Aller au contenu

Configurer la synchronisation avec Active Directory

Certaines options pourraient ne pas encore être disponibles pour tous les clients.

Vous pouvez synchroniser des utilisateurs, des appareils et des groupes. Vous pouvez également synchroniser des dossiers publics et des boîtes de réception.

Vous pouvez synchroniser différents domaines dans la même forêt. Vous pouvez sélectionner plusieurs domaines enfants dans une même forêt.

Vous pouvez également synchroniser plusieurs forêts avec un seul compte Sophos Central Admin. Veuillez noter ce qui suit :

  • Nous vous recommandons de synchroniser une forêt avec un compte Sophos Central Admin. Si vous synchronisez une forêt avec plusieurs comptes, cela peut entraîner un comportement non prévisible dans Sophos Central Admin.
  • Les utilisateurs et les adresses email doivent être uniques dans chaque forêt. Si vous avez des objets en double, nous les mettons à jour avec les informations de chaque forêt pendant la synchronisation. La synchronisation ne fusionne pas les données. Ceci signifie que nous pouvons afficher des informations incohérentes pour les objets de forêt en double dans Sophos Central Admin.

Vous pouvez également effectuer les opérations suivantes :

  • Synchroniser des appareils et groupes d’appareils à partir d’Active Directory (AD). Synchroniser des utilisateurs et des groupes d’utilisateurs à partir de Microsoft Entra ID pour le même domaine.

    Avertissement

    Si vous souhaitez synchroniser des boîtes de réception partagées et des dossiers publics, vous devez également utiliser AD pour synchroniser les utilisateurs et groupes d’utilisateurs se trouvant dans le même domaine.

  • Synchroniser depuis AD et Microsoft Entra ID pour différents domaines.

Active Directory Synchronization Setup

Pour effectuer une synchronisation avec AD, veuillez télécharger et installer l’outil Active Directory Synchronization Setup (nous vous décrivons comment l’installer et le télécharger ultérieurement). Active Directory Synchronization Setup fonctionne comme suit :

  • Il synchronise les utilisateurs et groupes actifs.

    Si un utilisateur correspond à un utilisateur Sophos Central existant, le programme Active Directory Synchronization Setup ne crée un nouvel utilisateur que si l’utilisateur existant a été créé manuellement dans Sophos Central. Il ne crée pas de nouvel utilisateur si l’utilisateur existant a été synchronisé à partir d’un autre service d’annuaire. Ceci s’applique également aux groupes.

    Exemples
    • Vous pouvez ajouter une adresse email depuis AD à un utilisateur existant dans Sophos Central qui a été ajouté à l’aide d’un autre service d’annuaire.
    • Lorsque vous créez manuellement un utilisateur nommé « Bob » sur la page Utilisateurs/groupes, puis ajoutez un autre utilisateur nommé « Bob » à partir d’AD, il y aura deux utilisateurs « Bob » dans Sophos Central.
  • Il synchronise les appareils et les groupes d’appareils. Retrouvez des informations sur la manière dont il fait correspondre les appareils et les groupes, ainsi que d’autres informations utiles sur FAQ sur la recherche de groupes d’appareils.

  • Il synchronise les boîtes de réception partagées et les dossiers publics.

    Si vous souhaitez synchroniser des boîtes de réception partagées, vous devez vous assurer que l’option Exclure les comptes d’utilisateur désactivés est activée lorsque vous configurez vos options de synchronisation. Si vous ne le faites pas, vos boîtes de réception partagées seront dupliquées dans Sophos Central.

Vous pouvez le configurer pour qu’il s’exécute automatiquement à des heures définies. Il prend uniquement en charge le service de synchronisation avec AD. Il ne vous aide pas à installer le logiciel de l’agent Sophos sur les appareils de vos utilisateurs. Utilisez d’autres méthodes de déploiement.

Veuillez lire les sections suivantes et effectuer toutes les tâches nécessaires avant de configurer la synchronisation avec AD :

  • Conditions requises
  • Restrictions
  • Supprimer les utilisateurs et appareils inactifs

Si vous l’avez déjà fait, passez à Télécharger le logiciel de configuration et valider les codes d’accès.

Conditions requises

Avant de configurer la synchronisation, veuillez vérifier les éléments suivants :

  • Vous devez être un administrateur pour configurer les sources d’annuaire.
  • .NET Framework 4.5.2 doit être installé sur l’ordinateur sur lequel vous exécuterez la configuration de la synchronisation Active Directory.
  • Vous devez avoir les codes d’accès API Sophos pour pouvoir vous synchroniser avec AD. Ceux-ci doivent être créés avant de configurer la synchronisation, de modifier votre configuration existante ou de synchroniser.

    Veuillez utiliser le rôle API de Synchronisation Active Directory du principal du service. Veuillez toujours vous assurer que l’accès est aussi spécifique que possible.

    Voir Gestion des codes d’accès API.

  • Veuillez-vous assurer que tous vos utilisateurs Active Directory ont une adresse email.

    Vous devez avoir l’adresse email de vos utilisateurs afin de pouvoir les protéger lors de l’utilisation de plusieurs de flux de travail Sophos Central.

    Par exemple, si vous utilisez Sophos Email pour protéger vos utilisateurs, les emails envoyés vers une adresse non associée à un utilisateur ne seront pas livrés.

  • Veuillez configurer votre pare-feu ou proxy pour autoriser certains domaines. Voir Domaines et ports à autoriser.

Restrictions

Vous ne pouvez pas procéder comme suit :

  • Synchroniser les utilisateurs et les groupes d’utilisateurs à l’aide d’AD et de Microsoft Entra ID à partir du même domaine.
  • Synchroniser les utilisateurs ou les adresses email avec plusieurs comptes Sophos Central Admin. Les utilisateurs et les adresses email doivent être uniques dans chaque compte Sophos Central Admin.
  • Synchroniser les utilisateurs avec des groupes de plusieurs domaines. Nous synchroniserons uniquement les utilisateurs du domaine auquel appartient le groupe. Aperçu et synchronisation affiche tous les membres du groupe, mais nous n’ajouterons pas d’utilisateurs d’autres domaines au groupe.

    Par exemple, vous avez deux domaines appelés domaineX.com et sous.domaineX.com. Un de vos domaines, domaineX.com, a un groupe, g1. Le groupe, g1, contient des membres des deux domaines. Nous synchroniserons vos utilisateurs et les associerons au groupe g1. Nous le ferons uniquement pour le domaine auquel le groupe est associé. Ceci signifie que nous allons synchroniser les utilisateurs de domaineX.com et les ajouter au groupe g1. Aperçu et synchronisation affiche tous les membres du groupe, mais nous n’ajouterons pas les utilisateurs du deuxième domaine.

  • Configurer plus de 1000 filtres pour un objet de répertoire. Les filtres vous permettent de sélectionner les utilisateurs et appareils à synchroniser.

  • Configurer des filtres LDAP supplémentaires de plus de 5000 caractères.
  • Utiliser un domaine dont le nom a plus de 63 caractères, ou qui commence ou se termine par les caractères '-' ou '_'.
  • Synchroniser les utilisateurs séparément des groupes d’utilisateurs. Vous devez synchroniser les deux ou aucun.
  • Synchronisez les appareils séparément des groupes d’appareils. Vous devez synchroniser les deux ou aucun.
  • Synchroniser les boîtes de réception (partagées) de groupe Microsoft 365. Vous devez utiliser la synchronisation Microsoft Entra ID.
  • Synchroniser plusieurs clients AD à partir d’un seul domaine ou d’un sous-domaine.

Supprimer les utilisateurs et appareils inactifs

Nous vous recommandons de supprimer les utilisateurs inactifs et leurs appareils de vos domaines AD. En effet, les comptes d’utilisateur et les appareils inactifs représentent un risque pour la sécurité. Ceci permet également de réduire la taille du fichier envoyé à Sophos Central depuis AD, ce qui accélère la synchronisation.

Retrouvez de l’aide sur la recherche et la suppression d’utilisateurs inactifs de la manière suivante :

Vous pouvez utiliser les filtres AD pour empêcher les utilisateurs inactifs et leurs appareils de se synchroniser avec Sophos Central. Ceci permet de réduire la taille du fichier de synchronisation envoyé à Sophos Central, mais n’atténue pas les risques de sécurité associés aux utilisateurs inactifs dans vos domaines AD.

Voir Filtrer les utilisateurs AD inactifs.

Télécharger le logiciel de configuration et valider les codes d’accès

Pour commencer à configurer la synchronisation avec AD, vous devez télécharger le programme d’installation de l’outil de synchronisation Active Directory et valider vos codes d’accès.

Ces instructions vous indiquent comment configurer la synchronisation avec AD. Ceci ajoute une source d’annuaire AD. Retrouvez plus d’aide sur la gestion de vos sources d’annuaire sur Gérer vos sources.

Pour commencer la configuration, procédez de la manière suivante :

  1. Allez dans Mes produits > Paramètres généraux > Service d’annuaire.
  2. Cliquez sur le lien pour télécharger l’outil de synchronisation Active Directory Synchronization Setup. Puis exécutez-le. Active Directory Synchronization Setup démarre.
  3. Saisissez votre ID du client et votre Clé secrète client et cliquez sur Valider les codes d’accès.
  4. Activez Configurer le proxy manuellement si vous souhaitez utiliser un proxy, puis saisissez votre Adresse du proxy.
  5. Si vous utilisez un proxy, vous pouvez activer une authentification supplémentaire. Activez l’option Activer l’authentification proxy et saisissez les informations suivantes.

    • Utilisateur du proxy
    • Mot de passe du proxy
  6. Cliquez sur Valider les codes d’accès pour vérifier les paramètres du proxy.

Ensuite, saisissez les détails de votre configuration AD.

Saisissez votre configuration AD.

Vous pouvez maintenant saisir les détails de votre configuration AD. Vous devez utiliser les codes d’accès d’un compte utilisateur avec un accès en lecture à toute la forêt Active Directory avec laquelle vous souhaitez effectuer la synchronisation. Pour rester protégé, utilisez un compte avec des droits limités.

Pour saisir vos paramètres, procédez comme suit :

  1. Sur la page Configuration AD, saisissez les détails de votre serveur LDAP Active Directory et les codes d’accès.

    Nous conseillons d’utiliser une connexion LDAP sécurisée, chiffrée par SSL, et de conserver l’option Utiliser LDAP sur une connexion SSL (recommandé) activée.

  2. Si votre environnement LDAP ne prend pas en charge SSL, désactivez l’option Utiliser LDAP sur une connexion SSL (recommandé) et modifiez le numéro du port. Généralement, le numéro du port est 636 pour les connexions SSL et 389 pour les connexions non sécurisées.

    Microsoft a publié une mise à jour de sécurité qui a modifié la liaison des canaux LDAP et la signature LDAP pour Active Directory. Les connexions non sécurisées sur le port 389 ne fonctionnent pas avec la mise à jour de sécurité Microsoft. Voir Exigences relatives à la liaison de canaux LDAP 2020 et à la signature LDAP pour Windows.

Vous devez ensuite configurer vos options de synchronisation. Pour cela, cliquez sur Suivant et configurez votre synchronisation dans les onglets restants.

Cliquez sur Terminer dans l’un des onglets lorsque vous avez terminé la configuration.

Configurer vos options de synchronisation

Vous pouvez maintenant configurer les filtres que vous souhaitez utiliser pour synchroniser les informations de votre AD vers Sophos Central.

Certaines options pourraient ne pas encore être disponibles pour tous les clients.

Filtres AD

Vous pouvez choisir les types de données à synchroniser à l’aide de l’outil Active Directory Synchronization Setup.

Vous choisissez les types de données à synchroniser en configurant des filtres LDAP.

Retrouvez plus de renseignements sur la synchronisation des différents types de données sur :

Pour filtrer vos données, procédez comme suit :

  1. Dans l’onglet Filtres AD, configurez un filtre LDAP pour sélectionner les utilisateurs, les appareils et les groupes à synchroniser.

    Vous pouvez également saisir des options de recherche supplémentaires (bases de rechercher et filtres de requête LDAP) pour chaque domaine. Vous pouvez également indiquer des options différentes pour des utilisateurs et des groupes d’utilisateurs distincts.

    Remarque

    Seuls les groupes composés d’utilisateurs ou d’appareils découverts sont créés au cours de la synchronisation, quels que soient les paramètres de filtre de groupe.

    Option Description
    Bases de recherche

    Vous pouvez indiquer des bases de recherche (également appelés « noms uniques de base »). Par exemple, si vous voulez filtrer par Unités organisationnelles (OU), vous pouvez indiquer une base de recherche au format suivant :

    OU=Finance,DC=myCompany,DC=com

    Filtres de requête LDAP

    Pour filtrer les utilisateurs appartenant, par exemple à un groupe, vous pouvez définir un filtre de requête utilisateur au format suivant :

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Cette requête limite la recherche aux utilisateurs appartenant à « GroupeTest ». Notez que si vous n’indiquez pas de filtre de requête de groupe, la synchronisation détecte tous les groupes auxquels appartiennent ces utilisateurs découverts. Si vous voulez également limiter la recherche dans les groupes au seul « GroupeTest », vous pouvez définir le filtre de requête de groupe suivant :

    CN=testGroup

    Vous pouvez également utiliser ces filtres pour arrêter la synchronisation des utilisateurs inactifs avec Sophos Central.

    Exclure les comptes d’utilisateur désactivés

    La synchronisation exclut les comptes d’utilisateur désactivés par défaut. Pour les inclure, désactivez cette option.

    Si vous souhaitez synchroniser des boîtes de réception partagées, veuillez-vous assurer que cette option est activée. Si vous ne le faites pas, vous aurez des boîtes de réception en double pour vos boîtes de réception partagées dans Sophos Central.

    Avertissement

    Si vous incluez des noms uniques de base à vos options de recherche ou modifiez vos paramètres de filtrage, certains utilisateurs et groupes Sophos Central créés au cours des précédentes synchronisations ne seront pas inclus dans la recherche. Ils peuvent être supprimés de Sophos Central.

Vous pouvez maintenant configurer la planification de la synchronisation. Voir Synchroniser la planification.

Appareils et groupes d’appareils

Pour synchroniser des appareils et des groupes d’appareils, procédez de la manière suivante :

  1. Cliquez sur Filtres AD.
  2. Activez Synchroniser les appareils et Synchroniser les unités organisationnelles.
  3. Vous pouvez synchroniser vos unités organisationnelles avant de synchroniser vos appareils afin de pouvoir configurer les groupes à l’avance. Pour ce faire, activez uniquement l’option Synchroniser les unités organisationnelles.

    Nous vous recommandons de synchroniser vos unités organisationnelles avant de synchroniser vos appareils pour la première fois. Ceci vous permettra de définir vos stratégies et de les appliquer à vos groupes. Après synchronisation de vos appareils, nous serons en mesure d’y appliquer vos stratégies. Nous appliquons nos stratégies par défaut à vos groupes et appareils si vous ne le faites pas.

    Si vous synchronisez vos unités organisationnelles avant de synchroniser vos appareils, vous devez activer Synchronisation des appareils et Synchronisation des unités organisationnelles lorsque vous synchronisez vos appareils. Ceci permet de maintenir l’association entre vos unités organisationnelles et vos appareils.

    Si vous souhaitez modifier ces paramètres après avoir synchronisé vos unités organisationnelles et vos appareils, sachez que :

    • Si vous désactivez Synchroniser les unités organisationnelles et laissez l’option Synchroniser les appareils activée et que vous procédez à la synchronisation dans ces conditions, vos unités organisationnelles s’afficheront en tant que groupes personnalisés dans Sophos Central.
    • Si vous désactivez Synchroniser les appareils et laissez l’option Synchroniser les unités organisationnelles activée et que vous procédez à la synchronisation dans ces conditions, nous n’assignons pas vos appareils à des groupes dans Sophos Central.

Utilisateurs et groupes d’utilisateurs

Pour synchroniser des utilisateurs et groupes d’utilisateurs, procédez de la manière suivante :

  1. Cliquez sur Filtres AD.
  2. Activez Synchroniser les utilisateurs et les groupes d’utilisateurs.

    Cette option synchronise également les boîtes de réception partagées.

    Alternativement, vous pouvez synchroniser vos utilisateurs et groupes d’utilisateurs avec Microsoft Entra ID. Pour ce faire, vous pouvez désactiver cette option.

    Si vous désactivez cette option, vous ne pourrez plus synchroniser les boîtes de réception partagées ou les dossiers publics.

Dossiers publics

Si vous voulez synchroniser des dossiers publics, procédez comme suit :

  1. Cliquez sur Filtres AD.
  2. Activez Synchroniser les utilisateurs et les groupes d’utilisateurs.

    Les dossiers publics sont des boîtes de réception. Vous devez donc activer cette option.

  3. Activez Synchroniser les dossiers publics.

    Options de synchronisation d’Active Directory.

Synchroniser la planification

Pour configurer la planification de la synchronisation, procédez de la manière suivante :

  1. Sur la page Sync Schedule, indiquez les heures auxquelles la synchronisation doit avoir lieu.

    Options de planification Active Directory.

    Remarque

    Un service en tâche de fond effectue une synchronisation planifiée.

  2. Si vous voulez procéder à la synchronisation manuelle et ne voulez pas qu’elle s’effectue automatiquement, sélectionnez Never. Only sync when manually initiated.

Vous pouvez maintenant synchroniser avec AD.

Synchroniser avec AD.

Nous vous conseillons d’effectuer une synchronisation manuelle avec AD lorsque vous configurez la synchronisation ou que vous modifiez vos paramètres. Vous pourrez ainsi vérifier les modifications qui seront effectuées au cours de la synchronisation.

La synchronisation manuelle peut durer jusqu’à 15 minutes.

Pour synchroniser, procédez comme suit :

  1. Cliquez sur Aperçu et synchronisation.

    • Si vous utilisez des filtres de requête LDAP, assurez-vous qu’ils soient tous configurés correctement.
  2. Vérifiez les modifications qui seront effectuées au cours de la synchronisation. Si ces modifications vous conviennent, cliquez sur Approve Changes and Continue. Vos utilisateurs, appareils et groupes sont importés d’AD dans Sophos Central.

  3. Vérifiez vos utilisateurs, appareils et groupes dans Sophos Central.

    • Vérifiez vos utilisateurs pour vous assurer que leurs appareils sont protégés.
    • Vérifiez les stratégies appliquées à vos utilisateurs et groupes d’utilisateurs.
    • Vérifiez s’il y a des appareils non gérés parmi vos ordinateurs et serveurs. Ceux-ci apparaissent sur des onglets distincts. Protégez tous les appareils non gérés.
    • Vérifiez les stratégies appliquées à vos appareils et groupes d’appareils. Vous pouvez appliquer des stratégies au groupe d’appareils AD.

Déplacer les serveurs de synchronisation AD

Si vous souhaitez déplacer le serveur que vous utilisez pour effectuer une synchronisation avec AD, procédez comme suit :

  1. Arrêtez la synchronisation sur votre serveur actuel.
  2. Configurez la synchronisation Active Directory sur votre nouveau serveur.

    Si vous avez besoin d’aide, suivez les instructions contenues dans les sections précédentes de cette page.

  3. Vérifiez que les filtres n’ont pas besoin d’être modifiés.

  4. Prévisualisez votre synchronisation pour vérifier que vos paramètres sont corrects.
  5. Synchronisez et vérifiez que tout fonctionne comme prévu.
  6. Configurez votre planification de synchronisation.
  7. Supprimez la synchronisation Active Directory de votre serveur d’origine.