Einrichten der Synchronisierung mit Azure Active Directory

Folgen Sie dieser Anleitung, um mit Azure AD zu synchronisieren.

Bevor Sie beginnen, müssen Sie die folgenden Informationen zur Synchronisierung mit Azure AD kennen.

Wenn Sie bereits über Benutzer oder Gruppen in Sophos Central verfügen, stellen Sie sicher, dass sie über eine Azure-AD-Übereinstimmung verfügen, wenn Sie ihre Details mithilfe von Azure AD hinzufügen, entfernen oder ändern möchten.

Warnung Unter bestimmten Umständen werden Benutzer dupliziert. Dies liegt daran, dass die von Azure AD synchronisierten UPN-Kennungen und die Benutzeranmeldung am Endpoint nicht übereinstimmen. Weitere Informationen finden Sie unter Warum sind einige meiner synchronisierten Azure AD-Benutzer nicht mit einem Endpoint-Login-Benutzer verknüpft?.

Wenn bei der Synchronisierung ein Benutzer oder eine Gruppe in Sophos Central gefunden wird, der/die mit einem Benutzer oder einer Gruppe in Azure AD übereinstimmt, werden diese dem Synchronisierungsdienst hinzugefügt. Sie können diese dann mit Azure AD verwalten und die Änderungen synchronisieren.

Wenn Benutzer oder Gruppen keine Übereinstimmung haben, müssen Sie sie manuell in Sophos Central verwalten.

Die Synchronisierung mit Azure AD wirkt sich nicht auf vorhandene Geräte in Sophos Central aus. Sie können keine Geräte mit Azure AD hinzufügen oder entfernen und dann die Änderungen synchronisieren.

Einschränkung Sie müssen ein Administrator sein, um Verzeichnisdienste einzurichten oder zu ändern. Bevor Sie die Synchronisierung einrichten können, benötigen Sie ein Microsoft Azure-Abonnement und Azure AD. Sie müssen auch über die Berechtigung directory.readall in Microsoft Azure verfügen.
Warnung Bevor Sie fortfahren, stellen Sie sicher, dass alle Ihre Azure-AD-Benutzer über eine E-Mail-Adresse verfügen. Sie benötigen eine E-Mail-Adresse für Ihre Benutzer, um sie bei der Verwendung vieler Sophos Central-Workflows zu schützen. Wenn Sie beispielsweise Sophos Email zum Schutz Ihrer Benutzer verwenden, wird eine E-Mail an eine E-Mail-Adresse, die nicht mit einem Benutzer verknüpft ist, nicht zugestellt.

Um die Synchronisierung mit Azure AD einzurichten, müssen Sie wie folgt vorgehen:

  1. Wählen Sie Azure AD als Verzeichnisdienst.
  2. Richten Sie eine Azure-Anwendung ein. Sie können diesen Schritt überspringen, wenn Sie bereits eine Anwendung eingerichtet haben.
  3. Richten Sie die Synchronisierungsoptionen ein.
  4. Wählen Sie die Benutzer und Gruppen aus, die synchronisiert werden sollen.
  5. Synchronisieren Sie Azure AD.
Einschränkung Diese Funktionen sind unter Umständen noch nicht für alle Kunden verfügbar.

Verzeichnisdienst auswählen

Im Folgenden wird davon ausgegangen, dass Sie derzeit keinen Verzeichnisdienst eingerichtet haben.

Anweisungen zum Wechseln von Verzeichnisdiensten finden Sie unter Ändern des Verzeichnisdienstes.

Um Ihren Verzeichnisdienst auszuwählen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Übersicht > Globale Einstellungen > Verzeichnisdienst.
  2. Klicken Sie auf den Link Erste Schritte.
  3. Wählen Sie die den gewünschten Verzeichnisdienst.
    • AD-Synchronisierung
    • Azure-AD-Synchronisierung
  4. Klicken auf Weiter und überprüfen und bestätigen Sie den Warnhinweis.
  5. Klicken Sie auf Weiter.

Sie können nun den ausgewählten Verzeichnisdienst einrichten.

Überprüfen, ob Sie über die richtigen Microsoft Azure-Informationen verfügen

Für die Synchronisierung mit Azure AD benötigen Sie einige Microsoft Azure-Informationen.

Um diese Informationen zu erhalten, müssen Sie eine Azure-Anwendung einrichten. Wenn Sie eine Azure-Anwendung eingerichtet haben, überprüfen Sie, ob Sie über die in diesem Abschnitt aufgeführten Informationen verfügen.

Um eine Azure-Anwendung einzurichten, folgen Sie den Anweisungen in Azure-Anwendungen einrichten.

  1. Notieren Sie sich die folgenden Informationen.
    • Mandantendomäne
    • Anwendungs-ID
    • Geheimer Clientschlüssel
    • Gültigkeitsdauer des geheimen Clientschlüssel
  2. Wenn nicht alle Informationen vorliegen, ziehen Sie den Abschnitt zum Einrichten einer Azure-Anwendung zu Rate.

Sie können jetzt Ihre Azure-AD-Einstellungen konfigurieren.

Konfigurieren von Azure-AD-Einstellungen

Um Ihre Azure-AD-Einstellungen zu konfigurieren, gehen Sie folgendermaßen vor:

  1. Geben Sie in Schritt B: Azure-Sync-Einstellungen konfigurieren folgende Informationen ein:
    • Client-ID. Dies ist die Anwendungs-ID für Ihre Azure-Anwendung.
    • Mandantendomäne. Hierbei handelt es sich um die primäre Domäne, die Ihrer Azure AD-Instanz zugewiesen ist.
    • Anwendungsschlüssel. Dies ist der Client-Geheimschlüssel für Ihre Azure-Anwendung.
    • Anwendungsschlüssel-Ablaufdatum. Dies ist das Ablaufdatum für Ihr Kundengeheimnis.
  2. Klicken Sie auf Verbindung testen, um Ihre Einstellungen zu prüfen.

Sie können nun die Benutzer und Gruppen auswählen, die synchronisiert werden sollen.

Auswahl der zu synchronisierenden Benutzer und Gruppen

Sie können die Benutzer und Gruppen filtern, die Sie synchronisieren.

Wenn Sie Filter wechseln, ändern Sie die Benutzer und Gruppen, die Sie synchronisieren. Alle Benutzer und Gruppen, die nicht im neuen Filter enthalten sind, werden aus Sophos Central entfernt.

Wenn Sie bereits Benutzer und Gruppen in Sophos Central haben und zum ersten Mal mit Azure AD synchronisieren, empfehlen wir Ihnen, alle Benutzer und Gruppen auszuwählen. Dadurch wird dem Synchronisierungsdienst der größte Satz an Benutzern und Gruppen angezeigt.

Wenn Sie über eine komplexe Hierarchie von Gruppen und Benutzern in Azure AD verfügen, empfehlen wir Ihnen, Benutzer und Gruppen hinzuzufügen, nachdem Sie diese gefiltert haben. Hierzu können Sie entweder Benutzer über Gruppen-Filter hinzufügen oder Benutzer über Benutzer-Filter hinzufügen verwenden.

Gehen Sie wie folgt vor, um Ihre Benutzer und Gruppen auszuwählen:

  1. Wählen Sie in Schritt C: Wählen Sie Benutzer und Gruppen aus, die synchronisiert werden aus, welche Benutzer und Gruppen Sie mit Azure AD synchronisieren möchten. Mithilfe von Filtern können Sie bestimmte Benutzer und Gruppen aus Azure AD synchronisieren. Wählen Sie aus den folgenden:
    • Alle Benutzer und Gruppen
    • Benutzer über Gruppen-ID hinzufügen
    • Benutzer über Gruppen-Filter hinzufügen
    • Benutzer über Benutzer-Filter hinzufügen

    Weitere Informationen zur Nutzung der Filter finden Sie in Benutzer und Gruppen filtern.

  2. Klicken Sie auf Speichern.

Sie können jetzt mit Azure AD synchronisieren.

Synchronisieren mit Azure AD

Anmerkung Sie können keine Vorschau der Änderungen anzeigen, die bei der Synchronisierung mit Azure AD in Sophos Central vorgenommen werden.

Verfahren Sie zur Synchronisierung mit Azure AD wie folgt:

  1. Klicken Sie auf Speichern und synchronisieren.
  2. Klicken Sie auf Einstellungen > Verzeichnisdienst, um den Synchronisierungsstatus zu überprüfen.
  3. Klicken Sie auf Benutzer, um die Änderungen an Ihren Benutzern zu überprüfen.
  4. Klicken Sie auf Gruppen, um die Änderungen an Ihren Gruppen zu überprüfen.