Filtro degli utenti AD inattivi

Seguire queste istruzioni per impedire agli utenti inattivi presenti nei domini di Active Directory di sincronizzarsi con Sophos Central.

Avvertenza Si consiglia di rimuovere gli utenti e i dispositivi inattivi, invece di utilizzare i filtri. Gli account e i dispositivi degli utenti inattivi rappresentano un rischio di sicurezza. Per ulteriori informazioni, vedere Impostazione della sincronizzazione con Active Directory.

È possibile utilizzare i filtri per le query LDAP quando si imposta la Sincronizzazione con AD, in modo da individuare gli utenti e i gruppi che si desidera sincronizzare. È anche possibile cambiare i filtri e quindi eseguire nuovamente la sincronizzazione, se si desidera modificare gli utenti, i gruppi e i dispositivi da sincronizzare. È possibile utilizzare gli attributi LDAP nei filtri per le query LDAP, per impedire agli utenti inattivi di sincronizzarsi con Sophos Central.

È possibile utilizzare gli attributi lastLogon e lastLogonTimestamp. Quando si utilizzano questi attributi, occorre tenere conto di come funzionano. Il loro utilizzo non garantisce informazioni in tempo reale o accurate.

  • L'attributo lastLogon è quello che ha maggiori probabilità di essere aggiornato, ma non viene replicato nei controller di dominio. Ciò significa che è necessario eseguire query su tutti i controller di dominio.
  • L'attributo lastLogonTimestamp potrebbe non essere aggiornato. Tuttavia, questo è l'attributo più frequentemente utilizzato per filtrare gli utenti inattivi.

Per ulteriore assistenza su come utilizzare questi attributi, consultare la pagina Capire gli attributi degli account di AD.

Per filtrare gli utenti inattivi con lastLogonTimestamp, procedere come segue:

  1. Determinare la data e l'ora limite per l'inclusione degli utenti nella sincronizzazione, ad esempio: 1º dicembre 2020, 00:01.
  2. Convertire questo valore in LDAP/FILLETIME utilizzando uno strumento di conversione, ad esempio Convertitore di timestamp per LDAP, Active Directory e FileTime.
    Utilizzando il nostro esempio di data e ora limite si ottiene 132581431640000000.
  3. Se non è già stato fatto, configurare la sincronizzazione con Active Directory.
  4. In Active Directory Synchronization Setup (configurazione della Sincronizzazione con Active Directory), cliccare su AD Filters (filtri di AD).
  5. Nella casella Custom filters (filtri personalizzati), immettere il lastLogonTimestamp e la data e l'ora limite convertite.
    Ad esempio: lastLogonTimestamp >=132581431640000000.
  6. Verificare le impostazioni e i filtri ed effettuare la sincronizzazione.