FAQ sur la synchronisation Active Directory

Retrouvez les réponses aux questions les plus courantes sur la synchronisation Active Directory dans Sophos Central Admin.

La synchronisation Active Directory permet aux administrateurs de mettre en place un service qui relie les utilisateurs et groupes d’Active Directory à Sophos Central Admin et les gardent synchronisés. Vous pouvez le configurer avec Active Directory Synchronization Setup.

La FAQ Active Directory est divisée en deux parties.

  • Cette page contient des informations générales sur la synchronisation Active Directory dans Sophos Central Admin.
  • Retrouvez des informations générales sur la configuration de la synchronisation Active Directory, l’installation, les plates-formes prises en charge, les erreurs de synchronisation, le changement de service d’annuaire et la suppression de la synchronisation Active Directory à la section FAQ sur l’installation de la synchronisation Active Directory.

Où puis-je configurer un proxy ?

Active Directory Synchronization Setup (version 4.0) vous permet de configurer un proxy. Vous pouvez effectuer cette opération dans Codes d’accès Sophos. Retrouvez plus de renseignements à la section Configuration de la synchronisation avec Active Directory.

Zone des paramètres du proxy dans Active Directory Synchronization Setup

Les comptes d’essai utilisent Sophos Central AD Sync Utility (version 3.5.4). Il n’est pas possible de configurer les détails du proxy dans cette version.

Dans Sophos Central AD Sync Utility, le service s’exécute à l’aide d’un compte de service local qui, par défaut, ne dispose pas des droits nécessaires à l’authentification par proxy. Lors du traitement des erreurs de connexion par proxy, vous obtenez l’erreur suivante :

Échec de la synchronisation Active Directory Raison : System.Net.Http.HttpRequestException 
---> CommandLib.HttpRequestCommand+HttpStatusException: L’exception du type 'CommandLib.HttpRequestCommand+HttpStatusException' a été levée.

Si vous devez créer un compte disposant des accès nécessaires, celui-ci doit pouvoir se connecter de la manière suivante :

  • En tant que service.
  • De manière interactive.
  • Par lot.

Le compte doit également disposer des droits de lecture des unités organisationnelles (OU) sur le contrôleur de domaine (DC) à synchroniser.

Le compte doit également disposer des autorisations complètes du NTFS pour C:\ProgramData\Sophos\Sophos Cloud AD Sync.

Remarque : Chaque fois que vous modifiez le compte de service utilisé pour la synchronisation avec Active Directory, vous devez reconfigurer Sophos Central AD Sync Utility.

Il existe également une solution de contournement supplémentaire pour le proxy de synchronisation avec Active Directory. Voir Comment configurer AD Sync Utility pour utiliser un serveur proxy ?.

Quels sont les filtres LDAP ?

Les utilisateurs sont filtrés avec la requête LDAP (&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(!userAccountControl:1.2.840.113556.1.4.803:=2)).

Le filtre LDAP de groupe pour les groupes est (&(objectCategory=group)(objectClass=group)).

Vous pouvez étendre ces filtres par domaine. Retrouvez plus de renseignements sur le filtrage et les requêtes LDAP à la section Filtres de l’utilitaire AD Sync de Sophos Central Admin.

Nous vous recommandons de supprimer les utilisateurs et appareils inactifs plutôt que d’utiliser des filtres pour les exclure. Retrouvez plus de renseignements à la section Filtrer les utilisateurs AD inactifs.

Comment la synchronisation importe-t-elle les noms d’utilisateur ?

Nous utilisons le Nom d’affichage lors de l’importation d’utilisateurs depuis Active Directory.

Exemple de nom d’affichage

Comment la synchronisation importe-t-elle une adresse d’alias de messagerie ?

Nous utilisons des Adresses proxy pour l’alias.

Adresses proxy

Où puis-je trouver les fichiers journaux ?

Voir Emplacements de journalisation de l’utilitaire de synchronisation Active Directory.

Remarque : Lors de l’ouverture d’un dossier de support, veuillez fournir au Support Sophos autant d’informations que possible à partir des fichiers journaux.

Comment la synchronisation fait-elle correspondre les utilisateurs Active Directory avec les utilisateurs existants ?

La correspondance des utilisateurs Active Directory se fait en fonction du nom de connexion au domaine (domaine/utilisateur) ou de l’adresse email (en utilisant mail).

Exemple d’ouverture de session de domaine Exemple d’adresse email

S’il existe une correspondance, cette action met à jour ou remplace les données de l’utilisateur Sophos Central Admin correspondant avec les données d’Active Directory. L’icône utilisateur passe de l’icône utilisateur Sophos Central Admin icône utilisateur Sophos Central à l’icône utilisateur Active Directory icône utilisateur Active Directory.

Nous créons un nouvel utilisateur si l’adresse email ou l’utilisateur Sophos Central Admin est différent.

Vous pouvez mettre à jour les connexions utilisateur dans Sophos Central Admin en cas de besoin. Par exemple, vous pouvez modifier les détails de connexion d’un utilisateur associé à un appareil. Voir Comment assigner ou supprimer une connexion existante pour un utilisateur.

Vous pouvez voir les correspondances entre comptes avant la synchronisation. Cliquez sur Aperçu et synchronisation... pour faire ceci.

Option Aperçu et synchronisation...

En cas de correspondance, celle-ci apparaît sous l’onglet Utilisateurs à modifier.

En cas de non correspondance, vous verrez l’utilisateur sous l’onglet Utilisateurs à ajouter. Vous pouvez choisir de rejeter les modifications.

Retrouvez plus de renseignements sur la résolution des problèmes de liaison entre les utilisateurs Sophos Central Admin et Azure AD sur Azure AD.

Que se passe-t-il si je supprime des utilisateurs dans Active Directory ?

Si l’utilisateur possède un identifiant pour l’appareil, une boîte de réception ou un rôle d’administrateur Sophos Central Admin, nous le gardons dans Sophos Central Admin.

L’icône utilisateur passe de l’icône utilisateur Active Directory icône utilisateur Active Directory à l’icône utilisateur Sophos Central Admin icône utilisateur Sophos Central.

Si l’utilisateur ne possède pas d’identifiant pour l’appareil, de boîte de réception ou de rôle d’administrateur Sophos Central Admin, nous le supprimons.

Pourquoi les modifications dans Active Directory ne sont-elles pas reflétées dans Sophos Central Admin ?

Nous ne supprimons pas automatiquement un utilisateur qui a un rôle d’administrateur dans Sophos Central Admin et qui est également un utilisateur d’Active Directory. Il en est de même pour les changements d’adresse email principale pour les utilisateurs ayant un rôle Sophos Central Admin.

Pour supprimer un utilisateur avec un rôle d’administrateur (une fois qu’il a été supprimé dans Active Directory) ou pour modifier l’adresse email associée, vous devez supprimer son rôle d’administrateur dans Sophos Central Admin. Lors de la prochaine synchronisation avec Active Directory, nous supprimerons son compte ou mettrons à jour son adresse email, selon le cas. Si vous avez mis à jour son adresse email, vous pouvez lui assigner un rôle d’administrateur.

Pourquoi le nom d’un utilisateur a-t-il changé après la synchronisation ?

Cela peut se produire lorsqu’un utilisateur a reçu l’identifiant de connexion appareil d’un autre utilisateur. Ceci indique qu’une entrée utilisateur dans Active Directory contient les identifiants d’appareil de deux personnes différentes.

Par exemple, l’utilisateur A dispose des identifiants d’appareil de l’utilisateurA/domaine et de l’utilisateurB/domaine. L’utilisateur B dispose de l’identifiant d’appareil de l’utilisateurB/domaine.

Nous synchronisons d’abord l’utilisateur A et associons les deux identifiants d’appareil à l’utilisateur A. Lorsque le processus de synchronisation atteint l’utilisateur B et essaie de créer l’utilisateur, il trouve l’identifiant d’appareil de l’utilisateur B sous l’utilisateur A. Ceci fait correspondre l’utilisateur B à l’utilisateur A. Nous remplaçons ensuite le nom de l’utilisateur A par celui de l’utilisateur B.

Pour corriger ceci, procédez de la manière suivante :

  1. Recherchez l’utilisateur dans Sophos Central Admin.
  2. Vérifiez ses identifiants et supprimez ceux qui ne lui appartiennent pas.
  3. Synchroniser.

Pourquoi ne puis-je pas assigner un rôle à un utilisateur géré dans Active Directory ?

Cela se produit généralement s’il existe des utilisateurs en double. Pour résoudre le problème, procédez de la manière suivante :

  1. Accédez à Vue générale > Utilisateurs/groupes dans Sophos Central Admin
  2. Recherchez l’adresse email de l’utilisateur.
    • Si plusieurs résultats sont renvoyés pour l’utilisateur, passez à l’étape 3.
    • Si vous n’avez qu’un seul utilisateur, passez à l’étape 7.
  3. Décidez auquel des deux comptes utilisateur vous souhaitez assigner un rôle.
  4. Cliquez sur les comptes auxquels vous ne souhaitez pas assigner de rôle, et procédez comme suit :
    1. Cliquez sur Modifier les connexions.
    2. Notez les codes d’accès de connexion de l’utilisateur.
    3. Supprimez tous les codes d’accès associés à cet utilisateur.
    4. Cliquez sur Enregistrer.
  5. Cliquez sur l’utilisateur auquel vous souhaitez assigner un rôle et procédez comme suit :
    1. Cliquez sur Modifier les connexions.
    2. Ajoutez tous les codes d’accès que vous avez supprimés des utilisateurs en double.
    3. Cliquez sur Enregistrer.
  6. Assignez le rôle à l’utilisateur. Vérifiez que vous pouvez l’enregistrer et que l’utilisateur reçoit l’email de configuration.
  7. Si le message d’erreur indiquant que l’utilisateur ne peut pas être modifié ou enregistré continue à apparaitre, cela signifie généralement que l’adresse email est déjà utilisée dans Sophos Central Admin. Pour libérer l’adresse email afin de pouvoir l’utiliser à nouveau, suivez les étapes de la section Impossible de modifier le rôle d’un utilisateur.

Pourquoi les utilisateurs sont-ils liés à des groupes auxquels ils n’appartiennent pas ?

Nous affichons les groupes Active Directory imbriqués en tant que groupes liés dans la zone Groupes de la page de l’utilisateur dans Sophos Central Admin.

Sur la capture d’écran suivante, quatre groupes sont affichés pour le même utilisateur dans Sophos Central Admin.

Exemple de groupes imbriqués dans Sophos Central Admin

L’utilisateur est un membre direct d’un seul groupe uniquement. Les trois autres groupes sont des groupes imbriqués qui sont liés à cet utilisateur. L’utilisateur n’est pas membre de ces groupes liés.

Groupes imbriqués Active Directory liés à un utilisateur

Pourquoi le nombre de membres du groupe Utilisateurs du domaine ne correspond-il pas dans Active Directory ?

Voir Impossibilité de créer un groupe ou de refléter le nombre correct d’utilisateurs.

Pourquoi un ordinateur Mac n’est-il pas associé à un utilisateur synchronisé ?

Active Directory Synchronization Setup importe les noms de connexion sous [NetBIOSDomainName]\[Utilisateur]. Un Mac signale le nom d’utilisateur comme [NomOrdinateurMac]\[Utilisateur]. Par conséquent, un ordinateur Mac ne s’associe pas à l’utilisateur synchronisé et un nouvel utilisateur est créé en fonction du nom de connexion [NomOrdinateurMac]\[Utilisateur].

Pour mapper le Mac à l’utilisateur Sophos Central Admin, vous pouvez supprimer l’utilisateur généré automatiquement ([NomOrdinateurMac]\[Utilisateur]), puis mapper la connexion, par exemple [NomOrdinateurMac]\[Utilisateur] à l’utilisateur créé par AD Sync.

Vous pouvez remplacer ces informations localement. Voir Activation des remplacements de domaine pour les utilisateurs signalés.