Zum Inhalt

Microsoft Entra ID so konfigurieren, dass Benutzer sich mit dem UPN anmelden können

Auf dieser Seite finden Sie eine alternative Methode zum Konfigurieren von Azure IDP. Sie müssen die Anweisungen auf dieser Seite befolgen, wenn Sie von Ihren Endbenutzern verlangen, sich mit einem Benutzerprinzipalnamen (UPN) zu authentifizieren, der sich von ihrer primären E-Mail-Adresse unterscheidet.

Wenn die E-Mail-Adressen Ihrer Benutzer mit den UPNs übereinstimmen, lesen Sie Identitätsprovider hinzufügen (Entra ID/Open IDC/ADFS).

Die Hauptschritte:

  1. Richten Sie Microsoft Entra ID im Azure Portal ein.
  2. Fügen Sie Microsoft Entra ID als Identitätsanbieter in Sophos Central hinzu.

Microsoft Entra ID im Azure Portal einrichten

Die Hauptschritte für die Einrichtung von Microsoft Entra ID im Azure Portal lauten wie folgt:

  1. Erstellen Sie eine Azure-Anwendung.
  2. Richten Sie die Authentifizierung für die Anwendung ein.
  3. Richten Sie Token-Konfiguration ein.
  4. Weisen Sie Anwendungsberechtigungen zu.

Weitere Einzelheiten finden Sie in den nächsten Abschnitten.

Azure-Anwendung erstellen

So erstellen Sie eine Azure-Anwendung:

  1. Melden Sie sich bei Ihrem Azure-Portal an.
  2. Klicken Sie im Menü Verwalten auf App-Registrierungen.

    Pfad zu den App-Registrierungen.

  3. Klicken Sie auf der Seite App-Registrierungen auf Neue Registrierung.

    Option „Neue Registrierung“.

  4. Geben Sie einen Namen für die App ein.

  5. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Nur Standardverzeichnis – Einzelner Mandant) aus.

    Unterstützte Kontotypen.

  6. Wählen Sie unter URL umleiten (optional) die Option Single-Page-Webanwendung (SPA) aus und geben Sie die folgende URL ein: https://federation.sophos.com/login/callback.

    Option „URI umleiten“.

  7. Klicken Sie auf Registrieren.

Authentifizierung für die Anwendung einrichten

Um Authentifizierung für die Anwendung einzurichten, gehen Sie wie folgt vor:

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf Authentifizierung.
  2. Wählen Sie unter Implizite Genehmigung und hybride Flows die Option ID-Token (für implizite und hybride Flows) aus.
  3. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Nur Standardverzeichnis – Einzelner Mandant) aus.
  4. Klicken Sie auf Speichern.

    Implizite Genehmigung und hybride Flows.

Token-Konfiguration einrichten

Verfahren Sie zur Einrichtung von Token-Konfiguration wie folgt:

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf Token-Konfiguration.
  2. Klicken Sie unter Optionale Ansprüche auf Optionalen Anspruch hinzufügen.
  3. Wählen Sie unter Tokentyp die Option ID und anschließend E-Mailaus.

    Token-Konfiguration.

  4. Wählen Sie Hinzufügen aus.

  5. Wählen Sie unter Optionalen Anspruch hinzufügen die E-Mail-Berechtigung Microsoft Graph aktivieren aus und klicken Sie auf Hinzufügen.

    E-Mail-Berechtigung.

Anwendungsberechtigungen zuweisen

Um Anwendungsberechtigungen zu prüfen, gehen Sie wie folgt vor:

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf API-Berechtigungen.
  2. Klicken Sie unter Konfigurierte Berechtigungen auf Administratorzustimmung für <Konto> erteilen.

    Anwendungsberechtigungen.

  3. Klicken Sie auf Ja.

Microsoft Entra ID als Identitätsanbieter in Sophos Central hinzufügen

Sie können Microsoft Entra ID als Identitätsanbieter hinzufügen.

Zum Hinzufügen von Microsoft Entra ID als Identitätsanbieter in Sophos Central verfahren Sie wie folgt:

  1. Gehen Sie in Sophos Central zu Globale Einstellungen > Verbund-Identitätsanbieter.
  2. Klicken Sie auf Identitätsanbieter hinzufügen.
  3. Geben Sie einen Namen und eine Beschreibung ein.
  4. Klicken Sie auf Typ und wählen Sie OpenID Connect.
  5. Klicken Sie auf Anbieter und wählen Sie Microsoft Entra ID.
  6. Wenn Sie Microsoft Entra ID bereits im Azure Portal eingerichtet haben, überspringen Sie Schritt A: OpenID Connect einrichten.
  7. In Schritt B: Einstellungen für OpenID Connect konfigurieren gehen Sie wie folgt vor:

    1. Geben Sie unter Client-ID die Client-ID der Anwendung ein, die Sie in Azure erstellt haben. Verfahren Sie hierzu wie folgt:

      1. Gehen Sie im Azure Portal zu App-Registrierungen.
      2. Wählen Sie die Anwendung aus, die Sie erstellt haben.
      3. Kopieren Sie die ID in Anwendungs-ID (Client) und fügen Sie sie unter Client-ID in Sophos Central ein.
    2. Geben Sie unter Aussteller die folgende URL ein:

      https://login.microsoftonline.com/<tenantId>/v2.0

      Ersetzen Sie die vorhandene Mandanten-ID durch die Mandanten-ID Ihrer Azure-Instanz.

      Um die Mandanten-ID aufzufinden, gehen Sie folgendermaßen vor:

      1. Gehen Sie im Azure Portal zu App-Registrierungen.
      2. Wählen Sie die Anwendung aus, die Sie erstellt haben.
      3. Der Wert der Verzeichnis (Mandanten)-ID ist die Mandanten-ID Ihrer Azure-Instanz.
    3. Geben Sie für Autorisierungs-Endpoint die folgende URL ein:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      Ersetzen Sie die vorhandene Mandanten-ID durch die zuvor kopierte Mandanten-ID.

    4. Geben Sie für JWKS-URL die folgende URL ein:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      Ersetzen Sie die vorhandene Mandanten-ID durch die zuvor kopierte Mandanten-ID.

    Schritt B: Einstellungen für OpenID Connect konfigurieren.

  8. Klicken Sie auf Domäne auswählen und wählen Sie Ihre Domäne aus.

    Sie können mehr als eine Domäne hinzufügen, jedoch einen Benutzer nur einer Domäne zuordnen.

  9. Geben Sie anhand der folgenden Optionen an, ob MFA vom IdP erzwungen werden soll:

    • Vom IdP erzwungene MFA
    • Keine vom IdP erzwungene MFA
  10. Klicken Sie auf Speichern.

So melden sich Benutzer mit ihrem UPN an

Im Folgenden wird beschrieben, wie sich Ihre Endbenutzer anmelden, nachdem Sie die Konfiguration oben abgeschlossen haben.

  1. Benutzer und Administratoren melden sich mit ihrer zugehörigen E-Mail-Adresse in Sophos Central an.

    Bildschirm der Sophos-Anmeldung.

  2. Je nach Auswahl in den Sophos-Anmeldeeinstellungen kann der angezeigte Bildschirm variieren.

    • Wenn Sie unter Meine Produkte > Allgemeine Einstellungen > Sophos-Anmeldeeinstellungen die Option Sophos-Central-Admin- oder Verbund-Anmeldeinformationen ausgewählt haben, können sich Benutzer und Administratoren mit beiden Optionen anmelden.

      SSO- oder Sophos Admin-E-Mail- und Kennwort-Anmeldung.

      Um sich mit dem UPN anzumelden, müssen sie wie folgt vorgehen:

      1. Auf Mit SSO (Single Sign-on) anmelden klicken.

        Die Anmeldeseite von Microsoft Azure wird angezeigt.

      2. Den UPN und das Kennwort eingeben.

    • Wenn Sie Nur Verbund-Anmeldeinformationen in Meine Produkte > Allgemeine Einstellungen > Sophos-Anmeldeeinstellungen ausgewählt haben, wird ihnen die Microsoft Azure-Anmeldeseite angezeigt, auf der sie UPN und Kennwort eingeben können.