Configurar la sincronización con Active Directory

Siga estas instrucciones para configurar la sincronización con Active Directory:

Debe leer las siguientes secciones y completar las tareas necesarias antes de configurar la sincronización con Active Directory:

  • Antes de empezar
  • Prácticas recomendadas
  • Sincronización de Active Directory.

Si ya lo ha hecho, vaya a Seleccionar servicio de directorio para comenzar la configuración.

Antes de empezar

Antes de configurar la sincronización, es necesario tener lo siguiente:

  • .NET Framework 4.5.2 instalado en el equipo donde ejecutará el programa de configuración de sincronización de Active Directory.
  • Credenciales de API de Sophos para sincronizarse con Active Directory. Debe configurarlas para poder configurar la sincronización con Active Directory o cambiar la configuración existente, o sincronizar con Active Directory. Consulte Administración de credenciales de API.

Asegúrese de que todos los usuarios de Active Directory tengan una dirección de correo electrónico. Necesita una dirección de correo electrónico para los usuarios a fin de protegerlos cuando utilicen muchos flujos de trabajo de Sophos Central. Por ejemplo, si utiliza Sophos Email para proteger a sus usuarios, los mensajes para una dirección de correo electrónico que no esté vinculada a un usuario no se entregarán.

Prácticas recomendadas

Se recomienda eliminar los usuarios inactivos y sus dispositivos de los dominios de Active Directory. Las cuentas de usuario y los dispositivos inactivos suponen un riesgo para la seguridad. Esto también reduce el tamaño del archivo que se envía a Sophos Central desde Active Directory, lo que agiliza la sincronización.

En estos enlaces encontrará ayuda para buscar y eliminar usuarios inactivos:

Puede utilizar los filtros de Active Directory para impedir que los usuarios inactivos se sincronicen con Sophos Central. Esto puede reducir el tamaño del archivo de sincronización enviado a Sophos Central, pero no mitiga los riesgos de seguridad asociados con los usuarios inactivos en sus dominios de Active Directory.

Cómo sincronizarse con Active Directory

Para sincronizarse con Active Directory, debe descargar e instalar el programa de configuración de sincronización de Active Directory (describimos cómo instalarlo y descargarlo más adelante).

El programa de configuración de sincronización de Active Directory funciona de la siguiente manera:

  • Sincroniza usuarios y grupos activos.

    No duplica los usuarios o grupos existentes cuando coinciden con un usuario o grupo de Sophos Central existente. Por ejemplo, puede añadir una dirección de correo electrónico de Active Directory a un usuario existente en Sophos Central.

  • Sincroniza dispositivos y grupos de dispositivos. Consulte Preguntas frecuentes sobre la detección de grupos de dispositivos para obtener información sobre cómo asignar dispositivos y grupos, así como otra información útil.

Puede configurarlo para que se ejecute automáticamente a horas determinadas.

Solo admite el servicio de Active Directory.

No le ayuda a instalar el software del agente de Sophos en los dispositivos de sus usuarios. Utilice otros métodos de despliegue con Active Directory.

Restricción Debe ser administrador para configurar o cambiar los servicios de directorio.

Para configurar la sincronización con Active Directory, debe hacer lo siguiente:

  1. Seleccione el servicio de directorio que quiere usar.
  2. Descargue el programa de configuración de sincronización de Active Directory y valide sus credenciales.
  3. Introduzca su configuración de Active Directory.
  4. Configure las opciones de sincronización.
  5. Sincronice Active Directory.

Seleccionar servicio de directorio

Estas instrucciones parten de la base de que no tiene configurado un servicio de directorio.

Si desea cambiar de servicio de directorio, consulte Cambiar de servicio de directorio.

Para seleccionar su servicio de directorio, haga lo siguiente:

  1. Vaya a Descripción general > Configuración global > Servicio de directorio.
  2. Haga clic en el enlace Introducción.
  3. Seleccione el servicio de directorio que quiere usar.
    • Sincronización de AD
    • Sincronización de Azure AD
  4. Haga clic en Siguiente y revise y confirme la advertencia.
  5. Haga clic en Siguiente.

Ya puede configurar el servicio de directorio elegido.

Descargar el software de configuración y validar las credenciales

Debe descargar el programa de configuración de sincronización de Active Directory y validar sus credenciales de API antes de configurar la sincronización con Active Directory. Si utiliza un proxy, también debe validar la configuración del servidor proxy.

Para validar sus credenciales, haga lo siguiente:

  1. Haga clic en el enlace para descargar el programa de configuración de sincronización de Active Directory. A continuación, ejecútelo.
    Se inicia el programa de configuración de sincronización de Active Directory.
  2. Introduzca su ID del cliente y Secreto del cliente y haga clic en Validar credenciales.
  3. Active Configurar proxy manualmente si desea utilizar un proxy e introduzca su Dirección del proxy.
  4. Si utiliza un proxy, puede activar la autenticación adicional. Active la opción Activar autenticación de proxy e introduzca la siguiente información.
    • Usuario del proxy
    • Contraseña del proxy
  5. Haga clic en Validar credenciales para comprobar la configuración del proxy.

Introducir su configuración de Active Directory

Para introducir su configuración, haga lo siguiente:

  1. En la página Configuración de AD, introduzca los detalles del servidor LDAP de Active Directory y las credenciales.

    Debe utilizar las credenciales para una cuenta de usuario que tenga acceso de lectura a todo el bosque de Active Directory que desea sincronizar. Para garantizar su seguridad, utilice una cuenta con derechos limitados.

    Recomendamos que utilice una conexión LDAP segura, cifrada mediante SSL, y que deje activada la opción Usar LDAP con una conexión SSL (recomendado).

  2. Si su entorno LDAP no admite SSL, desactive la opción Usar LDAP con una conexión SSL (recomendado) y cambie el número de puerto. El número de puerto suele ser 636 para las conexiones SSL y 389 para las conexiones no seguras.

Configurar sus opciones de sincronización

Para configurar las opciones de su sincronización, haga lo siguiente:

  1. Haga clic en Siguiente y configure la sincronización utilizando las fichas restantes. Puede hacer clic en Finalizar en cualquiera de las fichas si ha terminado de configurar.
  2. Si desea sincronizar dispositivos y grupos de dispositivos, haga lo siguiente:
    1. Haga clic en Filtros de AD.
    2. Active Sincronizar dispositivos y Sincronizar unidades organizativas.
    3. Es posible que desee sincronizar las unidades organizativas antes de sincronizar los dispositivos para poder configurar los grupos con antelación. Para ello, active solo Sincronizar unidades organizativas.

      Si sincroniza las unidades organizativas antes de sincronizar los dispositivos, debe activar Sincronizar dispositivos y Sincronizar unidades organizativas al sincronizar los dispositivos. Esto mantiene la asociación entre las unidades organizativas y los dispositivos.

      Si desea cambiar esta configuración, una vez sincronizadas las unidades organizativas y los dispositivos, debe saber lo siguiente:

      • Si desactiva Sincronizar unidades organizativas, deja activada la opción Sincronizar dispositivos y, a continuación, efectúa la sincronización, las unidades organizativas se muestran como grupos personalizados en Sophos Central.
      • Si desactiva Sincronizar dispositivos, deja activada la opción Sincronizar unidades organizativas y, a continuación, realiza la sincronización, los dispositivos no se asignan a grupos en Sophos Central.
  3. En la ficha Filtros de AD, configure un filtro LDAP para seleccionar los usuarios, dispositivos y grupos que desea sincronizar. Puede especificar opciones de búsqueda adicionales (bases de búsqueda y filtros de consultas LDAP) para cada dominio. También puede especificar distintas opciones para usuarios y grupos de usuarios.
    Nota La sincronización solo crea grupos con usuarios o dispositivos detectados, independientemente de la configuración del filtro de grupo.
    OpciónDescripción

    Bases de búsqueda

    Puede especificar bases de búsqueda (también llamadas "nombres distintivos de la base"). Por ejemplo, si desea filtrar por unidades organizativas (OU), puede especificar una base de búsqueda en este formato:

    OU=Finanzas,DC=miEmpresa,DC=com

    Filtros de consultas LDAP

    Para filtrar usuarios, por ejemplo, por pertenencia a un grupo, puede definir un filtro de consulta de usuario en este formato:

    miembroDe=CN=grupoDePrueba, DC=miEmpresa, DC=com

    Esta consulta limita la detección de usuarios a usuarios que pertenezcan al "grupoDePrueba". Tenga en cuenta que la sincronización detecta todos los grupos a los que pertenecen esos usuarios detectados si no especifica un filtro de consulta de grupo. Si también desea que la detección de grupos esté limitada al "grupoDePrueba", puede definir el siguiente filtro de consulta de grupo:

    CN=grupoDePrueba

    También puede utilizar estos filtros para impedir que los usuarios inactivos se sincronicen con Sophos Central.

    Excluir cuentas de usuario desactivadas

    De forma predeterminada, la sincronización excluye las cuentas de usuario deshabilitadas. Para incluirlas, desactive esta opción.

    Aviso Si incluye nombres distintivos de la base en sus opciones de búsqueda o cambia su configuración de filtros, es posible que algunos de los usuarios y grupos de Sophos Central creados durante sincronizaciones anteriores queden fuera del ámbito de la búsqueda y se eliminen de Sophos Central.
  4. En la página Programación de sincronización, defina las horas a las que se llevará a cabo la sincronización.
    Nota Un servicio en segundo plano realiza una sincronización programada.
  5. Si desea sincronizar manualmente y no quiere que la sincronización se realice automáticamente, haga clic en Nunca. Sincronizar solo con inicio manual

Sincronizar Active Directory

Le recomendamos que sincronice manualmente con Active Directory cuando configure la sincronización o realice cambios en la configuración. Esto significa que puede comprobar los cambios que se realizarán durante la sincronización.

Para sincronizar, haga lo siguiente:

  1. Haga clic en Previsualizar y sincronizar.
    1. Si utiliza filtros de consultas LDAP, compruebe que los ha configurado correctamente.
  2. Revise los cambios que se realizarán durante la sincronización. Si está de acuerdo con los cambios, haga clic en Aprobar cambios y continuar.
    Los usuarios, dispositivos y grupos de Active Directory se importan desde Active Directory a Sophos Central.
  3. Revise los usuarios, dispositivos y grupos en Sophos Central.
    1. Compruebe que los dispositivos de sus usuarios están protegidos.
    2. Compruebe las políticas aplicadas a sus usuarios y grupos de usuarios.
    3. Compruebe si sus ordenadores y servidores tienen dispositivos no administrados. Se muestran en fichas separadas. Proteja los dispositivos no administrados.
    4. Compruebe las políticas aplicadas a sus dispositivos y grupos de dispositivos. Puede aplicar políticas al grupo de dispositivos de Active Directory.

Mover servidores de sincronización de Active Directory

Si desea mover el servidor que utiliza para sincronizarse con Active Directory, haga lo siguiente:

  1. Detenga la sincronización en el servidor actual.
  2. Configure la sincronización de Active Directory en el nuevo servidor.

    Si necesita ayuda para ello, siga las instrucciones dadas en las secciones anteriores de esta página.

  3. Compruebe que no es necesario cambiar los filtros.
  4. Previsualice la sincronización para comprobar que la configuración es correcta.
  5. Sincronice y compruebe que todo funciona como se espera.
  6. Configure la sincronización programada.
  7. Elimine la sincronización de Active Directory del servidor original.