Configurer la synchronisation avec Active Directory

Suivez ces instructions pour configurer la synchronisation avec Active Directory.

Veuillez lire les sections suivantes et effectuer toutes les tâches nécessaires avant de configurer la synchronisation avec Active Directory :

  • Avant de commencer
  • Bon usage
  • Synchronisation avec Active Directory.

Si vous l’avez déjà fait, accédez à Sélectionner le service d’annuaire pour commencer la configuration.

Avant de commencer

Avant de configurer la synchronisation, vous devez disposer des éléments suivants :

  • .NET Framework 4.5.2 installé sur l’ordinateur sur lequel vous exécuterez la configuration de la synchronisation Active Directory.
  • Les codes d’accès API Sophos pour pouvoir vous synchroniser avec Active Directory. Ceux-ci doivent être créés avant de modifier ou de configurer la synchronisation avec Active Directory, ou de synchroniser avec Active Directory. Retrouvez plus de renseignements à la section Gestion des codes d’accès API.

Assurez-vous que tous vos utilisateurs Active Directory ont une adresse email. Vous devez avoir l’adresse email de vos utilisateurs afin de pouvoir les protéger lors de l’utilisation de plusieurs de flux de travail Sophos Central. Par exemple, si vous utilisez Sophos Email pour protéger vos utilisateurs, les emails envoyés vers une adresse non associée à un utilisateur ne seront pas livrés.

Bon usage

Nous vous recommandons de supprimer les utilisateurs inactifs et leurs appareils de vos domaines Active Directory. En effet, les comptes d’utilisateur et les appareils inactifs représentent un risque pour la sécurité. Ceci permet également de réduire la taille du fichier envoyé à Sophos Central depuis Active Directory. Ceci permet également d’accélérer la synchronisation.

Retrouvez de l’aide sur la recherche et la suppression d’utilisateurs inactifs de la manière suivante :

Vous pouvez utiliser les filtres Active Directory pour empêcher les utilisateurs inactifs et leurs appareils de se synchroniser avec Sophos Central. Ceci permet de réduire la taille du fichier de synchronisation envoyé à Sophos Central, mais n’atténue pas les risques de sécurité associés aux utilisateurs inactifs dans vos domaines Active Directory.

Mode de synchronisation avec Active Directory

Pour effectuer une synchronisation avec Active Directory, veuillez télécharger et installer l’outil Active Directory Synchronization Setup (nous vous décrivons comment l’installer et le télécharger ultérieurement).

Active Directory Synchronization Setup fonctionne comme suit :

  • Il synchronise les utilisateurs et groupes actifs.

    Il ne duplique par les utilisateurs ou les groupes existants lorsqu’ils correspondent à un utilisateur ou à un groupe Sophos Central déjà existant. Par exemple, il peut ajouter une adresse email d’Active Directory à un utilisateur existant dans Sophos Central.

  • Il synchronise les appareils et les groupes d’appareils. Retrouvez des informations sur la manière dont il fait correspondre les appareils et les groupes, ainsi que d’autres informations utiles dans FAQ sur la recherche de groupes d’appareils.

Vous pouvez le configurer pour qu’il s’exécute automatiquement à des heures définies.

Il prend uniquement en charge le service Active Directory.

Il ne vous aide pas à installer le logiciel de l’agent Sophos sur les appareils de vos utilisateurs. Utilisez d’autres méthodes de déploiement avec Active Directory.

Restriction : Vous devez être un administrateur pour configurer ou modifier des services d’annuaire.

Pour configurer la synchronisation avec Active Directory, vous allez devoir :

  1. Choisir le service d’annuaire à utiliser.
  2. Télécharger le programme d’installation de l’outil de synchronisation Active Directory et valider vos codes d’accès.
  3. Configurer Active Directory.
  4. Configurer vos options de synchronisation.
  5. Synchroniser Active Directory

Sélectionner le service d’annuaire

Ces instructions supposent que vous n’avez pas encore installé de service d’annuaire.

Retrouvez plus de renseignements sur la modification des services d’annuaire à la section Changer le service d’annuaire.

Pour sélectionner votre service d’annuaire, procédez de la manière suivante :

  1. Allez dans Vue générale > Paramètres généraux > Service d’annuaire.
  2. Cliquez sur le lien Prise en main.
  3. Choisir le service d’annuaire à utiliser.
    • AD Sync
    • Azure AD Sync
  4. Cliquez sur Suivant, consultez l’avertissement et confirmez.
  5. Cliquez sur Suivant.

Vous pouvez maintenant configurer le service d’annuaire de votre choix.

Télécharger le logiciel de configuration et valider les codes d’accès

Vous devez télécharger le programme d’installation de l’outil de synchronisation Active Directory Synchronization Setup et valider vos codes d’accès API avant de configurer la synchronisation Active Directory. Vous devez également valider les paramètres de votre serveur proxy si vous utilisez un proxy.

Pour valider vos codes d’accès, procédez comme suit :

  1. Cliquez sur le lien pour télécharger l’outil de synchronisation Active Directory Synchronization Setup. Puis exécutez-le.
    Active Directory Synchronization Setup démarre.
  2. Saisissez votre ID du client et votre Clé secrète client et cliquez sur Valider les codes d’accès.
  3. Activez Configurer le proxy manuellement si vous souhaitez utiliser un proxy, puis saisissez votre Adresse du proxy.
  4. Si vous utilisez un proxy, vous pouvez activer une authentification supplémentaire. Activez l’option Activer l’authentification proxy et saisissez les informations suivantes.
    • Utilisateur du proxy
    • Mot de passe du proxy
  5. Cliquez sur Valider les codes d’accès pour vérifier les paramètres du proxy.

Configurer Active Directory

Pour saisir vos paramètres, procédez comme suit :

  1. Sur la page Configuration AD, saisissez les détails de votre serveur LDAP Active Directory et les codes d’accès.

    Vous devez utiliser les codes d’accès d’un compte utilisateur avec un accès en lecture à toute la forêt Active Directory avec laquelle vous souhaitez effectuer la synchronisation. Pour rester protégé, utilisez un compte avec des droits limités.

    Nous conseillons d’utiliser une connexion LDAP sécurisée, chiffrée par SSL, et de conserver l’option Utiliser LDAP sur une connexion SSL (recommandé) activée.

  2. Si votre environnement LDAP ne prend pas en charge SSL, désactivez l’option Utiliser LDAP sur une connexion SSL (recommandé) et modifiez le numéro du port. Généralement, le numéro du port est 636 pour les connexions SSL et 389 pour les connexions non sécurisées.

Configurer vos options de synchronisation

Pour configurer vos options de synchronisation, procédez comme suit :

  1. Cliquez sur Suivant et configurez votre synchronisation dans les onglets restants. Cliquez sur Terminer dans l’un des onglets lorsque vous avez terminé la configuration.
  2. Pour synchroniser des appareils et des groupes d’appareils, procédez de la manière suivante :
    1. Cliquez sur Filtres AD.
    2. Activez Synchroniser les appareils et Synchroniser les unités organisationnelles.
    3. Vous pouvez synchroniser vos unités organisationnelles avant de synchroniser vos appareils afin de pouvoir configurer les groupes à l’avance. Pour ce faire, activez uniquement l’option Synchroniser les unités organisationnelles.

      Si vous synchronisez vos unités organisationnelles avant de synchroniser vos appareils, vous devez activer Synchronisation des appareils et Synchronisation des unités organisationnelles lorsque vous synchronisez vos appareils. Ceci permet de maintenir l’association entre vos unités organisationnelles et vos appareils.

      Si vous souhaitez modifier ces paramètres après avoir synchronisé vos unités organisationnelles et vos appareils, sachez que :

      • Si vous désactivez Synchroniser les unités organisationnelles et laissez l’option Synchroniser les appareils activée et que vous procédez à la synchronisation dans ces conditions, vos unités organisationnelles s’afficheront en tant que groupes personnalisés dans Sophos Central.
      • Si vous désactivez Synchroniser les appareils et laissez l’option Synchroniser les unités organisationnelles activée et que vous procédez à la synchronisation dans ces conditions, vos appareils ne seront pas assignés à des groupes dans Sophos Central.
  3. Dans l’onglet Filtres AD, configurez un filtre LDAP pour sélectionner les utilisateurs, les appareils et les groupes à synchroniser. Vous pouvez également saisir des options de recherche supplémentaires (bases de rechercher et filtres de requête LDAP) pour chaque domaine. Vous pouvez également indiquer des options différentes pour des utilisateurs et des groupes d’utilisateurs distincts.
    Remarque : Seuls les groupes composés d’utilisateurs ou d’appareils découverts sont créés au cours de la synchronisation, quels que soient les paramètres de filtre de groupe.
    OptionDescription

    Bases de recherche

    Vous pouvez indiquer des bases de recherche (également appelés « noms uniques de base »). Par exemple, si vous voulez filtrer par Unités organisationnelles (OU), vous pouvez indiquer une base de recherche au format suivant :

    OU=Finance,DC=monEntreprise,DC=com

    Filtres de requête LDAP

    Pour filtrer les utilisateurs appartenant, par exemple à un groupe, vous pouvez définir un filtre de requête utilisateur au format suivant :

    memberOf=CN=GroupeTest, DC=monEntreprise, DC=com

    Cette requête limite la recherche aux utilisateurs appartenant à « GroupeTest ». Notez que si vous n’indiquez pas de filtre de requête de groupe, la synchronisation détecte tous les groupes auxquels appartiennent ces utilisateurs découverts. Si vous voulez également limiter la recherche dans les groupes au seul « GroupeTest », vous pouvez définir le filtre de requête de groupe suivant :

    CN=GroupeTest

    Vous pouvez également utiliser ces filtres pour arrêter la synchronisation des utilisateurs inactifs avec Sophos Central.

    Exclure les comptes d’utilisateur désactivés

    Par défaut, la synchronisation exclut les comptes utilisateur désactivés. Pour les inclure, désactivez cette option.

    Avertissement : Si vous incluez des noms uniques de base à vos options de recherche ou modifiez vos paramètres de filtrage, certains utilisateurs et groupes Sophos Central créés au cours des synchronisations précédentes ne seront probablement pas inclus dans la recherche et seront supprimés de Sophos Central.
  4. Sur la page Sync Schedule, indiquez les heures auxquelles la synchronisation doit avoir lieu.
    Remarque : Un service en tâche de fond effectue une synchronisation planifiée.
  5. Si vous voulez procéder à la synchronisation manuelle et ne voulez pas qu’elle s’effectue automatiquement, sélectionnez Never. Only sync when manually initiated.

Synchroniser Active Directory

Nous vous conseillons d’effectuer une synchronisation manuelle avec Active Directory lorsque vous configurez la synchronisation ou que vous modifiez vos paramètres. Vous pourrez ainsi vérifier les modifications qui seront effectuées au cours de la synchronisation.

Pour synchroniser, procédez comme suit :

  1. Cliquez sur Aperçu et synchronisation.
    1. Si vous utilisez des filtres de requête LDAP, assurez-vous qu’ils soient tous configurés correctement.
  2. Vérifiez les modifications qui seront effectuées au cours de la synchronisation. Si ces modifications vous conviennent, cliquez sur Approve Changes and Continue.
    Les utilisateurs, appareils et groupes Active Directory sont importés d’Active Directory dans Sophos Central.
  3. Vérifiez vos utilisateurs, appareils et groupes dans Sophos Central.
    1. Vérifiez vos utilisateurs pour vous assurer que leurs appareils sont protégés.
    2. Vérifiez les stratégies appliquées à vos utilisateurs et groupes d’utilisateurs.
    3. Vérifiez s’il y a des appareils non gérés parmi vos ordinateurs et serveurs. Ceux-ci apparaissent sur des onglets distincts. Protégez tous les appareils non gérés.
    4. Vérifiez les stratégies appliquées à vos appareils et groupes d’appareils. Vous pouvez appliquer des stratégies au groupe d’appareils Active Directory.

Déplacer les serveurs de synchronisation Active Directory

Si vous souhaitez déplacer le serveur que vous utilisez pour effectuer une synchronisation avec Active Directory, procédez comme suit :

  1. Arrêtez la synchronisation sur votre serveur actuel.
  2. Configurez la synchronisation Active Directory sur votre nouveau serveur.

    Si vous avez besoin d’aide, suivez les instructions contenues dans les sections précédentes de cette page.

  3. Vérifiez que les filtres n’ont pas besoin d’être modifiés.
  4. Prévisualisez votre synchronisation pour vérifier que vos paramètres sont corrects.
  5. Synchronisez et vérifiez que tout fonctionne comme prévu.
  6. Configurez votre planification de synchronisation.
  7. Supprimez la synchronisation Active Directory de votre serveur d’origine.