Saltar al contenido

Configurar la sincronización con Active Directory

Es posible que algunas funciones aún no estén disponibles para todos los clientes.

Puede sincronizar usuarios, dispositivos y grupos. También puede sincronizar carpetas públicas y buzones de correo.

Puede sincronizar diferentes dominios en el mismo bosque. Puede seleccionar varios dominios secundarios dentro de un único bosque.

También se pueden sincronizar varios bosques con una cuenta de Sophos Central Admin. Debe tener en cuenta lo siguiente:

  • Le recomendamos que sincronice un bosque con una cuenta de Sophos Central Admin. Si sincroniza un bosque con varias cuentas, puede haber comportamientos imprevisibles en Sophos Central Admin.
  • Los usuarios y las direcciones de correo electrónico deben ser únicos en cada bosque. Si tiene objetos duplicados, los actualizaremos con información de cada bosque durante la sincronización. La sincronización no combina datos. Esto significa que podemos mostrar información incoherente para los objetos de bosque duplicados en Sophos Central Admin.

También puede hacer lo siguiente:

  • Sincronizar dispositivos y grupos de dispositivos desde Active Directory (AD) y sincronizar usuarios y grupos de usuarios desde Microsoft Entra ID para el mismo dominio.

    Aviso

    Si desea sincronizar carpetas públicas y buzones de correo compartidos, también debe utilizar AD para sincronizar los usuarios y grupos de usuarios si se encuentran en el mismo dominio que los buzones compartidos y las carpetas públicas.

  • Sincronizar desde AD y Microsoft Entra ID para diferentes dominios.

Configuración de sincronización de Active Directory

Para sincronizarse con Active Directory, debe descargar e instalar el programa de configuración de sincronización de Active Directory (describimos cómo instalarlo y descargarlo más adelante). El programa de configuración de sincronización de Active Directory funciona de la siguiente manera:

  • Sincroniza usuarios y grupos activos.

    Si un usuario coincide con un usuario existente de Sophos Central, la configuración de sincronización de Active Directory solo crea un nuevo usuario si el usuario existente se creó manualmente en Sophos Central. No crea un usuario nuevo si el usuario existente se sincronizó desde otro servicio de directorio. Lo mismo se aplica a los grupos.

    Ejemplos
    • Puede añadir una dirección de correo electrónico de AD a un usuario existente en Sophos Central que se añadió utilizando otro servicio de directorio.
    • Cuando cree manualmente un usuario llamado "Bob" en la página Personas y después añada otro usuario llamado "Bob" desde AD, habrá dos usuarios "Bob" en Sophos Central.
  • Sincroniza dispositivos y grupos de dispositivos. Consulte Preguntas frecuentes sobre la detección de grupos de dispositivos para obtener información sobre cómo asignar dispositivos y grupos, así como otra información útil.

  • Sincroniza los buzones compartidos y las carpetas públicas.

    Si desea sincronizar buzones compartidos, debe asegurarse de que la opción Excluir cuentas de usuario desactivadas esté activada cuando configure las opciones de sincronización. Si desactiva esta opción, obtendrá buzones duplicados para los buzones compartidos en Sophos Central.

Puede configurarlo para que se ejecute automáticamente a horas determinadas. Solo admite el servicio de sincronización de AD. No le ayuda a instalar el software del agente de Sophos en los dispositivos de sus usuarios. Utilice otros métodos de despliegue.

Debe leer las siguientes secciones y completar las tareas necesarias antes de configurar la sincronización con Active Directory:

  • Requisitos
  • Restricciones
  • Eliminar usuarios y dispositivos inactivos

Si ya lo ha hecho, vaya a Descargar el software de configuración y validar las credenciales.

Requisitos

Antes de configurar la sincronización, es necesario comprobar lo siguiente:

  • Debe ser administrador para configurar los orígenes de directorio.
  • Debe tener .NET Framework 4.5.2 instalado en el equipo donde ejecutará el programa de configuración de sincronización de Active Directory.
  • Debe tener credenciales de API de Sophos para sincronizarse con AD. Debe tenerlas para poder configurar la sincronización, cambiar la configuración existente o sincronizar.

    Debe utilizar el rol de API Sincronización de Active Directory de entidad de servicio. Debe asegurarse siempre de que el acceso sea lo más específico posible.

    Consulte Administración de credenciales de API.

  • Debe asegurarse de que todos los usuarios de Active Directory tienen una dirección de correo electrónico.

    Necesita una dirección de correo electrónico para los usuarios a fin de protegerlos cuando utilicen muchos flujos de trabajo de Sophos Central.

    Por ejemplo, si utiliza Sophos Email para proteger a sus usuarios, los mensajes para una dirección de correo electrónico que no esté vinculada a un usuario no se entregarán.

  • Debe configurar su firewall o proxy para permitir algunos dominios. Consulte Dominios y puertos que permitir.

Restricciones

No se puede hacer lo siguiente:

  • Sincronizar usuarios y grupos de usuarios mediante AD y Microsoft Entra ID desde el mismo dominio.
  • Sincronizar usuarios o direcciones de correo electrónico con varias cuentas de Sophos Central Admin. Los usuarios y las direcciones de correo electrónico deben ser únicos en cada cuenta de Sophos Central Admin.
  • Sincronizar usuarios con grupos de varios dominios. Solo sincronizaremos usuarios del dominio al que pertenece el grupo. Previsualizar y sincronizar muestra todos los miembros del grupo, pero no añadiremos usuarios de otros dominios al grupo.

    Por ejemplo, tiene dos dominios llamados domainX.com y sub.domainX.com. Uno de sus dominios, domainX.com, tiene un grupo, g1. El grupo, g1, contiene miembros de ambos dominios. Sincronizaremos sus usuarios y los asociaremos al grupo g1. Solo haremos esto para el dominio al que esté asociado el grupo. Esto significa que sincronizaremos los usuarios de domainX.com y los añadiremos al grupo g1. Previsualizar y sincronizar muestra todos los miembros del grupo, pero no añadiremos los usuarios del segundo dominio.

  • Configurar más de 1000 filtros para un objeto de directorio. Los filtros le permiten seleccionar usuarios y dispositivos para sincronizar.

  • Configurar filtros LDAP adicionales que tengan más de 5000 caracteres.
  • Utilizar un dominio cuyo nombre tenga más de 63 caracteres o que empiece o termine con los caracteres '-' o '_'.
  • Sincronizar usuarios por separado de los grupos de usuarios. Debe sincronizar ambos o ninguno.
  • Sincronice dispositivos por separado de los grupos de dispositivos. Debe sincronizar ambos o ninguno.
  • Sincronice los buzones de correo (compartidos) del grupo de Microsoft 365. Debe utilizar la sincronización de Microsoft Entra ID.
  • Sincronizar varios clientes de AD desde un solo dominio o subdominio.

Eliminar usuarios y dispositivos inactivos

Se recomienda eliminar los usuarios y dispositivos inactivos de los dominios de AD. Las cuentas de usuario y los dispositivos inactivos suponen un riesgo para la seguridad. Esto también reduce el tamaño del archivo que se envía a Sophos Central desde AD, lo que agiliza la sincronización.

En estos enlaces encontrará ayuda para buscar y eliminar usuarios inactivos:

Puede utilizar los filtros de AD para impedir que los usuarios inactivos se sincronicen con Sophos Central. Esto puede reducir el tamaño del archivo de sincronización enviado a Sophos Central, pero no mitiga los riesgos de seguridad asociados con los usuarios inactivos en sus dominios de AD.

Consulte Filtrar usuarios de AD inactivos.

Descargar el software de configuración y validar las credenciales

Para comenzar a configurar la sincronización con AD, debe descargar el programa de configuración de sincronización de Active Directory y validar sus credenciales.

Estas instrucciones indican cómo configurar la sincronización con AD. Esto añade un origen de directorio de AD. Para obtener ayuda sobre la gestión de los orígenes de directorio, consulte Gestionar sus orígenes.

Para empezar con la configuración, haga lo siguiente:

  1. Vaya a Mis productos > Configuración general y haga clic en Servicio de directorio.
  2. Haga clic en el enlace para descargar el programa de configuración de sincronización de Active Directory. A continuación, ejecútelo. Se inicia el programa de configuración de sincronización de Active Directory.
  3. Introduzca su ID del cliente y Secreto del cliente y haga clic en Validar credenciales.
  4. Active Configurar proxy manualmente si desea utilizar un proxy e introduzca su Dirección del proxy.
  5. Si utiliza un proxy, puede activar la autenticación adicional. Active la opción Activar autenticación de proxy e introduzca la siguiente información.

    • Usuario del proxy
    • Contraseña del proxy
  6. Haga clic en Validar credenciales para comprobar la configuración del proxy.

A continuación, debe introducir los detalles de configuración de AD.

Introduzca su configuración de AD

Ahora puede introducir los detalles de configuración de AD. Debe utilizar las credenciales para una cuenta de usuario que tenga acceso de lectura a todo el bosque de Active Directory que desea sincronizar. Para garantizar su seguridad, utilice una cuenta con derechos limitados.

Para introducir su configuración, haga lo siguiente:

  1. En la página Configuración de AD, introduzca los detalles del servidor LDAP de Active Directory y las credenciales.

    Recomendamos que utilice una conexión LDAP segura, cifrada mediante SSL, y que deje activada la opción Usar LDAP con una conexión SSL (recomendado).

  2. Si su entorno LDAP no admite SSL, desactive la opción Usar LDAP con una conexión SSL (recomendado) y cambie el número de puerto. El número de puerto suele ser 636 para las conexiones SSL y 389 para las conexiones no seguras.

    Microsoft lanzó una actualización de seguridad que cambió el enlace de canal LDAP y la firma LDAP para Active Directory. Las conexiones no seguras en el puerto 389 no funcionan con la actualización de seguridad de Microsoft. Consulte Requisitos de enlace de canal LDAP y firma LDAP para Active Directory para Windows 2020.

A continuación, debe configurar las opciones de sincronización. Para ello, haga clic en Siguiente y configure la sincronización utilizando las fichas restantes.

Puede hacer clic en Finalizar en cualquiera de las fichas si ha terminado de configurar.

Configurar las opciones de sincronización

Ahora puede configurar los filtros que desea utilizar para sincronizar la información desde su AD a Sophos Central.

Es posible que algunas funciones aún no estén disponibles para todos los clientes.

Filtros de AD

Puede elegir los tipos de datos que desea sincronizar mediante el programa de configuración de sincronización de Active Directory.

Puede elegir los tipos de datos que desea sincronizar configurando los filtros LDAP.

Para obtener ayuda específica sobre la sincronización de diferentes tipos de datos, consulte:

Para filtrar sus datos, haga lo siguiente:

  1. En la ficha Filtros de AD, configure un filtro LDAP para seleccionar los usuarios, dispositivos y grupos que desea sincronizar.

    Puede especificar opciones de búsqueda adicionales (bases de búsqueda y filtros de consultas LDAP) para cada dominio. También puede especificar distintas opciones para usuarios y grupos de usuarios.

    Nota

    La sincronización solo crea grupos con usuarios o dispositivos detectados, independientemente de la configuración del filtro de grupo.

    Opción Descripción
    Bases de búsqueda

    Puede especificar bases de búsqueda (también llamadas "nombres distintivos de la base"). Por ejemplo, si desea filtrar por unidades organizativas (OU), puede especificar una base de búsqueda en este formato:

    OU=Finance,DC=myCompany,DC=com

    Filtros de consultas LDAP

    Para filtrar usuarios, por ejemplo, por pertenencia a un grupo, puede definir un filtro de consulta de usuario en este formato:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Esta consulta limita la detección de usuarios a usuarios que pertenezcan al "grupoDePrueba". Tenga en cuenta que la sincronización detecta todos los grupos a los que pertenecen esos usuarios detectados si no especifica un filtro de consulta de grupo. Si también desea que la detección de grupos esté limitada al "grupoDePrueba", puede definir el siguiente filtro de consulta de grupo:

    CN=testGroup

    También puede utilizar estos filtros para impedir que los usuarios inactivos se sincronicen con Sophos Central.

    Excluir cuentas de usuario desactivadas

    La sincronización excluye por defecto las cuentas de usuario desactivadas. Para incluirlas, desactive esta opción.

    Si desea sincronizar buzones compartidos, debe asegurarse de que esta opción está activada. De lo contrario, obtendrá buzones duplicados para los buzones compartidos en Sophos Central.

    Aviso

    Si incluye nombres distintivos de la base en sus opciones de búsqueda o cambia su configuración de filtros, es posible que algunos de los usuarios y grupos de Sophos Central creados durante sincronizaciones anteriores queden fuera del ámbito de la búsqueda. Es posible que se eliminen de Sophos Central.

Ahora puede configurar la programación de sincronización. Consulte Programa de sincronización.

Dispositivos y grupos de dispositivos

Si desea sincronizar dispositivos y grupos de dispositivos, haga lo siguiente:

  1. Haga clic en Filtros de AD.
  2. Active Sincronizar dispositivos y Sincronizar unidades organizativas.
  3. Es posible que desee sincronizar las unidades organizativas antes de sincronizar los dispositivos para poder configurar los grupos con antelación. Para ello, active solo Sincronizar unidades organizativas.

    Se recomienda sincronizar las unidades organizativas antes de sincronizar los dispositivos por primera vez. Esto le permite configurar sus políticas y aplicarlas a sus grupos. A continuación, puede sincronizar sus dispositivos y nosotros aplicamos sus políticas a sus dispositivos. Si no lo hace, aplicamos nuestras políticas predeterminadas a sus grupos y dispositivos.

    Si sincroniza las unidades organizativas antes de sincronizar los dispositivos, debe activar Sincronizar dispositivos y Sincronizar unidades organizativas al sincronizar los dispositivos. Esto mantiene la asociación entre las unidades organizativas y los dispositivos.

    Si desea cambiar esta configuración, una vez sincronizadas las unidades organizativas y los dispositivos, debe saber lo siguiente:

    • Si desactiva Sincronizar unidades organizativas, deja activada la opción Sincronizar dispositivos y, a continuación, efectúa la sincronización, las unidades organizativas se muestran como grupos personalizados en Sophos Central.
    • Si desactiva Sincronizar dispositivos, deja activada la opción Sincronizar unidades organizativas y, a continuación, realiza la sincronización, no asignamos sus dispositivos a grupos en Sophos Central.

Usuarios y grupos de usuarios

Si desea sincronizar usuarios y grupos de usuarios, haga lo siguiente:

  1. Haga clic en Filtros de AD.
  2. Active Sincronizar usuarios y grupos de usuarios.

    Esta opción también sincroniza los buzones compartidos.

    También puede sincronizar los usuarios y grupos de usuarios mediante Microsoft Entra ID. Si desea hacerlo, puede desactivar esta opción.

    Si desactiva esta opción, no podrá sincronizar buzones de correo compartidos ni carpetas públicas.

Carpetas públicas

Si desea sincronizar las carpetas públicas, haga lo siguiente:

  1. Haga clic en Filtros de AD.
  2. Active Sincronizar usuarios y grupos de usuarios.

    Las carpetas públicas son buzones de correo, por lo que debe activar esta opción.

  3. Active Sincronizar carpetas públicas.

    Opciones de sincronización de Active Directory.

Programa de sincronización

Para configurar la programación de la sincronización, haga lo siguiente:

  1. En la página Programación de sincronización, defina las horas a las que se llevará a cabo la sincronización.

    Opciones de programación de Active Directory.

    Nota

    Un servicio en segundo plano realiza una sincronización programada.

  2. Si desea sincronizar manualmente y no quiere que la sincronización se realice automáticamente, haga clic en Nunca. Sincronizar solo con inicio manual.

Ahora puede sincronizar con AD.

Sincronización con AD

Le recomendamos que sincronice manualmente con AD cuando configure la sincronización o realice cambios en la configuración. Esto significa que puede comprobar los cambios que se realizarán durante la sincronización.

La sincronización manual tarda hasta 15 minutos.

Para sincronizar, haga lo siguiente:

  1. Haga clic en Previsualizar y sincronizar.

    • Si utiliza filtros de consultas LDAP, compruebe que los ha configurado correctamente.
  2. Revise los cambios que se realizarán durante la sincronización. Si está de acuerdo con los cambios, haga clic en Aprobar cambios y continuar. Los usuarios, dispositivos y grupos se importan de AD a Sophos Central.

  3. Revise los usuarios, dispositivos y grupos en Sophos Central.

    • Compruebe que los dispositivos de sus usuarios están protegidos.
    • Compruebe las políticas aplicadas a sus usuarios y grupos de usuarios.
    • Compruebe si sus ordenadores y servidores tienen dispositivos no administrados. Se muestran en fichas separadas. Proteja los dispositivos no administrados.
    • Compruebe las políticas aplicadas a sus dispositivos y grupos de dispositivos. Puede aplicar políticas al grupo de dispositivos de AD.

Mover servidores de sincronización de Active Directory

Si desea mover el servidor que utiliza para sincronizarse con AD, haga lo siguiente:

  1. Detenga la sincronización en el servidor actual.
  2. Configure la sincronización de Active Directory en el nuevo servidor.

    Si necesita ayuda para ello, siga las instrucciones dadas en las secciones anteriores de esta página.

  3. Compruebe que no es necesario cambiar los filtros.

  4. Previsualice la sincronización para comprobar que la configuración es correcta.
  5. Sincronice y compruebe que todo funciona como se espera.
  6. Establezca la programación de la sincronización.
  7. Elimine la sincronización de Active Directory del servidor original.