输入在Microsoft 365帐户中管理的域的有效邮件地址

单击 测试连接

您应该会收到一条成功消息（图6）

单击 完成 完成

图6：帐户配置文件/连接检查示例

6. 在 域映射 部分，单击 创建域映射

7. 输入与刚刚验证的API连接的Microsoft 365帐户关联的域名

以下是可用于映射邮箱配置文件的有效域格式列表：

- 域可以是特殊关键字“ALL”，用于匹配所有域，以便创建默认域映射。

- 域名（例如“example.com”）-匹配任意地址与此域。

- 部分域名（例如'@.partial.example.com'） -匹配以此域结尾的任何地址

- 可以使用逗号分隔的域列表输入多个域。

8. 单击 Submit

9. 单击UI右上方的 Commit Changes

10. 输入任何备注，并通过点击 提交更改 完成配置更改

在邮件策略中为高级恶意软件防护启用邮箱自动补救(MAR)

完成此步骤可在邮件策略的AMP配置中启用MAR。

导航到 邮件策略>传入邮件策略

点击要配置的策略名称的“高级恶意软件防护”(Advanced Malware Protection)列中的设置（例如，图7）：

图7：启用MAR（传入邮件策略）

滚动到页面底部

点击启用邮箱自动补救(MAR)复选框

选择您要为MAR采取的以下操作之一（例如，图8）：

转发至：< 输入电子邮件地址 >

DELETE

转发至：< 输入电子邮件地址 >并删除

图8：启用AMP的MAR配置示例

单击 Submit

单击UI右上方的 Commit Changes

输入任何备注，并通过点击 确认更改 完成配置更改

启用邮箱自动补救(MAR)以进行URL过滤

从AsyncOS 14.2 for Cisco Secure Email Cloud Gateway开始，URL过滤现在包括 URL追溯性判定和URL补救 。

导航到 安全服务> URL过滤

如果您尚未配置URL过滤，请点击 启用

点击“Enable URL Category and Reputation Filters”复选框

高级设置 （默认）

单击 Submit

您的URL过滤应类似于以下内容：

图9：启用后的URL过滤示例

要查看带有内部URL过滤功能的URL追溯，请执行以下操作或创建支持案例供思科执行：

esa1.hcxxyy-zz.iphmx.com> urlretroservice enable

URL Retro Service is enabled.

esa1.hcxxyy-zz.iphmx.com> websecurityconfig

URL Filtering is enabled.
No URL list used.
Web Interaction Tracking is enabled.
URL Retrospective service based Mail Auto Remediation is disabled.
URL Retrospective service status - Unavailable

Disable URL Filtering? [N]>

Do you wish to disable Web Interaction Tracking? [N]>

Do you wish to add URLs to the allowed list using a URL list? [N]>


Enable URL Retrospective service based Mail Auto Remediation to configure remediation actions.

Do you wish to enable Mailbox Auto Remediation action? [N]> y

URL Retrospective service based Mail Auto Remediation is enabled.

Please select a Mailbox Auto Remediation action:
1. Delete
2. Forward and Delete
3. Forward
[1]> 1

esa1.hcxxyy-zz.iphmx.com> commit

Please enter some comments describing your changes:
[]>

Do you want to save the current configuration for rollback? [Y]>

Changes committed: Tue Mar 29 19:43:48 2022 EDT

完成后，在URL Filtering页面上刷新UI，此时应显示类似以下内容：

图10：URL过滤（AsyncOS 14.2用于思科安全邮件云网关）

现在，URL保护已准备好在判定更改分数时执行补救措施。  有关详细信息，请参阅 思科安全邮件云网关AsyncOS 14.2用户指南 中的 防止恶意或不需要的URL 。

配置完成!

此时，思科安全电邮已准备就绪，能够在新信息出现时持续评估新出现的威胁，并在文件进入您的网络后通知您。

当从文件分析（思科安全恶意软件分析）生成追溯性判定时，信息消息会发送给邮件安全管理员（如果已配置）。  示例：

如果根据邮件策略进行配置，邮箱自动补救将采取已配置的方式。

邮箱自动修正报告示例

已修复的任何SHA256的报告都将包含在思科安全邮件网关和思科安全邮件和网络管理器上可用的邮箱自动修复报告中。

图11：（传统UI）邮箱自动补救报告

图12： (NG UI)邮箱自动修正报告

邮箱自动补救日志记录

邮箱自动补救具有单独的日志“mar”。 邮箱自动补救日志将包含Cisco安全电子邮件网关与Microsoft Azure、Microsoft 365之间的所有通信活动。

以下是日志示例：

Mon May 27 02:24:28 2019 Info: Version: 12.1.0-087 SN: 420DE3B51AB744C7F092-9F0000000000
Mon May 27 02:24:28 2019 Info: Time offset from UTC: 18000 seconds
Fri May 31 01:11:53 2019 Info: Process ready for Mailbox Auto Remediation
Fri May 31 01:17:57 2019 Info: Trying to connect to Azure AD.
Fri May 31 01:17:57 2019 Info: Requesting token from Azure AD.
Fri May 31 01:17:58 2019 Info: Token request successful.
Fri May 31 01:17:58 2019 Info: The appliance is able to read the user's([email protected]) mailbox.
Fri May 31 04:41:54 2019 Info: Trying to perform the configured action on MID:312391 SHA256:de4dd03acda0a24d0f7e375875320538952f1fa30228d1f031ec00870ed39f62 Recipient:[email protected].
Fri May 31 04:41:55 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's ([email protected]) mailbox.
Tue Jun  4 04:42:20 2019 Info: Trying to perform the configured action on MID:348938 SHA256:7d06fd224e0de7f26b48dc2daf7f099b3770080d98bd38c49ed049087c416c4b Recipient:[email protected].
Tue Jun  4 04:42:21 2019 Info: Message containing attachment(s) for which verdict update was(were) available was not found in the recipient's ([email protected]) mailbox.

Cisco安全电子邮件网关故障排除

如果您没有看到连接状态测试成功的结果，您可能希望查看从Microsoft Azure AD执行的应用程序注册。

从Cisco安全电邮网关将您的MAR日志设置为“跟踪”级别，然后重新测试连接。

对于不成功的连接，日志可能会显示类似以下内容：

Thu Mar 30 16:08:49 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 16:08:49 2017 Info: Requesting token from Azure AD.
Thu Mar 30 16:08:50 2017 Info: Error in requesting token: AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
 Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
 Timestamp: 2017-03-30 20:08:50Z
Thu Mar 30 16:08:50 2017 Info: Error while requesting token AADSTS70001: Application with identifier '445796d4-8e72-4d06-a72c-02eb47a4c59a' was not found in the directory ed437e13-ba50-479e-b40d-8affa4f7e1d7
 Trace ID: 4afd14f4-ca97-4b15-bba4-e9be19f30d00
 Correlation ID: f38e3388-729b-4068-b013-a08a5492f190
 Timestamp: 2017-03-30 20:08:50Z

确认日志中的应用程序ID、目录ID（与租户ID相同）或其他关联标识符，以及Azure AD中的应用程序。如果您不确定这些值，请从Azure AD门户中删除应用程序并重新开始。

对于成功的连接，日志应类似于：

Thu Mar 30 15:51:58 2017 Info: Trying to connect to Azure AD.
Thu Mar 30 15:51:58 2017 Info: Requesting token from Azure AD.
Thu Mar 30 15:51:58 2017 Trace: command session starting
Thu Mar 30 15:52:00 2017 Info: Token request successful.
Thu Mar 30 15:52:00 2017 Info: The appliance is able to read the user's([email protected]) mailbox.

Azure AD故障排除

注意 ：思科TAC和思科支持无权解决与Microsoft Exchange、Microsoft Azure AD或Office 365相关的客户方问题。

对于Microsoft Azure AD的客户方问题，您需要与Microsoft支持部门接洽。 请从Microsoft Azure仪表板中查看“帮助+支持”选项。 您可以从控制面板向Microsoft支持部门提出直接支持请求。

注意 ：只有当您未使用客户端密钥设置Azure应用程序时才需要这样做。

构建公共和专用证书以及密钥对

提示 ： 请将 $base64Value 、 $base64Thumbprint 和 $keyid 的输出保存在本地，因为稍后配置步骤将会需要这些输出。 请将证书的.crt和关联的.pem放在计算机上可用的本地文件夹中。

注意 ：如果您已经拥有证书（x509格式/标准）和私钥，请跳过此部分。 请确保您同时具有CRT和PEM文件，因为您将在接下来的部分中需要它们！

证书：Unix/Linux（使用openssl）

要创建的值：

● 指纹

● 公共证书（CRT文件）

● 私钥（PEM文件）

使用Unix/Linux/OS X的管理员为了执行提供的脚本，假定您已安装了OpenSSL。

注意 ：运行“which openssl”和“openssl version”命令以验证OpenSSL安装。安装OpenSSL（如果它不存在）！

如需帮助，请参阅以下文档： Azure AD Configuration Script for Cisco Secure Email

从您的主机(UNIX/Linux/OS X)：

在终端应用程序、文本编辑器（或您愿意创建shell脚本的任何方法）中，通过复制以下内容来创建脚本： https://raw.githubusercontent.com/robsherw/my_azure/master/my_azure.sh

请确保使脚本可执行！运行以下命令： chmod u+x my_azure.sh

运行脚本： ./my_azure.sh

图13：my_azure.sh的屏幕输出

如图2所示，脚本会构建并调用Azure应用注册所需的 公共证书（CER文件） 。该脚本还调 用 您将在“配置Cisco安全邮件”部分使用的 ThumbprintandCertificate私钥（PEM文件） 。

您拥有在Microsoft Azure中注册我们的应用程序所需的值！

[跳过下一部分！  请继续执行“注册Azure应用以使用思科安全邮件”]

证书：Windows（使用PowerShell）

对于使用Windows的管理员，您需要利用应用或具备创建自签名证书的知识。 此证书用于创建Microsoft Azure应用程序并关联API通信。

要创建的值：

● 指纹

● 公共证书（CRT文件）

● 私钥（PEM文件）

本文档创建自签名证书的示例使用XCA ( https://hohnstaedt.de/xca/ ， https://sourceforge.net/projects/xca/ )。

注意 ：可以为Mac、Linux或Windows下载XCA。

3. 单击“主题”选项卡并填写以下内容：

a.内部名称

b.国家/地区名称

c. stateOrProvinceName

d. localityName

e.组织名称

f. organizationalUnitName (OU)

g. commonName (CN)

h.电子邮件地址

4. 单击 生成新密钥

5. 在弹出窗口中，验证所提供的信息

（根据需要更改）：

a.姓名

b.密钥类型：RSA

c.密钥长度：2048位

d.点击“创建”

e.点击 确定 以确认“已成功创建RSA私钥‘名称’”弹出窗口

图14：使用XCA（步骤3-5）

6. 单击“密钥用法”选项卡，然后选择以下选项：

a.在X509v3 Key Usage：

数字签名、密钥加密

b.在X509v3 Extended Key Usage下：

电子邮件保护

图15：使用XCA（第6步）

7. 单击 确定 ，将更改应用于您的证书

8.单击 确定 以确认“已成功创建证书‘ 名称 ’”弹出窗口

1. 单击并突出显示新创建的证书的“内部名称”。

2. 单击 导出

a.设置存储目录以便于访问（根据需要更改）

b.确保导出格式设置为 PEM (.crt)

c.单击 确定

图16：使用XCA（导出CRT）（步骤1-2）

3. 单击 私钥 选项卡

4. 单击并突出显示新创建的证书的“内部名称”。

5. 单击 导出

a.设置存储目录以便于访问（根据需要更改）

b.确保导出格式设置为 PEM专用(.pem)

c.单击 确定

6. 退出并关闭XCA

图17：使用XCA（导出PEM）（步骤3-5）

使用Windows PowerShell，运行以下命令：

$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import("c:\Users\joe\Desktop\myCert.crt")
$bin = $cer.GetRawCertData()
$base64Value = [System.Convert]::ToBase64String($bin)
$bin = $cer.GetCertHash()
$base64Thumbprint = [System.Convert]::ToBase64String($bin)
$keyid = [System.Guid]::NewGuid().ToString()[Note: “c:\Users\joe\Desktop...” is the location on your PC where your CRT file is saved.]

要获取后续步骤的值，请保存到文件或复制到剪贴板：

$base64Thumbprint | Out-File c:\Users\joe\Desktop\base64Thumbprint.txt
$base64Thumbprint

注意 ： "c：\Users\joe\Desktop..."是PC上保存输出的位置。

运行PowerShell命令时的预期输出应类似于以下内容：

PS C:\Users\joe\Desktop> $base64Thumbprint
75fA1XJEJ4I1ZVFOB2xqkoCIh94=

如您所见，PowerShell命令可调用 base64Thumbprint ，这是Cisco安全电子邮件网关配置所需的 Thumbprint 。

您还创建了Azure应用注册所需的 公共证书（CER文件） 。并且，您已创建将在“配置思科安全邮件”部分中使用的 证书私钥（PEM文件） 。

您拥有在Microsoft Azure中注册应用程序所需的值！

[请继续执行“注册Azure应用以便用于思科安全邮件”]

注意 ：仅当在网关上运行AsyncOS 11.x或12.x for Email时才需要这样做。

API权限(AsyncOS 11.x、12.x)

在应用程序窗格中，在管理选项中……

选择 API权限

单击 +“添加权限”

向下滚动到 支持的传统API 并选择 Exchange

选择以下对授权权限的权限：

EWS > "EWS.AccessAsUser.All"（通过Exchange Web服务以登录用户身份访问邮箱）

邮件>“Mail.Read”（读取用户邮件）

Mail >“Mail.ReadWrite”（读取和写入用户邮件）

Mail >“Mail.Send”（以用户身份发送邮件）

滚动到窗格顶部……

选择以下对应用程序权限的权限：

“full_access_as_app”（使用具有对所有邮箱的完全访问权限的Exchange Web服务）

邮件>“Mail.Read”（读取用户邮件）

Mail >“Mail.ReadWrite”（读取和写入用户邮件）

Mail >“Mail.Send”（以用户身份发送邮件）

可选 ：您将看到Microsoft Graph默认情况下启用“User.Read”权限；您可以保留此权限的配置不变，或单击 Read 并单击 Remove permission ，将此权限从与应用程序关联的API权限中删除。

单击 Add permissions (如果已经列出了Microsoft Graph，请单击 Update permissions )

最后，单击 Grant admin consent for... 以确保您的新权限应用于该应用程序

窗格中将显示一个弹出窗口，询问：

“ 是否要为<Azure Name>中的所有帐户所请求的权限授予许可？这将更新此应用已有的任何现有管理员同意记录，使其与下面列出的内容匹配。 ”

单击 Yes

此时，您应该会看到绿色的成功消息，并且“需要管理员同意”(Admin Consent Required)列显示“已批准”(Granted)，如下所示：

图18： Microsoft Azure应用注册（需要API权限）

[请继续执行“注册Azure应用以便用于思科安全邮件”]

思科邮件安全设备-产品支持

思科邮件安全设备-版本说明

思科邮件安全设备-最终用户指南