Domande frequenti sulla sincronizzazione con Active Directory

L'Impostazione della sincronizzazione con Active Directory (versione 4.0) offre l'opzione di configurare un proxy. Questa operazione può essere svolta nella scheda Sophos Credentials (Credenziali Sophos). Vedere Impostazione della sincronizzazione con Active Directory.

Gli account di prova gratuita usano l'Utilità di Sincronizzazione con AD di Sophos Central (versione 3.5.4). Questa versione non permette di configurare i dettagli del proxy.

Nell'Utilità di Sincronizzazione con AD di Sophos Central, il servizio si esegue utilizzando un account di servizio locale che, per impostazione predefinita, non ha accesso all'autenticazione tramite proxy. Se si verifica un problema di connessione proxy, viene visualizzato il seguente errore:

Failed active directory synchronization. Reason: System.Net.Http.HttpRequestException
---> CommandLib.HttpRequestCommand+HttpStatusException: Exception of type 'CommandLib.HttpRequestCommand+HttpStatusException' was thrown.

Se si desidera creare un account che abbia questo tipo di accesso, l'account deve essere in grado di accedere nei seguenti modi:

• Accesso come servizio.
• Accesso interattivo.
• Accesso batch.

L'account deve inoltre avere diritti per la lettura delle Unità organizzative (OU) sul controller di dominio che si desidera sincronizzare.

L'account deve anche avere autorizzazioni NTFS complete per C:\ProgramData\Sophos\Sophos Cloud AD Sync.

Esiste un'altra soluzione alternativa per il proxy di sincronizzazione con Active Directory. Vedere l'articolo Come configurare l'Utilità di Sincronizzazione con AD in modo che utilizzi un server proxy.

Gli utenti vengono filtrati con la query LDAP (&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(!userAccountControl:1.2.840.113556.1.4.803:=2)).

Il filtro gruppo LDAP per i gruppi è (&(objectCategory=group)(objectClass=group)).

È possibile estendere questi filtri in base al dominio. Per maggiori informazioni sui filtri e sulle query LDAP, vedere Filtri dell'Utilità di Sincronizzazione con AD per Sophos Central Admin.

Si consiglia di rimuovere gli utenti e i dispositivi inattivi, invece di utilizzare i filtri. Vedere Filtro degli utenti AD inattivi.

Per importare utenti da Active Directory, utilizziamo il Nome visualizzato.

Utilizziamo proxyAddresses per l'alias.

Vedere Percorsi dei log dell'Utilità di Sincronizzazione con AD.

Associamo gli utenti di Active Directory in base all'accesso al dominio (Domain/user) o all'indirizzo e-mail (utilizzando mail).

Se viene individuata una corrispondenza, l'utente di Sophos Central Admin che ha trovato corrispondenza con i dati in Active Directory verrà aggiornato o sostituito. L’icona dell'utente cambierà, passando dall’icona di un utente di Sophos Central Admin all’ icona di un utente Active Directory .

Se l'indirizzo e-mail o l'utente di Sophos Central Admin è diverso, creeremo un nuovo utente.

Se richiesto, è possibile aggiornare gli accessi degli utenti in Sophos Central Admin. Ad esempio, è possibile modificare i dettagli di accesso associati a un dispositivo. Vedere Come assegnare o rimuovere un accesso esistente per un utente.

È possibile visualizzare gli account che trovano corrispondenza prima di eseguire la sincronizzazione. Cliccare su Preview and Sync....

Se viene individuata una corrispondenza, sarà visualizzata nella scheda Users to Modify (Utenti da modificare).

Se si trova una corrispondenza, l'utente sarà visualizzato nella scheda Users to add (Utenti da aggiungere). Le modifiche possono essere rifiutate.

Per informazioni sulla risoluzione dei problemi relativi ai collegamenti tra gli utenti di Sophos Central Admin e Microsoft Entra ID, vedere Perché alcuni utenti di Azure AD sincronizzati non sono collegati a utenti creati dal dispositivo e vengono indicati come duplicati?.

La sincronizzazione potrebbe causare la rimozione dell’utente anche da Sophos Central. Questo dipende dal ruolo.

L’utente non viene rimosso automaticamente se ha un ruolo di amministratore di Sophos Central (ad es. Amministratore, Super Amministratore o Amministratore personalizzato), oppure se all’utente è associato un dispositivo o un accesso. L’utente continuerà a essere visualizzato nella pagina Persone, ma cambierà icona, passando da quella che indica un utente sincronizzato con AD all’icona che indica un normale utente Sophos Central .

Tuttavia, se a un utente non è stato associato un dispositivo o un accesso, oppure se ha il ruolo Utente, verrà rimosso automaticamente.

Se un utente con ruolo di amministratore in Sophos Central Admin è anche un utente di Active Directory, non viene rimosso automaticamente. Questo vale anche per le modifiche degli indirizzi e-mail principali di utenti che hanno un ruolo Sophos Central Admin.

Per rimuovere un utente che ha un ruolo di amministratore (dopo la sua rimozione da Active Directory) o per modificarne l'indirizzo e-mail a cui è associato, occorrerà eliminare l'utente (in Sophos Central Admin) e rimuoverne il ruolo di amministratore. Alla successiva sincronizzazione con Active Directory, ne rimuoveremo l'account o ne aggiorneremo l'indirizzo e-mail in base a quanto specificato. Se ne è stato aggiornato l'indirizzo e-mail, sarà poi possibile assegnare un ruolo di amministratore a quell'utente.

Questo può accadere quando un utente riceve l'accesso dispositivo di un altro utente. Ciò significa che un record utente in Active Directory ha accessi dispositivo per due persone diverse.

Ad esempio: l'utente A ha accessi dispositivo sia per utenteA/dominio che per utenteB/dominio. L'utente B ha un accesso dispositivo per utenteB/dominio.

Prima viene sincronizzato l'utente A ed entrambi gli accessi dispositivo vengono associati all'utente A. Quando il processo di sincronizzazione raggiunge l'utente B e tenta di creare l'utente, trova l'accesso dispositivo dell'utente B sotto l'utente A. Di conseguenza, l'utente B trova corrispondenza con l'utente A e a questo punto il nome dell'utente A viene modificato e diventa quello dell'utente B.

Per risolvere questo problema, procedere come segue:

1. Trovare l'utente in Sophos Central Admin.
2. Controllarne gli accessi e rimuovere quelli che non appartengono a questo utente.
3. Sincronizzare.

In genere questo avviene se ci sono utenti duplicati. Per risolvere il problema, procedere come segue:

1. Selezionare Persone > Gestisci utenti e gruppi > Utenti in Sophos Central Admin.

2. Cercare l'indirizzo e-mail dell'utente.

   • Se viene restituito più di un risultato per l’utente, passare al punto 3.
   • Se c'è un solo utente, passare al punto 7.

3. Stabilire a quale degli account utente duplicati si desidera assegnare un ruolo.

4. Cliccare su ciascuno degli utenti duplicati a cui non si desidera assegnare un ruolo e procedere come segue:

   1. Cliccare su Edit logins (Modifica accessi).
   2. Annotare le credenziali di accesso dell'utente.
   3. Rimuovere tutte le credenziali di accesso associate all'utente.
   4. Cliccare su Salva.

5. Cliccare sull'utente a cui si desidera assegnare un ruolo e procedere come segue:

   1. Cliccare su Edit logins (Modifica accessi).
   2. Aggiungere tutte le credenziali rimosse dagli utenti duplicati.
   3. Cliccare su Salva.

6. Assegnare il ruolo all'utente. Verificare che sia stato salvato e che l'utente abbia ricevuto l'e-mail di configurazione.

7. Se si continua a ricevere un messaggio di errore che indica che l'utente non può essere modificato o salvato, di solito questo significa che l'indirizzo e-mail è già stato utilizzato in Sophos Central. Per rilasciare l'indirizzo e-mail in modo da poterlo utilizzare di nuovo, seguire la procedura descritta nell'articolo Modifica del ruolo di un utente non consentita.

I gruppi nidificati di Active Directory vengono visualizzati come gruppi collegati nell'area Gruppi della pagina dell'utente in Sophos Central Admin.

Nel seguente screenshot vengono visualizzati quattro gruppi per l'utente in Sophos Central Admin.

L'utente è membro diretto di un solo gruppo. Gli altri tre gruppi sono gruppi nidificati che sono collegati a questo utente. L'utente non è membro di questi gruppi collegati.

Vedere Impossibile creare un gruppo o riflettere il numero corretto di utenti.

L'Impostazione della sincronizzazione con Active Directory importa i nomi di accesso come [NetBIOSDomainName]\[User]. Un Mac indica il nome utente come [MacComputerName]\[User]. Di conseguenza, un Mac non si associa all'utente sincronizzato e viene creato un nuovo utente in base al nome di accesso [MacComputerName]\[User].

Per mappare il Mac all’utente di Sophos Central Admin, è possibile eliminare l’utente generato automaticamente ([MacComputerName]\[User]) e successivamente mappare l’accesso, ad esempio [MacComputerName]\[User] all’utente creato con la Sincronizzazione con AD.

Queste informazioni possono essere sovrascritte localmente. Vedere Come attivare la sovrascrittura del dominio per gli utenti indicati.