設定與 Microsoft Entra ID 進行同步

您可以將使用者和群組從 Microsoft Entra ID 同步至 Sophos Central。您可以從多個 Microsoft Entra ID 網域進行同步。

這些說明將向您示範如何設定 Microsoft Entra ID 目錄來源。有關管理目錄來源的協助，請參閱 管理您的來源。

您可以預覽正在同步的資訊。您必須先完成設定過程。

在設定與 Microsoft Entra ID 的同步之前，您必須閱讀以下章節並完成任何必要的任務：

• 需求
• 限制

如果你已經完成了這一步，請轉到 新增 Microsoft Entra ID。

需求

開始之前，您需要檢查以下要求：

• 檢查您是否具有正確的管理員角色。您必須是Sophos Central管理員才能設定目錄來源。

• 請檢查您是否有正確的 Microsoft Azure 設定和權限。您需要提供以下詳細資訊：

  • Microsoft Azure 訂閱與 Microsoft Entra ID
  • Microsoft Azure 中的 directory.readall 權限。
  • Azure 應用程式以及我們與您的 Microsoft Entra ID 通訊所需的資訊。請參見 請檢查您是否有正確的 Microsoft Azure 資訊。

• 確保 Sophos Central 中任何現有使用者或群組都有 Microsoft Entra ID 比對。

  如果任何使用者或群組都沒有相符項目，則需要在 Sophos Central 中手動管理他們。

• 確保所有 Microsoft Entra ID 使用者都具有電子郵件地址。

  使用許多 Sophos Central 工作流程時，您需要使用者擁有電子郵件地址以保護他們。

  例如，如果您使用 Sophos Email 來保護您的使用者，則傳送到未與使用者關聯的電子郵件地址的電子郵件不會被傳送。

有關與 Microsoft Entra ID 同步的更多資訊，請參見將您的工作裝置加入組織的網路。

限制

設定同步之前，您需要瞭解以下內容：

• 您無法同步同一網域的多個 Microsoft Entra ID 來源。
• 您無法將使用者或電子郵件地址同步到多個 Sophos Central Admin 帳戶。每個 Sophos Central Admin 帳戶中的使用者和電子郵件地址必須是唯一的。
• 您無法使用 Active Directory (AD) 和 Microsoft Entra ID 同步來自同一網域的使用者。
• 您無法同步處理使用者、群組和共用信箱的委派詳細資料。
• 您無法使用 Microsoft Entra ID 新增或移除裝置，然後同步處理變更。

請檢查您是否有正確的 Microsoft Azure 資訊

若要與 Microsoft Entra ID 同步，您需要一些 Microsoft Azure 資訊。

若要取得此資訊，您需要設定 Azure 應用程式。如果您設定了一個，請檢查您是否有本節所列的資訊。

若要設定 Azure 應用程式，請依照中的說明操作設定 Azure 應用程式。

如果您只使用 Microsoft Entra ID Graph Directory.Read.All 權限設定了 Azure 應用程序，並且想要變更 Microsoft Entra ID 同步設置，則必須新增 Microsoft Graph Directory.Read.All 權限。有關設定 Azure 應用程式的更多信息，請參閱 設定 Azure 應用程式。

1. 請確保您記下了以下資訊。

   • 承租戶網域
   • 應用程式 ID
   • 用戶端密碼。您需要您的用戶端密碼。
   • 用戶端密碼到期

2. 如果您遺漏了任何資訊，您可以使用「設定 Azure 應用程式」中的說明來取得。

您現在已準備好設定 Microsoft Entra ID 設定。

新增 Microsoft Entra ID

如欲新增 Microsoft Entra ID 目錄來源，請依照以下動作執行：

1. 按一下工作列中的「一般設定」 圖示。
2. 在管理下按一下目錄服務。
3. 按一下新增 Microsoft Entra ID。
4. 輸入來源的名稱。
5. 輸入描述。
6. 輸入來源的網域。
7. 按一下 下一步。

現在您可以新增 Azure 應用程式資訊。

設定 Microsoft Entra ID 同步設定

如需進行 Microsoft Entra ID 同步設定，請執行以下步驟：

1. 在設定 Azure Sync 設定中，輸入以下資訊：

   • Client ID：這是您 Azure 應用程式的應用程式 ID 。
   • 網域：這是指派給您 Microsoft Entra ID 執行個體的主要網域。
   • 用戶端密碼：這是您 Azure 應用程式的用戶端密碼。建立用戶端密碼時，可以從值欄位取得用戶端密碼值。請參見 設定 Azure 應用程式。
   • 用戶端密碼到期：這是您用戶端密碼的到期日。

   

2. 點選 測試連線 來驗證您的設定。

3. 按一下儲存以儲存設定。

4. 按一下測試連線以驗證儲存的認證。

   

現在，您可以選擇要同步的使用者和群組。

如果連線測試失敗，並出現「因用戶端 ID 無效而導致驗證失敗」錯誤，則可能是因為您使用了不正確的應用程式 ID，或 Microsoft Entra ID 管理中心停用了使用者登入。如需協助，請參閱 使用 Microsoft Entra ID 設定同步時由於客戶端 ID 無效而導致的驗證失敗錯誤。

選取要同步的使用者和群組

您可以篩選同步處理的使用者和群組。

如果切換篩選器，則要變更正在同步的使用者和群組。新篩選器中未包含的使用者和群組都將從 Sophos Central 中移除。

如果您在 Sophos Central 中有現有的使用者和群組，並且是第一次與 Microsoft Entra ID 同步，建議您選取所有使用者和群組。這爲同步服務提供了最大的使用者和群組集合以進行匹配。

如果您在 Microsoft Entra ID 中擁有複雜的群組和使用者階層，建議您在篩選使用者和群組之後再新增使用者和群組。您可以使用透過群組篩選器新增使用者或透過使用者篩選器新增使用者。

要選取使用者和群組，請執行以下動作：

1. 在選取要包括在同步中的使用者和群組中，選擇要與 Microsoft Entra ID 同步的使用者和群組。使用篩選功能可讓您同步 Microsoft Entra ID 的特定使用者與群組。

   

   有關使用這些過濾器的更多信息，請參閱 篩選使用者和群組。

2. 按一下儲存。

現在您可以設定同步排程。

設定您的同步排程。

您可以選擇同步使用者和群組的頻率。

如欲設定排程，請依照以下動作執行：

1. 移至同步排程。

2. 從以下選項中選取您的排程：

   • 每小時：我們會根據小時倍數和您選擇的當地開始時間同步您的資料。例如，從凌晨 02:00 開始，每 6 小時一次。
   • 每日：我們每天會在您所選的當地時間同步處理您的資料。
   • 每週：我們會在您所選的日期和當地時間同步處理您的資料。
   • 每月：我們會在您所選的日期同步處理您的資料。您最多可以選擇兩個日期。按一下新增一個日期即可新增第二個日期。
   • 無：當您每次都要手動同步時，請選擇此選項。

   

3. 按一下儲存。

現在您可以與 Microsoft Entra ID 同步。

與 Microsoft Entra ID 同步

您可以預覽正在同步的資訊。請參見 同步預覽。

要與 Microsoft Entra ID 同步，請執行以下操作：

1. 按一下開啟。

2. 按一下同步。

   同步狀態將更新。

3. 按一下 使用者 以檢閱對使用者所做的變更。

4. 按一下 群組 以檢閱對群組所做的變更。

同步預覽

您可以預覽正在同步的資訊。

如果已設定同步，則必須先將其關閉，然後才能產生預覽。預覽結果的有效期為七天，或直到下一次同步。

要產生預覽，請執行以下操作：

1. 按一下工作列中的「一般設定」 圖示。
2. 在管理下按一下目錄服務。
3. 選取要預覽的 Microsoft Entra ID 來源。

4. 如果來源已開啟，請按一下關閉。

   

   等待狀態變更。

   您會看到預覽按鈕和預覽索引標籤。

5. 按一下預覽按鈕以產生預覽。

   

   產生預覽時會出現橫幅。等待直至其消失。

6. 按一下預覽標籤以查看結果。

   

   您可以匯出 JSON 格式的預覽結果。

   如果預覽結果包含 20,000 條以上的記錄，則無法在預覽索引標籤中顯示預覽。您需要匯出它們。