Configurar la sincronización con Active Directory

Siga estas instrucciones para configurar la sincronización con Active Directory:

Antes de poder configurar la sincronización, necesita tener instalado .NET Framework 4.5.2 en el ordenador donde ejecutará el programa de configuración de sincronización de Active Directory.

Debe utilizar credenciales de API de Sophos para sincronizarse con Active Directory. Debe configurarlas para poder configurar la sincronización con Active Directory o cambiar la configuración existente, o sincronizar con Active Directory. Consulte Administración de credenciales de API.

Aviso Antes de continuar, asegúrese de que todos los usuarios de Active Directory tengan una dirección de correo electrónico. Necesita una dirección de correo electrónico para los usuarios a fin de protegerlos cuando utilicen muchos flujos de trabajo de Sophos Central. Por ejemplo, si utiliza Sophos Email para proteger a sus usuarios, los mensajes para una dirección de correo electrónico que no esté vinculada a un usuario no se entregarán.

Se recomienda eliminar los usuarios inactivos y sus dispositivos de los dominios de Active Directory. Las cuentas de usuario y los dispositivos inactivos suponen un riesgo para la seguridad. Esto también reduce el tamaño del archivo que se envía a Sophos Central desde Active Directory, lo que agiliza la sincronización.

Para obtener ayuda sobre diferentes métodos para buscar usuarios y dispositivos inactivos, consulte Cómo buscar y eliminar cuentas de ordenador antiguas en Active Directory.

Para saber cómo eliminar las cuentas de usuario inactivas, vaya a Comprobar periódicamente y eliminar si hay cuentas de usuarios inactivas en Active Directory.

Puede utilizar los filtros de Active Directory para impedir que los usuarios inactivos se sincronicen con Sophos Central. Esto puede reducir el tamaño del archivo de sincronización enviado a Sophos Central, pero no mitiga los riesgos de seguridad asociados con los usuarios inactivos en sus dominios de Active Directory.

Configuración de sincronización de Active Directory

Para sincronizar con Active Directory, debe descargar e instalar el programa de configuración de sincronización de Active Directory.

El programa de configuración de sincronización de Active Directory funciona de la siguiente manera:

  • Sincroniza usuarios y grupos activos.

    No duplica los usuarios o grupos existentes cuando coinciden con un usuario o grupo de Sophos Central existente. Por ejemplo, puede añadir una dirección de correo electrónico de Active Directory a un usuario existente en Sophos Central.

  • Sincroniza dispositivos y grupos de dispositivos. Consulte Preguntas frecuentes sobre la detección de grupos de dispositivos para obtener información sobre cómo asignar dispositivos y grupos, así como otra información útil.
    Restricción Esta función puede que todavía no esté disponible para todos los clientes.

Puede configurarlo para que se ejecute automáticamente a horas determinadas.

Solo admite el servicio de Active Directory.

No le ayuda a instalar el software del agente de Sophos en los dispositivos de sus usuarios. Utilice otros métodos de despliegue con Active Directory.

Restricción Debe ser administrador para configurar o cambiar los servicios de directorio.

Para configurar la sincronización con Active Directory, debe hacer lo siguiente:

  1. Seleccione el servicio de directorio que quiere usar.
  2. Descargue el programa de configuración de sincronización de Active Directory y valide sus credenciales.
  3. Introduzca su configuración de Active Directory.
  4. Configure las opciones de sincronización.
  5. Sincronice Active Directory.

Seleccionar servicio de directorio

Estas instrucciones parten de la base de que no tiene configurado un servicio de directorio.

Si desea cambiar de servicio de directorio, consulte Cambiar de servicio de directorio.

Para seleccionar su servicio de directorio, haga lo siguiente:

  1. Vaya a Descripción general > Configuración global > Servicio de directorio.
  2. Haga clic en el enlace Introducción.
  3. Seleccione el servicio de directorio que quiere usar.
    • Sincronización de AD
    • Sincronización de Azure AD
  4. Haga clic en Siguiente y revise y confirme la advertencia.
  5. Haga clic en Siguiente.

Ya puede configurar el servicio de directorio elegido.

Descargar el software de configuración y validar las credenciales

Debe descargar el programa de configuración de sincronización de Active Directory y validar sus credenciales de API antes de configurar la sincronización con Active Directory. Si utiliza un proxy, también debe validar la configuración del servidor proxy.

Para validar sus credenciales, haga lo siguiente:

  1. Haga clic en el enlace para descargar el programa de configuración de sincronización de Active Directory. A continuación, ejecútelo.
    Se inicia el programa de configuración de sincronización de Active Directory.
  2. Introduzca su ID del cliente y Secreto del cliente y haga clic en Validar credenciales.
  3. Active Configurar proxy manualmente si desea utilizar un proxy e introduzca su Dirección del proxy.
  4. Si utiliza un proxy, puede activar la autenticación adicional. Active la opción Activar autenticación de proxy e introduzca la siguiente información.
    • Usuario del proxy
    • Contraseña del proxy
  5. Haga clic en Validar credenciales para comprobar la configuración del proxy.

Introducir su configuración de Active Directory

Para introducir su configuración, haga lo siguiente:

  1. En la página Configuración de AD, introduzca los detalles del servidor LDAP de Active Directory y las credenciales.

    Debe utilizar las credenciales para una cuenta de usuario que tenga acceso de lectura a todo el bosque de Active Directory que desea sincronizar. Para garantizar su seguridad, utilice una cuenta con derechos limitados.

    Recomendamos que utilice una conexión LDAP segura, cifrada mediante SSL, y que deje activada la opción Usar LDAP con una conexión SSL (recomendado).

  2. Si su entorno LDAP no admite SSL, desactive la opción Usar LDAP con una conexión SSL (recomendado) y cambie el número de puerto. El número de puerto suele ser 636 para las conexiones SSL y 389 para las conexiones no seguras.

Configurar sus opciones de sincronización

Para configurar las opciones de su sincronización, haga lo siguiente:

  1. Haga clic en Siguiente y configure la sincronización utilizando las fichas restantes. Puede hacer clic en Finalizar en cualquiera de las fichas si ha terminado de configurar.
  2. Si desea sincronizar dispositivos y grupos de dispositivos, haga lo siguiente:
    1. Haga clic en Filtros de AD.
    2. Active Sincronizar dispositivos y Sincronizar unidades organizativas.
    3. Es posible que desee sincronizar las unidades organizativas antes de sincronizar los dispositivos para poder configurar los grupos con antelación. Para ello, active solo Sincronizar unidades organizativas.

      Si sincroniza las unidades organizativas antes de sincronizar los dispositivos, debe activar Sincronizar dispositivos y Sincronizar unidades organizativas al sincronizar los dispositivos. Esto mantiene la asociación entre las unidades organizativas y los dispositivos.

      Si desea cambiar esta configuración, una vez sincronizadas las unidades organizativas y los dispositivos, debe saber lo siguiente:

      • Si desactiva Sincronizar unidades organizativas, deja activada la opción Sincronizar dispositivos y, a continuación, efectúa la sincronización, las unidades organizativas se muestran como grupos personalizados en Sophos Central.
      • Si desactiva Sincronizar dispositivos, deja activada la opción Sincronizar unidades organizativas y, a continuación, realiza la sincronización, los dispositivos no se asignan a grupos en Sophos Central.
    Restricción Es posible que estas funciones aún no estén disponibles para todos los clientes.
  3. En la ficha Filtros de AD, configure un filtro LDAP para seleccionar los usuarios, dispositivos y grupos que desea sincronizar. Puede especificar opciones de búsqueda adicionales (bases de búsqueda y filtros de consultas LDAP) para cada dominio. También puede especificar distintas opciones para usuarios y grupos de usuarios.
    Nota La sincronización solo crea grupos con usuarios o dispositivos detectados, independientemente de la configuración del filtro de grupo.
    OpciónDescripción

    Bases de búsqueda

    Puede especificar bases de búsqueda (también llamadas "nombres distintivos de la base"). Por ejemplo, si desea filtrar por unidades organizativas (OU), puede especificar una base de búsqueda en este formato:

    OU=Finanzas,DC=miEmpresa,DC=com

    Filtros de consultas LDAP

    Para filtrar usuarios, por ejemplo, por pertenencia a un grupo, puede definir un filtro de consulta de usuario en este formato:

    miembroDe=CN=grupoDePrueba, DC=miEmpresa, DC=com

    Esta consulta limita la detección de usuarios a usuarios que pertenezcan al "grupoDePrueba". Tenga en cuenta que la sincronización detecta todos los grupos a los que pertenecen esos usuarios detectados si no especifica un filtro de consulta de grupo. Si también desea que la detección de grupos esté limitada al "grupoDePrueba", puede definir el siguiente filtro de consulta de grupo:

    CN=grupoDePrueba

    También puede utilizar estos filtros para impedir que los usuarios inactivos se sincronicen con Sophos Central.

    Excluir cuentas de usuario desactivadas

    De forma predeterminada, la sincronización excluye las cuentas de usuario deshabilitadas. Para incluirlas, desactive esta opción.

    Aviso Si incluye nombres distintivos de la base en sus opciones de búsqueda o cambia su configuración de filtros, es posible que algunos de los usuarios y grupos de Sophos Central creados durante sincronizaciones anteriores queden fuera del ámbito de la búsqueda y se eliminen de Sophos Central.
  4. En la página Programación de sincronización, defina las horas a las que se llevará a cabo la sincronización.
    Nota Un servicio en segundo plano realiza una sincronización programada.
  5. Si desea sincronizar manualmente y no quiere que la sincronización se realice automáticamente, haga clic en Nunca. Sincronizar solo con inicio manual

Sincronizar Active Directory

Le recomendamos que sincronice manualmente con Active Directory cuando configure la sincronización o realice cambios en la configuración. Esto significa que puede comprobar los cambios que se realizarán durante la sincronización.

Para sincronizar, haga lo siguiente:

  1. Haga clic en Previsualizar y sincronizar.
    1. Si utiliza filtros de consultas LDAP, compruebe que los ha configurado correctamente.
  2. Revise los cambios que se realizarán durante la sincronización. Si está de acuerdo con los cambios, haga clic en Aprobar cambios y continuar.
    Los usuarios, dispositivos y grupos de Active Directory se importan desde Active Directory a Sophos Central.
  3. Revise los usuarios, dispositivos y grupos en Sophos Central.
    1. Compruebe que los dispositivos de sus usuarios están protegidos.
    2. Compruebe las políticas aplicadas a sus usuarios y grupos de usuarios.
    3. Compruebe si sus ordenadores y servidores tienen dispositivos no administrados. Se muestran en fichas separadas. Proteja los dispositivos no administrados.
    4. Compruebe las políticas aplicadas a sus dispositivos y grupos de dispositivos. Puede aplicar políticas al grupo de dispositivos de Active Directory.