Configurer la synchronisation avec Active Directory

Suivez ces instructions pour configurer la synchronisation avec Active Directory.

Avant de configurer la synchronisation, assurez-vous que .NET Framework 4 est installé sur l’ordinateur sur lequel vous allez exécuter l’utilitaire de synchronisation « Sophos Central AD Sync Utility Setup ».

Avertissement : Avant de poursuivre, assurez-vous que tous vos utilisateurs Active Directory sont correctement définis et qu’ils ont une adresse email. Les utilisateurs sans adresse email ne sont pas protégés et tout email envoyé à une adresse email non associée à un utilisateur ne sera pas livré.

Vous devez utiliser les codes d’accès API pour effectuer une synchronisation avec Active Directory.

Pour configurer la synchronisation avec Active Directory :

  1. Configurez vos codes d’accès API pour la synchronisation AD. Pour ce faire, cliquez sur Paramètres > Codes d’accès API.
  2. Ajouter de nouveaux codes d’accès. Saisissez les informations suivantes :
    • Nom d’identification
    • Description
  3. Copiez ID du client et Clé secrète client.
  4. Cliquez sur Paramètres > Synchronisation Active Directory, puis sur le lien pour télécharger le programme d’installation de l’utilitaire de synchronisation « Sophos Central AD Sync Utility Setup ». Puis exécutez-le.

    Autrement, sur le menu Démarrer, cliquez sur Sophos > Central > AD Sync. Si vous exécutez Windows 8 ou une version supérieure, dans la liste des applis, recherchez l’appli AD Sync figurant sous Sophos.

    L’assistant Sophos Central AD Sync Utility Setup démarre.
  5. Dans l’assistant d’installation, saisissez les informations requises.

    Suivez les instructions de l’assistant Sophos Central AD Sync Utility Setup.

  6. Sur la dernière page de l’assistant d’installation, sélectionnez Launch Sophos Cloud AD Sync Utility et cliquez sur Finish.
  7. Dans l’utilitaire Active Directory Synchronization Setup, sur la page Sophos Credentials, saisissez votre ID du client et votre Clé secrète client plutôt que les codes d’accès de votre compte Sophos Central.
  8. Sur la page AD Configuration, indiquez votre serveur LDAP Active Directory et les codes d’accès d’un compte d’utilisateur ayant accès en lecture à toute la forêt Active Directory avec laquelle vous souhaitez effectuer la synchronisation. Pour maintenir la sécurité, utilisez un compte avec moins de droits pour obtenir cet accès.

    Nous conseillons d’utiliser une connexion LDAP sécurisée, chiffrée via SSL, et de conserver l’option Use LDAP over an SSL connection (recommended) sélectionnée. Si votre environnement LDAP ne prend pas en charge SSL, dessélectionnez l’option Use LDAP over an SSL connection (recommended) et modifiez le numéro du port. Généralement, le numéro du port est 636 pour les connexions SSL et 389 pour les connexions non sécurisées.

  9. Si vous ne souhaitez pas synchroniser la forêt toute entière, vous pouvez indiquer les domaines à inclure dans la synchronisation sur la page AD Filters. Vous pouvez également paramétrer des options de recherche supplémentaires (bases de rechercher et filtres de requête LDAP) pour chaque domaine. Différentes options peuvent être spécifiées pour les utilisateurs et les groupes d’utilisateurs.
    Remarque : Seuls les groupes dont les membres incluent les utilisateurs ou appareils découverts sont créés par AD Sync, quels que soient les paramètres de filtrage des groupes.
    OptionDescription

    Bases de recherche

    Vous pouvez indiquer des bases de recherche (également appelés « noms uniques de base »). Par exemple, si vous voulez filtrer par Unités organisationnelles (OU), vous pouvez indiquer une base de recherche au format suivant :

    OU=Finance,DC=monEntreprise,DC=com

    Filtres de requête LDAP

    Pour filtrer les utilisateurs appartenant, par exemple à un groupe, vous pouvez définir un filtre de requête utilisateur au format suivant :

    memberOf=CN=GroupeTest, DC=monEntreprise, DC=com

    Cette requête limite la recherche aux utilisateurs appartenant à « GroupeTest ». Veuillez noter que si aucun filtre de requête de groupe n’est indiqué, AD Sync effectuera la recherche dans tous les groupes auxquels appartiennent les utilisateurs recherchés. Si vous voulez également limiter la recherche dans les groupes au seul « GroupeTest », vous pouvez définir le filtre de requête de groupe suivant :

    CN=GroupeTest

    Exclure les comptes d’utilisateur désactivés

    Les comptes d’utilisateur désactivés sont exclus de la synchronisation par défaut. Décochez la case pour les inclure.

    Remarque : Si vous incluez des noms uniques de base à vos options de recherche ou modifiez vos paramètres de filtrage, certains utilisateurs et groupes Sophos Central créés au cours des synchronisations précédentes ne seront probablement pas inclus dans la recherche et pourraient être supprimés de Sophos Central.
  10. Sur la page Sync Schedule, indiquez les heures auxquelles la synchronisation sera effectuée automatiquement.
    Remarque : Une synchronisation planifiée est effectuée par un service en tâche de fond. Il n’est pas nécessaire d’exécuter l’utilitaire AD Sync pour que les opérations de synchronisation planifiées puissent avoir lieu.

    Si vous voulez procéder à la synchronisation manuelle en exécutant l’utilitaire AD Sync et ne voulez pas qu’elle s’effectue automatiquement à intervalle régulier, sélectionnez Never. Only sync when manually initiated.

  11. Cliquez sur Terminé.
  12. Pour une synchronisation immédiate, cliquez sur Preview and Sync dans AD Sync Utility. Vérifiez les modifications qui seront effectuées au cours de la synchronisation. Si ces modifications vous conviennent, cliquez sur Approve Changes and Continue.

    Les utilisateurs et groupes Active Directory sont importés d’Active Directory dans Sophos Central.

    Pour interrompre la synchronisation en cours, cliquez sur Stop.