Einrichtung der Active Directory-Synchronisierung

Folgen Sie dieser Anleitung, um die Synchronisierung mit Active Directory einzurichten:

Sie müssen die folgenden Abschnitte lesen und alle erforderlichen Aufgaben ausführen, bevor Sie die Synchronisierung mit Active Directory einrichten:

  • Vorbereitende Schritte
  • Best Practice
  • Synchronisierung mit Active Directory.

Wenn Sie dies bereits getan haben, gehen Sie zu Verzeichnisdienst auswählen, um mit der Einrichtung zu beginnen.

Vorbereitende Schritte

Bevor Sie die Synchronisierung einrichten, müssen folgende Voraussetzungen erfüllt sein:

  • .NET Framework 4.5.2 ist auf dem Computer installiert, auf dem Sie die Synchronisierung mit Active Directory einrichten.
  • Sophos-API-Anmeldeinformationen für die Synchronisierung mit Active Directory. Sie müssen diese einrichten, bevor Sie die Synchronisierung mit Active Directory einrichten, Ihre vorhandene Konfiguration ändern oder mit Active Directory synchronisieren können. Siehe API-Zugangsdatenverwaltung.

Stellen Sie sicher, dass alle Active Directory-Benutzer über eine E-Mail-Adresse verfügen. Sie benötigen eine E-Mail-Adresse für Ihre Benutzer, um sie bei der Verwendung vieler Sophos Central-Workflows zu schützen. Wenn Sie beispielsweise Sophos Email zum Schutz Ihrer Benutzer verwenden, wird eine E-Mail an eine E-Mail-Adresse, die nicht mit einem Benutzer verknüpft ist, nicht zugestellt.

Best Practice

Wir empfehlen, inaktive Benutzer und Geräte aus Ihren Active Directory-Domänen zu entfernen. Inaktive Benutzerkonten und Geräte stellen ein Sicherheitsrisiko dar. Dadurch wird auch die Größe der von Active Directory an Sophos Central gesendeten Datei verringert. Dies beschleunigt die Synchronisierung.

Hilfe zum Suchen und Entfernen inaktiver Benutzer finden Sie wie folgt:

Sie können Active Directory-Filter verwenden, um die Synchronisierung inaktiver Benutzer mit Sophos Central zu stoppen. Dadurch kann die Größe der an Sophos Central gesendeten Synchronisierungsdatei verringert werden, jedoch werden die Sicherheitsrisiken, die mit inaktiven Benutzern in Ihren Active Directory-Domänen verbunden sind, nicht verringert.

Wie wir mit Active Directory synchronisieren

Für eine Synchronisierung mit Active Directory müssen Sie „Active Directory Synchronization Setup“ herunterladen und installieren (Anweisungen zum Download und zur Installation erhalten Sie nachfolgend).

Die Einrichtung der Active Directory-Synchronisierung funktioniert wie folgt:

  • Es werden aktive Benutzer oder Benutzergruppen synchronisiert.

    Es werden keine vorhandenen Benutzer oder Gruppen dupliziert, wenn diese mit vorhandenen Sophos Central-Benutzern oder -Gruppen übereinstimmen. So kann beispielsweise eine E-Mail-Adresse aus Active Directory zu einem vorhandenen Benutzer in Sophos Central hinzugefügt werden.

  • Es synchronisiert Geräte und Gerätegruppen. Informationen darüber, wie Geräte und Gruppen zugeordnet werden, sowie weitere hilfreiche Hinweise finden Sie unter Häufig gestellte Fragen zur Gerätegruppenerkennung.

Sie können festlegen, dass die Funktion zu festgelegten Zeiten automatisch ausgeführt wird.

Nur der Active Directory-Dienst wird unterstützt.

Es hilft Ihnen nicht, die Sophos Agent-Software auf den Geräten Ihrer Benutzer zu installieren. Verwenden Sie andere Bereitstellungsmethoden mit Active Directory.

Einschränkung Sie müssen ein Administrator sein, um Verzeichnisdienste einzurichten oder zu ändern.

Um die Synchronisierung mit Active Directory einzurichten, müssen Sie wie folgt vorgehen:

  1. Wählen Sie die den gewünschten Verzeichnisdienst.
  2. Laden Sie „Active Directory Synchronization Setup“ herunter und validieren Sie Ihre Anmeldeinformationen.
  3. Geben Sie Ihre Active Directory-Konfiguration ein.
  4. Richten Sie die Synchronisierungsoptionen ein.
  5. Synchronisieren Sie mit Active Directory.

Verzeichnisdienst auswählen

Im Folgenden wird davon ausgegangen, dass Sie derzeit keinen Verzeichnisdienst eingerichtet haben.

Anweisungen zum Wechseln von Verzeichnisdiensten finden Sie unter Ändern des Verzeichnisdienstes.

Um Ihren Verzeichnisdienst auszuwählen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Übersicht > Globale Einstellungen > Verzeichnisdienst.
  2. Klicken Sie auf den Link Erste Schritte.
  3. Wählen Sie die den gewünschten Verzeichnisdienst.
    • AD-Synchronisierung
    • Azure-AD-Synchronisierung
  4. Klicken auf Weiter und überprüfen und bestätigen Sie den Warnhinweis.
  5. Klicken Sie auf Weiter.

Sie können nun den ausgewählten Verzeichnisdienst einrichten.

Herunterladen der Setup-Software und Überprüfen der Anmeldeinformationen

Sie müssen „Active Directory Synchronization Setup“ herunterladen und Ihre API-Anmeldeinformationen validieren, bevor Sie die Active Directory-Synchronisierung einrichten. Wenn Sie einen Proxy verwenden, müssen Sie auch Ihre Proxy-Server-Einstellungen validieren.

Gehen Sie wie folgt vor, um Ihre Anmeldedaten zu validieren:

  1. Klicken Sie auf den Link, um „Active Directory Synchronization Setup“ herunterzuladen. Führen Sie es aus.
    Das Active Directory Synchronization Setup wird gestartet.
  2. Geben Sie Client-ID und Geheimer Clientschlüssel ein und klicken Sie auf Anmeldeinformationen validieren.
  3. Aktivieren Sie Proxy manuell konfigurieren, wenn Sie einen Proxy verwenden möchten, und geben Sie Ihre Proxy-Adresse ein.
  4. Wenn Sie einen Proxy verwenden, können Sie zusätzliche Authentifizierung aktivieren. Aktivieren Sie die Option Proxy-Authentifizierung aktivieren und geben Sie die folgenden Informationen ein.
    • Proxy-Benutzer
    • Proxy-Kennwort
  5. Klicken Sie auf Anmeldeinformationen validieren, um Ihre Proxy-Einstellungen zu validieren.

Eingabe Ihrer Active Directory-Konfiguration

Verfahren Sie zur Eingabe der Konfiguration wie folgt.

  1. Geben Sie auf der Seite AD-Konfiguration die Details für Ihren Active Directory-LDAP-Server und Ihre Anmeldeinformationen ein.

    Sie müssen die Anmeldeinformationen für ein Benutzerkonto verwenden, das Lesezugriff auf die gesamte Active Directory-Gesamtstruktur hat, die Sie synchronisieren möchten. Aus Sicherheitsgründen empfiehlt sich ein Konto mit eingeschränkten Rechten.

    Wir empfehlen Ihnen, eine sichere, über SSL verschlüsselte LDAP-Verbindung zu verwenden und die Option LDAP über SSL-Verbindung verwenden (empfohlen) aktiviert zu lassen.

  2. Wenn Ihre LDAP-Umgebung SSL nicht unterstützt, deaktivieren Sie die Option LDAP über SSL-Verbindung verwenden und ändern Sie die Portnummer. Normalerweise lautet die Portnummer 636 für SSL-Verbindungen und 389 für unsichere Verbindungen.

Einrichten der Synchronisierungsoptionen

Gehen Sie zum Einrichten der Synchronisierungsoptionen folgendermaßen vor:

  1. Klicken Sie auf Weiter und richten Sie die Synchronisierung mithilfe der verbleibenden Registerkarten ein. Wenn Sie die Einrichtung abgeschlossen haben können Sie auf einer der Registerkarten auf Fertig stellen klicken.
  2. Wenn Sie Geräte und Gerätegruppen synchronisieren möchten, gehen Sie wie folgt vor:
    1. Klicken Sie auf AD-Filter.
    2. Aktivieren Sie die Option Geräte synchronisieren und Organisationseinheiten synchronisieren.
    3. Es empfiehlt sich, Ihre Organisationseinheiten vor Ihren Geräte zu synchronisieren, damit Sie die Gruppen im Voraus konfigurieren können. Aktivieren Sie hierzu nur die Option Organisationseinheiten synchronisieren.

      Wenn Sie Ihre Organisationseinheiten vor Ihren Geräten synchronisieren, müssen Sie die Option Geräte synchronisieren und Organisationseinheiten synchronisieren. aktivieren, wenn Sie Ihre Geräte synchronisieren. Dadurch wird die Zuordnung zwischen Ihren Organisationseinheiten und Geräten beibehalten.

      Wenn Sie diese Einstellungen ändern möchten, müssen Sie nach der Synchronisierung der Organisationseinheiten und der Geräte Folgendes beachten:

      • Wenn Sie die Option Organisationseinheiten synchronisieren deaktivieren und die Option Geräte synchronisieren aktiviert lassen und dann synchronisieren, werden Ihre Organisationseinheiten in Sophos Central als „Benutzerdefinierte Gruppen“ angezeigt.
      • Wenn Sie die Option Geräte synchronisieren deaktivieren und die Option Organisationseinheiten synchronisieren aktiviert lassen und dann synchronisieren, werden Ihre Geräte nicht Gruppen in Sophos Central zugewiesen.
  3. Konfigurieren Sie auf der Registerkarte AD-Filter einen LDAP-Filter, um die zu synchronisierenden Benutzer, Geräte und Gruppen auszuwählen. Sie können auch zusätzliche Suchoptionen (Suchbasis und LDAP-Abfragefilter) für jede Domain eingeben. Sie können unterschiedliche Optionen für Benutzer und Benutzergruppen festlegen.
    Anmerkung Bei der Synchronisierung werden unabhängig von den Gruppenfiltereinstellungen nur Gruppen mit erkannten Benutzern oder Geräten erstellt.
    OptionBezeichnung

    Suchbasis

    Sie können eine Suchbasis (auch „Base Distinguished Names“ genannt) festlegen. Wenn Sie z. B. nach Organizational Units (OUs) filtern möchten, können Sie eine Suchbasis in folgendem Format angeben:

    OU=Finance,DC=myCompany,DC=com

    LDAP-Abfragefilter

    Um Benutzer zu filtern, z. B. nach Gruppenzugehörigkeit, können Sie einen Benutzer-Abfragefilter in folgendem Format verwenden:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Mit dieser Abfrage wird die Benutzererkennung auf Benutzer beschränkt, die zu „testGroup“ gehören. Beachten Sie, dass die Synchronisierung alle Gruppen erkennt, zu denen diese erkannten Benutzer gehören, wenn Sie keinen Gruppen-Abfragefilter angeben. Wenn Sie die Erkennung von Gruppen ebenfalls auf „testGroup“ beschränken möchten, können Sie folgenden Gruppen-Abfragefilter festlegen:

    CN=testGroup

    Sie können diese Filter auch verwenden, um die Synchronisierung inaktiver Benutzer mit Sophos Central zu beenden.

    Deaktivierte Benutzerkonten ausschließen

    Standardmäßig werden bei der Synchronisierung deaktivierte Benutzerkonten ausgeschlossen. Um sie einzuschließen, deaktivieren Sie diese Option.

    Warnung Wenn Sie Base Distinguished Names in Ihren Suchoptionen verwenden oder Ihre Filtereinstellungen ändern, kann es sein, dass einige Sophos Central-Benutzer und -Gruppen, die bei früheren Synchronisierungen angelegt wurden, aus dem Suchbereich herausfallen und aus Sophos Central gelöscht werden.
  4. Legen Sie auf der Registerkarte Synchronisierungsplan die Zeiten fest, zu denen die Synchronisierung durchgeführt werden soll.
    Anmerkung Ein Hintergrunddienst führt eine geplante Synchronisierung durch.
  5. Wenn Sie die Synchronisierung manuell und nicht automatisch auf regelmäßiger Basis durchführen möchten, klicken Sie auf Niemals. Nur synchronisieren, wenn manuell eingeleitet.

Synchronisierung mit Active Directory

Wir empfehlen, die Synchronisierung manuell mit Active Directory durchzuführen, wenn Sie die Synchronisierung einrichten oder Änderungen an Ihren Einstellungen vornehmen. So können Sie die Änderungen überprüfen, die während der Synchronisierung vorgenommen werden.

Verfahren Sie zur Synchronisierung wie folgt:

  1. Klicken Sie auf Preview and Sync.
    1. Wenn Sie LDAP-Abfragefilter verwenden, überprüfen Sie, ob Sie sie richtig konfiguriert haben.
  2. Überprüfen Sie die Änderungen, die während der Synchronisierung vorgenommen werden. Wenn Sie mit den Änderungen einverstanden sind, klicken Sie auf Approve Changes and Continue.
    Die Active Directory-Benutzer, -Geräte und -Gruppen werden aus Active Directory in Sophos Central importiert.
  3. Überprüfen Sie Ihre Benutzer, Geräte und Gruppen in Sophos Central.
    1. Überprüfen Sie Ihre Benutzer, um sicherzustellen, dass ihre Geräte geschützt sind.
    2. Überprüfen Sie die Richtlinien, die auf Ihre Benutzer und Benutzergruppen angewendet werden.
    3. Überprüfen Sie Ihre Computer und Server auf nicht verwaltete Geräte. Diese werden auf separaten Registerkarten angezeigt. Schützen Sie alle nicht verwalteten Geräte.
    4. Überprüfen Sie die auf Ihre Geräte und Gerätegruppen angewendeten Richtlinien. Sie können Richtlinien auf die Active Directory-Gerätegruppe anwenden.

Verschieben von Active Directory-Synchronisierungs-Servern

Wenn Sie den Server, den Sie zur Synchronisierung mit Active Directory verwenden, verschieben möchten, gehen Sie wie folgt vor:

  1. Beenden Sie die Synchronisierung auf dem aktuellen Server.
  2. Richten Sie die Active Directory-Synchronisierung Ihres neuen Servers ein.

    Wenn Sie hierzu Hilfe benötigen, befolgen Sie die Anweisungen in den vorherigen Abschnitten auf dieser Seite.

  3. Prüfen Sie, ob keine Änderungen an den Filtern erforderlich sind.
  4. Zeigen Sie eine Vorschau Ihrer Synchronisierung an, um zu überprüfen, ob Ihre Einstellungen korrekt sind.
  5. Synchronisieren Sie und überprüfen Sie, ob alles wie erwartet funktioniert.
  6. Richten Sie den Zeitplan für die Synchronisierung ein.
  7. Entfernen Sie die Active Directory-Synchronisierung vom ursprünglichen Server.