Häufig Stand ich schon vor der Herausforderung die vielen Office 365 Endpunkte in die Sophos UTM einzutragen. Mit Hilfe der RESTful API und PowerShell ist es möglich ein Import der Office 365 Endpoints in die Sophos UTM vorzunehmen und durch die Aufgabenplanung immer aktuell zu halten.
Doch warum das ganze? Dies ist ganz einfach. Für eine optimale Benutzererfahrung empfiehlt Microsoft selbst, das Traffic zu Office 365 nicht über einen Proxy läuft.
Während SSL-Unterbrechung und -prüfung die größte Latenz erzeugen, können andere Dienste wie die Proxyauthentifizierung und die Reputationssuche zu niedriger Leistung und einer entsprechend schlechten Benutzererfahrung führen. Darüber hinaus benötigen diese Umkreisnetzwerkgeräte ausreichend Kapazität, um alle Netzwerkanfragen zu verarbeiten. Es empfiehlt sich, Proxy- bzw. Überprüfungsgeräte für direkte Office 365-Netzwerkanforderungen zu umgehen.
https://docs.microsoft.com/de-de/microsoft-365/enterprise/managing-office-365-endpoints
Nachfolgend beschreibe ich die nötigen Schritte damit ein automatisches Update der Office 365 Endpoints auf der Sophos UTM erfolgt. Dies umfasst die folgenden Punkte.
- Konfiguration der Sophos UTM
- Installation des PowerShell Moduls
- Erstellen des Skripts
- Erstellen einer geplanten Aufgabe
Konfiguration der Sophos UTM
Auf der Sophos UTM wird ein neuer Benutzer erstellt. Dies ist unter Definitions & Users > Users & Groups > Users möglich.
In diesem Fall wird ein lokaler Benutzeraccount erstellt. Das Passwort darf an dieser Stelle gerne sehr komplex sein, aktiv angemeldet wird sich mit diesem Benutzer nicht.
Dieser Benutzer muss nun in die Gruppe SuperAdmins aufgenommen werden. Die Gruppe ist unter Definitions & Users > Users & Groups > Groups zu finden.
Nachdem der Benutzer angelegt und in die Gruppe der SuperAdmins aufgenommen wurde, wird die RESTful API Schnittstelle aktiviert. Dies ist unter dem Punkt Management > WebAdmin Settings > RESTful API zu erledigen. Die Aktivierung erfolgt durch den Schieberegler in der oberen rechten Ecke.
Anschließend wird ein neuer API Token erzeugt und dem zuvor angelegtem Benutzer zugewiesen.
Nach dem das Token erzeugt wurde ist die Konfiguration der Sophos UTM abgeschlossen, sodass sich um das PowerShell Skript gekümmert werden kann.
Installation des PowerShell Moduls
Damit die Netzwerkdefinitionen und Web Filter Ausnahmen durch ein Skript erzeugt werden können, muss zuerst das entsprechende Modul heruntergeladen und installiert werden. Dieses befindet sich in der PowerShell Gallery und kann somit sehr einfach installiert werden.
1 | Install-Module -Name SophosEndpoints |
Erstellen des Skripts
Das Modul wurde erfolgreich installiert, somit kann das CMDLET Set-EndpointsInUtm verwendet werden. Das nachfolgende Skript muss nun für die eigene Umgebung angepasst werden.
1 2 3 4 5 6 7 8 9 | $IPorName = "192.168.1.15" $Port = "4444" $UtmApiKey = "FwpjSPUHgdlnrRflsOzwyNDIxVlNMkts" $TenantName = "cloudyit" $LogFilePath = "C:\LogFiles\O365-Endpoint-Update.log" $UtmApiUrl = "https://" + "$IPorName" + ":$Port/api" Set-EndpointsInUtm -UtmApiUrl $UtmApiUrl -UtmApiKey $UtmApiKey -TenantName $TenantName -LogFilePath $LogFilePath |
Das CMDLET Set-EndpointsInUtm bietet noch weitere Möglichkeiten, die Hilfe kann über folgenden Befehl aufgerufen werden.
1 | Get-Help Set-EndpointsInUtm -full |
Nachdem das Skript ausgeführt wurde findet man eine neue Netzwerkgruppe auf der Sophos UTM. In dieser wurden alle IP Adressen der Endpunkte hinzugefügt.
Auch unter den Ausnahmen des Webfilters wird man nun fündig.
Erstellen einer geplanten Aufgabe
Da nun ja schon ein Skript vorliegt ist es sehr einfach diesen Prozess zu automatisieren. Somit muss man sich keine Gedanken mehr über sich ändernde Office 365 Endpoints machen. Über das nachfolgende PowerShell Skript wird eine geplante Aufgabe erstellt. Dieses läuft im Kontext des Systems und wird jeden Tag um 22 Uhr ausgeführt.
1 2 3 4 5 6 | $ScriptPath = "C:\Skripte\Set-O365Endpoints.ps1" $Trigger= New-ScheduledTaskTrigger -At 10:00pm -Daily $User= "NT AUTHORITY\SYSTEM" $Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument $ScriptPath Register-ScheduledTask -TaskName "Update O365 Endpoints on Sophos UTM" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force |
Die geplante Aufgabe für das automatische Aktualisieren der Office 365 Endpoints auf der Sophos UTM ist nun erstellt.
Fazit
Der Import der Office 365 Endpoints in die Sophos UTM, sowie die Pflege dieser ist mit Hilfe eines Skriptes um einiges einfacher als diese Schritte regelmäßig manuell zu erledigen. Wie immer gilt: „Was man öfter macht, gehört geskripted“. Ich hoffe das ich mit diesem Beitrag dem ein oder anderen Helfen konnte und freue mich wie immer über Feedback.
Du hast mir gerade sehr viel Arbeit abgenommen!
Hat SOFORT geklappt!
Vielen Dank für die GENIALE Anleitung…
Weiter so!
Mit besten Grüßen
Markus
Hi funktioniert das Script auch auf der XG?