Configurazione di un'applicazione Azure

Per eseguire la sincronizzazione con Azure AD, occorrono alcune informazioni relative a Microsoft Azure.

Per ottenere queste informazioni, è necessario configurare un'applicazione Azure. Se ne è stata già configurata una, è possibile saltare questa sezione.

Nota Si consiglia di consultare le pagine Aggiungere un'applicazione aziendale e Prerequisiti per accedere all'API della reportistica di Azure Active Directory per le indicazioni più aggiornate. Anche la Guida introduttiva di Microsoft per la registrazione delle applicazioni potrebbe essere utile, vedere Guida introduttiva: Registrare un'applicazione con Microsoft Identity Platform. Se le istruzioni fornite da Microsoft sono diverse dalle nostre, si consiglia di seguire quelle di Microsoft.

È necessario impostare due autorizzazioni per l'applicazione nel portale di Azure, in modo da poter utilizzare tutte le opzioni di sincronizzazione di Azure AD in Sophos Central. Le autorizzazioni da impostare sono le seguenti:

  • Azure Active Directory Graph Directory.Read.All
  • Microsoft Graph Directory.Read.All

Se l'applicazione Azure è stata configurata utilizzando solo l'autorizzazione Azure Active Directory Graph Directory.Read.All e si desidera apportare modifiche alle impostazioni di sincronizzazione di Azure AD, occorre aggiungere l'autorizzazione Microsoft Graph Directory.Read.All. Per assistenza su come svolgere questa operazione, vedere Impostazione delle autorizzazioni dell'applicazione.

Per configurare un'applicazione Azure, procedere come segue:

  1. Creare un'applicazione Azure.
  2. Creare un segreto client.
  3. Impostare le autorizzazioni dell'applicazione.
  4. Trovare le informazioni sul dominio del tenant.

Creazione di un'applicazione Azure

Per creare un'applicazione, procedere come segue:

  1. Accedere al portale Azure.
  2. Cliccare su Azure Active Directory.
  3. Nella pagina Azure Active Directory, cliccare su Applicazioni aziendali.
  4. Cliccare su Nuova applicazione nel menu in alto.

    Aggiungere una nuova applicazione Azure
  5. Cliccare su Crea un'applicazione personalizzata.

    Verrà visualizzata la finestra Crea un'applicazione personalizzata.

  6. Immettere un nome per l'applicazione, ad esempio Sophos Azure AD Sync.
  7. Selezionare Registra un'app da integrare con Azure AD (un'app che stai sviluppando).

    Screenshot che mostra un esempio della nuova app Azure
  8. Cliccare su Crea.

    Verrà visualizzata la finestra Registra un'applicazione.

  9. Sotto Tipi di account supportati, selezionare Solo account in questa directory organizzativa (tenant singolo).

    Screenshot che mostra il tipo di app a tenant singolo selezionata.
  10. Sotto URI di reindirizzamento (opzionale), selezionare Web e immettere https://central.sophos.com .

    Screenshot che mostra l'URL di reindirizzamento
  11. Cliccare su Registra.

Ora è necessario creare un segreto client.

Creazione di un segreto client

Per creare un segreto client, procedere come segue:

  1. Aprire Azure Active Directory e cliccare su Registrazioni app.

    È necessario selezionare il livello superiore nel portale di Azure e selezionare Azure Active Directory. Sarà quindi possibile selezionare Registrazioni app.


    Screenshot di Registrazioni app in Azure Active Directory.
  2. Selezionare l'applicazione appena aggiunta, in questo esempio Sophos Azure AD Sync.
  3. Prendere nota dell'ID applicazione. Queste informazioni saranno necessarie per la configurazione di Azure AD Sync in Sophos Central.
  4. Cliccare su Certificati e segreti sulla sinistra e successivamente su Nuovo segreto client.

    Screenshot che mostra la finestra Certificati e segreti
  5. Creare un segreto client.

    Screenshot che mostra la configurazione del segreto client.
  6. Prendere nota del segreto client e della scadenza del segreto client. Conservare queste informazioni in un luogo sicuro.

    Le informazioni del campo Valore sono necessarie per il segreto client.

    Nota Il segreto client non verrà visualizzato un'altra volta. Non sarà possibile recuperarlo in un secondo momento.

A questo punto, è necessario impostare le autorizzazioni dell'applicazione.

Impostazione delle autorizzazioni dell'applicazione

Per configurare le autorizzazioni, procedere come segue:

  1. Opzionale Per impostare le autorizzazioni, è necessario accedere a Registrazioni app. Aprire Azure Active Directory e cliccare su Registrazioni app.

    È necessario selezionare il livello superiore nel portale di Azure e selezionare Azure Active Directory. Sarà quindi possibile selezionare Registrazioni app.


    Screenshot di Registrazioni app in Azure Active Directory.
  2. Cliccare su Autorizzazioni API sulla sinistra e successivamente su Aggiungi un'autorizzazione.

    Screenshot che mostra l'opzione Aggiungi un'autorizzazione evidenziata.
  3. Cliccare su API utilizzate dalla mia organizzazione e successivamente su Windows Azure Active Directory.

    Autorizzazioni API Azure
  4. Selezionare l'autorizzazione (legacy) Azure Active Directory Graph > Directory.Read.All.
  5. Cliccare su Autorizzazioni delle applicazioni e procedere come segue:
    1. Sotto Directory, cliccare su Directory.Read.All.
    2. Cliccare su Aggiungi autorizzazioni.

    Richiesta autorizzazioni API Azure
  6. Occorre ora aggiungere l'autorizzazione Microsoft Graph. Per farlo, procedere come segue:
    1. Cliccare su Add a permission (Aggiungi un'autorizzazione).
    2. Sotto Request API Permission (Richiedi autorizzazione API), cliccare su Microsoft Graph.
    3. Sotto What type of permissions does your application require? (Quale tipo di autorizzazioni sono richieste dall'applicazione?), cliccare su Application permissions (Autorizzazione dell'applicazione).
      Autorizzazioni dell'applicazione Microsoft Graph
    4. Selezionare Directory dall'elenco.
    5. Sotto Directory, cliccare su Directory.Read.All.
      Autorizzazioni di Lettura della directory per Microsoft Graph
  7. Per ogni set di autorizzazioni, sotto Grant consent, (Concedi consenso), cliccare su Grant admin consent for <account> (Concedi consenso di amministrazione per <account>) e successivamente su Yes (Sì).

    Dovrebbe essere visualizzato un messaggio che indica che è stato concesso il consenso per ciascuna delle autorizzazioni.

    Applicazione Azure con autorizzazioni concesse

Occorre ora individuare le informazioni sul dominio del proprio tenant e verificare di essere in possesso di tutti i dati necessari per configurare la sincronizzazione con Azure AD in Sophos Central.

Come trovare le informazioni sul dominio del proprio tenant

È necessario prendere nota delle informazioni sul dominio del proprio tenant e verificare di essere in possesso di tutte le informazioni necessarie di Azure. Per farlo, procedere come segue:

  1. Occorre il dominio del tenant. Il dominio primario assegnato all'istanza di Azure AD. Accedere alla configurazione di Azure AD e aprire Nomi di dominio personalizzati. Prendere nota del dominio del tenant.
  2. Verificare di avere tutte le informazioni necessarie. Accertarsi di aver annotato le seguenti informazioni:
    • Dominio del tenant. Questo valore deve essere immesso in Dominio del tenant, in Sophos Central.
    • ID applicazione. Questo valore deve essere immesso in ID client, in Sophos Central.
    • Il valore del segreto client. Questo valore deve essere immesso in Chiave applicazione, in Sophos Central.
    • Scadenza del segreto client. Questo valore deve essere immesso in Scadenza del segreto client, in Sophos Central.

È ora possibile configurare le impostazioni di Azure AD. Per assistenza su come svolgere questa operazione, vedere Impostazione della sincronizzazione con Azure AD.