Einrichtung der Active Directory-Synchronisierung

Folgen Sie dieser Anleitung, um die Synchronisierung mit Active Directory einzurichten:

Bevor Sie die Synchronisierung einrichten, stellen Sie sicher, dass .NET Framework 4 auf dem Computer, auf dem Sie das Sophos Central AD-Synchronisierungstool ausführen möchten, installiert ist.

Warnung Bevor Sie fortfahren, stellen Sie sicher, dass alle ihre Active Directory-Benutzer korrekt mit E-Mail-Adresse eingerichtet sind. Benutzer ohne E-Mail-Adresse werden nicht geschützt und E-Mails, die an eine Adresse gesendet werden, die keinem Benutzer zugeordnet ist, werden nicht übertragen.

Sie müssen API-Anmeldeinformationen für die Synchronisierung mit Active Directory verwenden.

Einrichtung der Synchronisierung mit Active Directory:

  1. Richten Sie Ihre API-Anmeldeinformationen für AD Sync ein. Klicken Sie hierzu auf Einstellungen > API-Zugangsdaten.
  2. Neue Anmeldeinformation hinzufügen Geben Sie folgende Informationen ein:
    • Zugangsdaten-Name
    • Beschreibung
  3. Kopieren Sie Client-ID und Geheimer Clientschlüssel.
  4. Klicken Sie auf Einstellungen > Active Directory-Synchronisierung und klicken Sie auf den Link zum Download des Installers für das Sophos Central AD-Synchronisierungstool. Führen Sie es aus.

    Alternativ können Sie das Startmenü aufrufen und auf Sophos > Central > AD Sync klicken. Wenn Sie mit Windows 8 oder höher arbeiten, ist die App AD Sync in der App-Liste unter Sophos zu finden.

    Der Sophos Central AD Sync Utility Setup-Assistent wird gestartet.
  5. Geben Sie in den Einrichtungsassistenten die erforderlichen Informationen ein.

    Folgen Sie den Anweisungen im Sophos Central AD Sync Utility Setup-Assistenten.

  6. Wählen Sie auf der letzten Seite des Setup-Assistenten Sophos Cloud AD Sync Utility starten aus und klicken Sie auf Fertigstellen.
  7. Geben Sie im Active Directory Synchronization Setup Utility auf der Seite Sophos-Zugangsdaten Client-ID und Geheimer Clientschlüssel anstelle Ihrer Sophos Central-Anmeldeinformationen ein.
  8. Definieren Sie auf der Seite AD-Konfiguration Ihren Active Directory LDAP-Server und die Benutzerdaten für ein Benutzerkonto mit Leseberechtigungen für den gesamten Active Directory-Wald, den Sie synchronisieren möchten. Verwenden Sie zur Sicherheit ein Konto mit den geringstmöglichen Berechtigungen, die diesen Zugriff ermöglichen.

    Wir empfehlen Ihnen, eine sichere, über SSL verschlüsselte LDAP-Verbindung zu verwenden und das Kontrollkästchen LDAP über SSL-Verbindung verwenden (empfohlen) aktiviert zu lassen. Wenn Ihre LDAP-Umgebung SSL nicht unterstützt, deaktivieren Sie das Kontrollkästchen LDAP über SSL-Verbindung verwenden und ändern Sie die Portnummer. Normalerweise lautet die Portnummer 636 für SSL-Verbindungen und 389 für unsichere Verbindungen.

  9. Wenn Sie nicht die gesamte Gesamtstruktur synchronisieren möchten, können Sie auf der Seite AD-Filter angeben, welche Domänen in die Synchronisierung einbezogen werden sollen. Sie können auch zusätzliche Suchoptionen (Suchbasis und LDAP-Abfragefilter) für jede Domain angeben. Für Benutzer und Benutzergruppen können unterschiedliche Optionen festgelegt werden.
    Anmerkung AD Sync erstellt nur Gruppen mit Mitgliedern, zu denen erkannte Benutzer oder Geräte gehören, unabhängig von Gruppen-Filtereinstellungen.
    OptionBezeichnung

    Suchbasis

    Sie können eine Suchbasis (auch „Base Distinguished Names“ genannt) festlegen. Wenn Sie z. B. nach Organizational Units (OUs) filtern möchten, können Sie eine Suchbasis in folgendem Format angeben:

    OU=Finance,DC=myCompany,DC=com

    LDAP-Abfragefilter

    Um Benutzer zu filtern, z. B. nach Gruppenzugehörigkeit, können Sie einen Benutzer-Abfragefilter in folgendem Format verwenden:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Mit dieser Abfrage wird die Benutzererkennung auf Benutzer beschränkt, die zu „testGroup“ gehören. Bitte beachten Sie: Wenn Sie keinen Gruppen-Abfragefilter festlegen, erkennt AD Sync alle Gruppen, denen diese erkannten Benutzer angehören. Wenn Sie die Erkennung von Gruppen ebenfalls auf „testGroup“ beschränken möchten, können Sie folgenden Gruppen-Abfragefilter festlegen:

    CN=testGroup

    Deaktivierte Benutzerkonten ausschließen

    Standardmäßig werden deaktivierte Benutzerkonten von der Synchronisierung ausgeschlossen. Um sie einzuschließen, deaktivieren Sie das Kontrollkästchen.

    Anmerkung Wenn Sie Base Distinguished Names in Ihren Suchoptionen verwenden oder Ihre Filtereinstellungen ändern, kann es sein, dass einige der bestehenden Sophos Central-Benutzer und -Gruppen, die bei früheren Synchronisierungen angelegt wurden, aus dem Suchbereich herausfallen und aus Sophos Central gelöscht werden.
  10. Legen Sie auf der Seite Synchronisierungsplan die Zeiten fest, zu denen die Synchronisierung automatisch durchgeführt werden soll.
    Anmerkung Eine geplante Synchronisierung wird von einem Hintergrund-Dienst durchgeführt. Das AD Sync Utility muss für die geplanten Synchronisierungen nicht ausgeführt werden.

    Wenn Sie die Synchronisierung manuell durch Ausführen des AD Sync Utility und nicht automatisch auf regelmäßiger Basis durchführen möchten, wählen Sie Niemals. Nur synchronisieren, wenn manuell eingeleitet.

  11. Klicken Sie auf Fertig.
  12. Für eine sofortige Synchronisierung klicken Sie im AD Sync Utility auf Preview and Sync. Überprüfen Sie die Änderungen, die während der Synchronisierung vorgenommen werden. Wenn Sie mit den Änderungen einverstanden sind, klicken Sie auf Approve Changes and Continue.

    Die Active Directory Benutzer und Gruppen werden aus Active Directory in Sophos Central importiert.

    Um die laufende Synchronisierung zu beenden, klicken Sie auf Abbrechen.