Impostazione della sincronizzazione con Azure AD

Seguire queste istruzioni per effettuare la sincronizzazione con Azure AD.

Prima di iniziare, è necessario conoscere le seguenti informazioni sulla sincronizzazione con Azure AD.

Se sono già presenti utenti o gruppi in Sophos Central, assicurarsi che abbiano una corrispondenza in Azure AD se si desidera aggiungere, rimuovere o modificarne i dettagli utilizzando Azure AD.

Avvertenza In alcune circostanze è possibile che ci siano utenti duplicati. Questo avviene perché gli identificatori UPN sincronizzati da Azure AD non trovano corrispondenza con l'accesso utente all'endpoint. Per ulteriori informazioni, vedere Perché alcuni degli utenti sincronizzati con Azure AD non sono collegati a un utente Endpoint che ha effettuato l'accesso?.

Se la sincronizzazione individua un utente o un gruppo esistente di Sophos Central che trova corrispondenza con un utente o un gruppo in Azure AD, lo aggiungerà al servizio di sincronizzazione. Potrà quindi essere gestito con Azure AD e sarà possibile sincronizzare le modifiche.

Eventuali utenti o gruppi che non trovano una corrispondenza dovranno essere gestiti manualmente in Sophos Central.

La sincronizzazione con Azure AD non influisce sui dispositivi già presenti in Sophos Central. Non è possibile aggiungere o rimuovere dispositivi utilizzando Azure AD e successivamente sincronizzare le modifiche.

Limitazione Occorre essere un Amministratore per configurare o modificare i servizi directory. Prima di poter impostare la sincronizzazione, è necessario avere una sottoscrizione a Microsoft Azure e Azure AD. È inoltre necessario avere l'autorizzazione directory.readall in Microsoft Azure.

Per ulteriori informazioni sulla sincronizzazione con Azure AD, vedere Aggiungere il dispositivo aziendale alla rete dell'organizzazione.

Avvertenza Prima di procedere, accertarsi che tutti gli utenti di Azure AD abbiano un indirizzo e-mail. Se si utilizzano molti flussi di lavoro di Sophos Central, gli utenti devono avere un indirizzo e-mail per essere inclusi nella protezione. Ad esempio, se si utilizza Sophos Email per proteggere gli utenti, un messaggio e-mail destinato a un indirizzo e-mail non associato a un utente non verrà recapitato.

Per impostare la sincronizzazione con Azure AD, è necessario procedere come segue:

  1. Selezionare Azure AD come servizio directory.
  2. Configurare un'applicazione Azure. Questo passaggio può essere saltato se ne è già stata configurata una.
  3. Impostare le opzioni di sincronizzazione.
  4. Selezionare gli utenti e i gruppi da sincronizzare.
  5. Sincronizzare Azure AD.

Selezione del servizio directory

Per queste istruzioni si presuppone che non sia stato configurato un servizio directory.

Se si desidera cambiare il servizio directory, vedere Modifica del servizio directory.

Per selezionare il servizio directory, procedere come segue:

  1. Selezionare Panoramica > Impostazioni globali > Servizio directory.
  2. Cliccare sul link Guida introduttiva.
  3. Selezionare il servizio directory da utilizzare.
    • Sincronizzazione con AD
    • Sincronizzazione con Azure AD
  4. Cliccare su Avanti, controllare e confermare di avere letto l'avviso.
  5. Cliccare su Avanti.

È ora possibile configurare il servizio directory selezionato.

Controllo delle informazioni relative a Microsoft Azure per verificare che siano corrette

Per eseguire la sincronizzazione con Azure AD, occorrono alcune informazioni relative a Microsoft Azure.

Per ottenere queste informazioni, è necessario configurare un'applicazione Azure. Se ne è già stata configurata una, verificare di avere tutte le informazioni elencate in questa sezione.

Per configurare un'applicazione Azure, seguire le istruzioni fornite nella sezione Configurazione di un'applicazione Azure.

Se l'applicazione Azure è stata configurata utilizzando solo l'autorizzazione Azure Active Directory Graph Directory.Read.All e si desidera apportare modifiche alle impostazioni di sincronizzazione di Azure AD, occorre aggiungere l'autorizzazione Microsoft Graph Directory.Read.All. Per assistenza su come svolgere questa operazione, vedere Configurazione di un'applicazione Azure.

  1. Prendere nota delle seguenti informazioni:
    • Dominio del tenant
    • ID applicazione
    • Segreto client. Occorre il valore del proprio segreto client.
    • Scadenza del segreto client
  2. Se non si dispone di tutte le informazioni indicate sopra, utilizzare le istruzioni fornite nella sezione Configurazione di un'applicazione Azure per reperirle.

È ora possibile configurare le impostazioni di Azure AD.

Configurazione delle impostazioni di Azure AD

Per configurare le impostazioni di Azure AD, procedere come segue:

  1. In Passaggio B: Configura impostazioni di sincronizzazione con Azure, immettere le seguenti informazioni:
    • ID client. L'ID applicazione per l'applicazione Azure.
    • Dominio del tenant. Il dominio primario assegnato all'istanza di Azure AD.
    • Chiave applicazione. Il valore del segreto client per l'applicazione Azure.
    • Scadenza del segreto client. La data di scadenza del segreto client.
  2. Cliccare su Prova connessione per convalidare le impostazioni.

È ora possibile selezionare gli utenti e i gruppi da sincronizzare.

Selezione di utenti e gruppi da sincronizzare

È possibile filtrare gli utenti e i gruppi da sincronizzare.

Cambiando i filtri, verranno modificati gli utenti e i gruppi inclusi nella sincronizzazione. Gli utenti e i gruppi non inclusi nel nuovo filtro verranno rimossi da Sophos Central.

Se sono già presenti utenti e gruppi in Sophos Central e si sta eseguendo la sincronizzazione con Azure AD per la prima volta, si consiglia di selezionare tutti gli utenti e i gruppi, per fornire al servizio di sincronizzazione il maggior numero di utenti e gruppi per i quali trovare corrispondenza.

Se la gerarchia di gruppi e utenti in Azure AD è complessa, si consiglia di aggiungere utenti e gruppi dopo aver applicato il filtro. Per svolgere questa operazione, è possibile utilizzare Aggiungi utenti in base al filtro per il gruppo oppure Aggiungi utenti in base al filtro per gli utenti.

Per selezionare utenti e gruppi, procedere come segue:

  1. In Passaggio C: Seleziona utenti e gruppi da includere nella sincronizzazione, scegliere gli utenti e i gruppi che si desidera sincronizzare con Azure AD. L'utilizzo dei filtri consente di sincronizzare utenti e gruppi specifici da Azure AD. Scegliere tra le seguenti opzioni:
    • Tutti gli utenti e i gruppi
    • Aggiungi utenti in base all'ID gruppo
    • Aggiungi utenti in base al filtro per il gruppo
    • Aggiungi utenti in base al filtro per gli utenti

    Per maggiori informazioni su come utilizzare questi filtri, vedere Come filtrare utenti e gruppi.

  2. Cliccare su Salva.

È ora possibile eseguire la sincronizzazione con Azure AD.

Sincronizzazione con Azure AD

Nota Non è possibile visualizzare in anteprima le modifiche che verranno apportate dalla sincronizzazione con Azure AD in Sophos Central.

Per effettuare la sincronizzazione con Azure AD, procedere come segue:

  1. Cliccare su Salva e sincronizza.
  2. Cliccare su Impostazioni > Servizio directory per controllare lo stato di sincronizzazione.
  3. Cliccare su Utenti per verificare le modifiche degli utenti.
  4. Cliccare su Gruppi per verificare le modifiche dei gruppi.