Impostazione della sincronizzazione con Active Directory

Seguire queste istruzioni per impostare la sincronizzazione con Active Directory.

Prima di impostare la sincronizzazione con Active Directory, è necessario leggere le sezioni seguenti e completare le operazioni richieste:

  • Prima di cominciare
  • Best practice
  • Sincronizzazione con Active Directory.

Se queste operazioni sono già state completate, aprire Seleziona servizio directory per iniziare la configurazione.

Prima di cominciare

Prima di impostare la sincronizzazione, accertarsi di soddisfare i seguenti requisiti:

  • .NET Framework 4.5.2 deve essere installata sul computer in cui verrà eseguita la Sincronizzazione con Active Directory.
  • Occorre avere credenziali Sophos API per effettuare la sincronizzazione con Active Directory. Devono essere impostate prima di configurare la sincronizzazione con Active Directory, prima di modificare la configurazione esistente o prima di eseguire la sincronizzazione con Active Directory. Vedere Gestione credenziali API.

Verificare che tutti gli utenti di Active Directory abbiano un indirizzo e-mail. Se si utilizzano molti flussi di lavoro di Sophos Central, gli utenti devono avere un indirizzo e-mail per essere inclusi nella protezione. Ad esempio, se si utilizza Sophos Email per proteggere gli utenti, un messaggio e-mail destinato a un indirizzo e-mail non associato a un utente non verrà recapitato.

Best practice

Si consiglia di rimuovere gli utenti e i dispositivi inattivi dai domini di Active Directory. Gli account e i dispositivi degli utenti inattivi rappresentano un rischio di sicurezza. La rimozione di questi utenti riduce anche le dimensioni del file inviato a Sophos Central da Active Directory. Di conseguenza, accelera la sincronizzazione.

Per informazioni su come trovare e rimuovere utenti inattivi, vedere:

È possibile utilizzare i filtri di Active Directory per impedire agli utenti inattivi di sincronizzarsi con Sophos Central. Questo permette di ridurre le dimensioni del file di sincronizzazione inviato a Sophos Central, ma non riduce i rischi di sicurezza associati agli utenti inattivi nei domini di Active Directory.

Come avviene la sincronizzazione con Active Directory

Per effettuare la sincronizzazione con Active Directory, occorre scaricare e installare l'utilità di Impostazione della Sincronizzazione con Active Directory (la procedura di installazione e download viene descritta di seguito).

L'Impostazione della Sincronizzazione con Active Directory svolge le seguenti azioni:

  • Sincronizza gli utenti e i gruppi di utenti attivi.

    Non duplica utenti o gruppi quando viene riscontrata una corrispondenza con un utente o un gruppo di Sophos Central già esistente. Ad esempio, può aggiungere un indirizzo e-mail da Active Directory a un utente già esistente in Sophos Central.

  • Sincronizza i dispositivi e i gruppi di dispositivi. Per sapere come viene identificata la corrispondenza tra dispositivi e gruppi e per altre informazioni utili, consultare la sezione Domande frequenti sull'individuazione dei gruppi di dispositivi.

Può essere impostata per eseguirsi automaticamente a orari prestabiliti.

Supporta solamente il servizio Active Directory.

Non è necessario installare il software dell'agente Sophos sui dispositivi degli utenti. Utilizzare altri metodi di distribuzione con Active Directory.

Limitazione Occorre essere un Amministratore per configurare o modificare i servizi directory.

Per impostare la sincronizzazione con Active Directory, è necessario procedere come segue:

  1. Selezionare il servizio directory da utilizzare.
  2. Scaricare l'impostazione della Sincronizzazione con Active Directory e convalidare le credenziali.
  3. Immettere la configurazione di Active Directory.
  4. Impostare le opzioni di sincronizzazione.
  5. Effettuare la sincronizzazione con Active Directory.

Selezione del servizio directory

Per queste istruzioni si presuppone che non sia stato configurato un servizio directory.

Se si desidera cambiare il servizio directory, vedere Modifica del servizio directory.

Per selezionare il servizio directory, procedere come segue:

  1. Selezionare Panoramica > Impostazioni globali > Servizio directory.
  2. Cliccare sul link Guida introduttiva.
  3. Selezionare il servizio directory da utilizzare.
    • Sincronizzazione con AD
    • Sincronizzazione con Azure AD
  4. Cliccare su Avanti, controllare e confermare di avere letto l'avviso.
  5. Cliccare su Avanti.

È ora possibile configurare il servizio directory selezionato.

Download del software di impostazione e convalida delle credenziali

Prima di configurare la sincronizzazione con Active Directory, è necessario scaricare l'impostazione della Sincronizzazione con Active Directory e convalidare le credenziali API. È inoltre necessario convalidare le impostazioni del server proxy, se si utilizza un proxy.

Per convalidare le credenziali, procedere come segue:

  1. Cliccare sul link per scaricare l'Impostazione della Sincronizzazione con Active Directory. Eseguire quindi il file.
    Viene avviata l'Impostazione della Sincronizzazione con Active Directory.
  2. Immettere ID client e Segreto client e cliccare su Validate credentials.
  3. Abilitare Configure proxy manually, se si desidera utilizzare un proxy e immettere il proprio Proxy address (indirizzo proxy).
  4. Se si utilizza un proxy, è possibile attivare un ulteriore tipo di autenticazione. Attivare Enable proxy authentication e immettere le seguenti informazioni.
    • Utente proxy
    • Password proxy
  5. Cliccare su Validate credentials per verificare le impostazioni del proxy.

Immissione della configurazione di Active Directory

Per immettere la configurazione, procedere segue:

  1. Nella pagina AD Configuration, immettere i dettagli del server LDAP di Active Directory e le credenziali.

    Occorre utilizzare le credenziali di un account utente che dispone di accesso in lettura all'intera foresta di Active Directory che si desidera sincronizzare. Per garantire la massima protezione, utilizzare un account con diritti limitati.

    Si consiglia di utilizzare una connessione LDAP protetta, cifrata con SSL, e di mantenere selezionata l'opzione Use LDAP over an SSL connection (recommended).

  2. Se l'ambiente LDAP non supporta SSL, disattivare Use LDAP over an SSL connection (recommended) e modificare il numero di porta. Di solito il numero di porta utilizzato è 636 per le connessioni SSL e 389 per le connessioni non protette.

Configurazione delle opzioni di sincronizzazione

Per configurare le opzioni di sincronizzazione, procedere come segue:

  1. Cliccare su Next e configurare la sincronizzazione utilizzando le schede rimanenti. È possibile cliccare su Finish in una qualsiasi delle schede, una volta terminata la configurazione.
  2. Se si desidera sincronizzare dispositivi e gruppi di dispositivi, procedere come segue:
    1. Cliccare su AD Filters.
    2. Attivare Sync devices e Sync organizational units.
    3. Potrebbe essere preferibile sincronizzare le unità organizzative prima di sincronizzare i dispositivi, in modo da poter configurare i gruppi in anticipo. Per svolgere questa operazione, attivare solo Sync organizational units (Sincronizza unità organizzative).

      Se si sincronizzano le unità organizzative prima di sincronizzare i dispositivi, è necessario attivare Sync devices (Sincronizza dispositivi) e Sync organizational units quando si sincronizzano i dispositivi. In questo modo verrà mantenuta l'associazione tra le unità organizzative e i dispositivi.

      Se dopo aver sincronizzato le unità organizzative e i dispositivi si desidera modificare queste impostazioni, occorre tenere presente quanto segue:

      • Se si disattiva Sync organizational units, si lascia attivata l'opzione Sync devices e successivamente si esegue la sincronizzazione, le unità organizzative verranno visualizzate come Gruppi personalizzati in Sophos Central.
      • Se si disattiva Sync devices, si lascia attivata l'opzione Sync organizational units e si esegue la sincronizzazione, i dispositivi non verranno assegnati a gruppi in Sophos Central.
  3. Nella scheda AD Filters, configurare un filtro LDAP per selezionare gli utenti, i dispositivi e i gruppi da sincronizzare. È possibile immettere opzioni di ricerca aggiuntive (basi di ricerca e filtri per le query LDAP) per ciascun dominio. È anche possibile specificare opzioni diverse per utenti e gruppi di utenti.
    Nota La sincronizzazione crea gruppi solo con gli utenti o i dispositivi individuati, indipendentemente dalle impostazioni del filtro per il gruppo.
    OpzioneDescrizione

    Basi di ricerca

    È possibile specificare basi di ricerca (note anche come “nomi base distinti”). Ad esempio, se si desidera effettuare il filtraggio in base alle unità organizzative (Organizational Units, OU), una base di ricerca può essere specificata nel seguente formato:

    OU=Finance,DC=myCompany,DC=com

    Filtri per le query LDAP

    Per filtrare gli utenti in base, ad es. ai gruppi di appartenenza, è possibile definire un filtro per le query utente nel seguente formato:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Questa query limita l’individuazione degli utenti ai soli utenti appartenenti al gruppo “testGroup”. Si noti che la sincronizzazione individua tutti i gruppi a cui appartengono questi utenti individuati, a meno che non si specifichi un filtro per le query gruppo. Se si desidera anche limitare l'individuazione dei gruppi al gruppo “testGroup”, è possibile definire il seguente filtro per le query gruppo:

    CN=testGroup

    Questi filtri possono essere utilizzati anche per impedire la sincronizzazione con Sophos Central degli utenti inattivi.

    Esclusione degli account utente disattivati

    Per impostazione predefinita, la sincronizzazione esclude gli account utente disattivati. Per includerli, disattivare questa opzione.

    Avvertenza Se nelle opzioni di ricerca vengono inclusi nomi distinti di base o se si modificano le impostazioni del filtro, alcuni degli utenti e gruppi di Sophos Central creati durante le sincronizzazioni precedenti potrebbero non rientrare nell'ambito di ricerca e quindi essere eliminati da Sophos Central.
  4. Nella scheda Sync Schedule, definire gli orari in cui effettuare la sincronizzazione.
    Nota Un servizio in background esegue una sincronizzazione pianificata.
  5. Se si desidera effettuare la sincronizzazione manualmente ed evitare che la sincronizzazione venga eseguita automaticamente, selezionare Never. Only sync when manually initiated.

Sincronizzazione con Active Directory

Si consiglia di eseguire la sincronizzazione manuale con Active Directory quando si configura la sincronizzazione o si apportano modifiche alle impostazioni. In questo modo sarà possibile verificare le modifiche da effettuare durante la sincronizzazione.

Per eseguire la sincronizzazione, procedere come segue:

  1. Cliccare su Preview and Sync.
    1. Se si utilizzano filtri per le query LDAP, verificare di averli configurati correttamente.
  2. Verificare le modifiche da effettuare durante la sincronizzazione. Se le modifiche sono corrette, cliccare su Approve Changes and Continue.
    Gli utenti, i dispositivi e i gruppi di Active Directory verranno importati su Sophos Central da Active Directory.
  3. Controllare gli utenti, i dispositivi e i gruppi in Sophos Central.
    1. Controllare gli utenti per assicurarsi che i dispositivi siano protetti.
    2. Controllare i criteri applicati agli utenti e ai gruppi di utenti.
    3. Verificare se sono presenti dispositivi non gestiti tra i computer e i server. Verranno mostrati in schede separate. Proteggere eventuali dispositivi non gestiti.
    4. Controllare i criteri applicati ai dispositivi e ai gruppi di dispositivi. È possibile applicare criteri al gruppo di dispositivi di Active Directory.

Trasferimento dei server di sincronizzazione con Active Directory

Se si desidera trasferire il server utilizzato per la sincronizzazione con Active Directory, procedere come segue:

  1. Interrompere la sincronizzazione sul server attuale.
  2. Impostare la sincronizzazione con Active Directory sul nuovo server.

    Per assistenza con questa operazione, seguire le istruzioni fornite nelle sezioni precedenti di questa pagina.

  3. Verificare che non siano necessarie modifiche ai filtri.
  4. Visualizzare un'anteprima della sincronizzazione per controllare che le impostazioni siano corrette.
  5. Sincronizzare e verificare che tutto funzioni come previsto.
  6. Impostare la propria pianificazione della sincronizzazione.
  7. Rimuovere la sincronizzazione con Active Directory dal server originale.