Einrichtung der Active Directory-Synchronisierung

Folgen Sie dieser Anleitung, um die Synchronisierung mit Active Directory einzurichten:

Einleitung

Bevor Sie die Synchronisierung einrichten, stellen Sie sicher, dass .NET Framework 4.5.2 auf dem Computer, auf dem Sie „Active Directory Synchronization Setup“ ausführen möchten, installiert ist.

Warnung Bevor Sie fortfahren, stellen Sie sicher, dass alle ihre Active Directory-Benutzer korrekt mit E-Mail-Adresse eingerichtet sind. Benutzer ohne E-Mail-Adresse werden nicht geschützt und E-Mails, die an eine Adresse gesendet werden, die keinem Benutzer zugeordnet ist, werden nicht zugestellt.

Sie müssen Sophos-API-Anmeldeinformationen für die Synchronisierung mit Active Directory verwenden. Sie müssen diese einrichten, bevor Sie die Synchronisierung mit Active Directory einrichten, Ihre vorhandene Konfiguration ändern oder mit Active Directory synchronisieren können, siehe API-Zugangsdaten.

Anmerkung Sie können Ihre Sophos-Anmeldeinformationen verwenden, um sich beim Active Directory Synchronization Setup anzumelden und Ihre vorhandene Konfiguration zu überprüfen.
Einschränkung Einige Funktionen sind unter Umständen noch nicht für alle Kunden verfügbar.

Um die Synchronisierung mit Active Directory einzurichten, müssen Sie wie folgt vorgehen:

  1. Laden Sie „Active Directory Synchronization Setup“ herunter und validieren Sie Ihre Anmeldeinformationen.
  2. Geben Sie Ihre Active Directory-Konfiguration ein.
  3. Richten Sie die Synchronisierungsoptionen ein.
  4. Synchronisieren Sie mit Active Directory.

Überprüfen Ihrer Anmeldedaten

Sie müssen „Active Directory Synchronization Setup“ herunterladen und Ihre API-Anmeldeinformationen validieren, bevor Sie die Active Directory-Synchronisierung einrichten. Wenn Sie einen Proxy verwenden, müssen Sie auch Ihre Proxy-Server-Einstellungen validieren.

Gehen Sie wie folgt vor, um Ihre Anmeldedaten zu validieren:

  1. Klicken Sie auf Einstellungen > Active Directory-Synchronisierung und klicken Sie auf den Link, um „Active Directory Synchronization Setup“ herunterzuladen. Führen Sie es aus.
    Das Active Directory Synchronization Setup wird gestartet.
  2. Geben Sie Client-ID und Geheimer Clientschlüssel ein und klicken Sie auf Anmeldeinformationen validieren.
    Anmerkung Sie können die Active Directory-Synchronisierung nicht einrichten, wenn Sie Ihre API-Anmeldeinformationen nicht eingeben und validieren.
  3. Aktivieren Sie Proxy manuell konfigurieren, wenn Sie einen Proxy verwenden möchten, und geben Sie Ihre Proxy-Adresse ein.
  4. Wenn Sie einen Proxy verwenden, können Sie zusätzliche Authentifizierung aktivieren. Aktivieren Sie die Option Proxy-Authentifizierung aktivieren und geben Sie die folgenden Informationen ein.
    • Proxy-Benutzer
    • Proxy-Kennwort
  5. Klicken Sie auf Anmeldeinformationen validieren, um Ihre Proxy-Einstellungen zu validieren.

Eingabe Ihrer Active Directory-Konfiguration

Verfahren Sie zur Eingabe der Konfiguration wie folgt.

  1. Geben Sie auf der Seite AD-Konfiguration die Details für Ihren Active Directory-LDAP-Server und Ihre Anmeldeinformationen ein.

    Sie müssen die Anmeldeinformationen für ein Benutzerkonto verwenden, das Lesezugriff auf die gesamte Active Directory-Gesamtstruktur hat, die Sie synchronisieren möchten. Aus Sicherheitsgründen empfiehlt sich ein Konto mit eingeschränkten Rechten.

    Wir empfehlen Ihnen, eine sichere, über SSL verschlüsselte LDAP-Verbindung zu verwenden und die Option LDAP über SSL-Verbindung verwenden (empfohlen) aktiviert zu lassen.

  2. Wenn Ihre LDAP-Umgebung SSL nicht unterstützt, deaktivieren Sie die Option LDAP über SSL-Verbindung verwenden und ändern Sie die Portnummer. Normalerweise lautet die Portnummer 636 für SSL-Verbindungen und 389 für unsichere Verbindungen.

Einrichten der Synchronisierungsoptionen

Gehen Sie zum Einrichten der Synchronisierungsoptionen folgendermaßen vor:

  1. Klicken Sie auf Weiter und richten Sie die Synchronisierung mithilfe der verbleibenden Registerkarten ein. Wenn Sie die Einrichtung abgeschlossen haben können Sie auf einer der Registerkarten auf Fertig stellen klicken.
  2. Geben Sie auf der Registerkarte AD-Filter an, welche Domänen in die Synchronisierung einbezogen werden sollen. Sie können auch zusätzliche Suchoptionen (Suchbasis und LDAP-Abfragefilter) für jede Domain eingeben. Sie können unterschiedliche Optionen für Benutzer und Benutzergruppen festlegen.
    Anmerkung Bei der Synchronisierung werden unabhängig von den Gruppenfiltereinstellungen nur Gruppen mit erkannten Benutzern oder Geräten erstellt.
    OptionBezeichnung

    Suchbasis

    Sie können eine Suchbasis (auch „Base Distinguished Names“ genannt) festlegen. Wenn Sie z. B. nach Organizational Units (OUs) filtern möchten, können Sie eine Suchbasis in folgendem Format angeben:

    OU=Finance,DC=myCompany,DC=com

    LDAP-Abfragefilter

    Um Benutzer zu filtern, z. B. nach Gruppenzugehörigkeit, können Sie einen Benutzer-Abfragefilter in folgendem Format verwenden:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Mit dieser Abfrage wird die Benutzererkennung auf Benutzer beschränkt, die zu „testGroup“ gehören. Beachten Sie, dass die Synchronisierung alle Gruppen erkennt, zu denen diese erkannten Benutzer gehören, wenn Sie keinen Gruppen-Abfragefilter angeben. Wenn Sie die Erkennung von Gruppen ebenfalls auf „testGroup“ beschränken möchten, können Sie folgenden Gruppen-Abfragefilter festlegen:

    CN=testGroup

    Deaktivierte Benutzerkonten ausschließen

    Standardmäßig werden bei der Synchronisierung deaktivierte Benutzerkonten ausgeschlossen. Um sie einzuschließen, deaktivieren Sie diese Option.

    Anmerkung Wenn Sie Base Distinguished Names in Ihren Suchoptionen verwenden oder Ihre Filtereinstellungen ändern, kann es sein, dass einige Sophos Central-Benutzer und -Gruppen, die bei früheren Synchronisierungen angelegt wurden, aus dem Suchbereich herausfallen und aus Sophos Central gelöscht werden.
  3. Legen Sie auf der Registerkarte Synchronisierungsplan die Zeiten fest, zu denen die Synchronisierung durchgeführt werden soll.
    Anmerkung Ein Hintergrunddienst führt eine geplante Synchronisierung durch.
  4. Wenn Sie die Synchronisierung manuell und nicht automatisch auf regelmäßiger Basis durchführen möchten, klicken Sie auf Niemals. Nur synchronisieren, wenn manuell eingeleitet.

Synchronisierung mit Active Directory

Wir empfehlen, die Synchronisierung manuell mit Active Directory durchzuführen, wenn Sie die Synchronisierung einrichten oder Änderungen an Ihren Einstellungen vornehmen. So können Sie die Änderungen überprüfen, die während der Synchronisierung vorgenommen werden.

Verfahren Sie zur Synchronisierung wie folgt:

  1. Klicken Sie auf Preview and Sync.
  2. Überprüfen Sie die Änderungen, die während der Synchronisierung vorgenommen werden. Wenn Sie mit den Änderungen einverstanden sind, klicken Sie auf Approve Changes and Continue.
    Die Active Directory-Benutzer und -Gruppen werden aus Active Directory in Sophos Central importiert