LDAP-Verbindung konfigurieren
Wenn Sie in Sophos Central Benutzerkonten aus Active Directory (AD) verwenden, können Sie eine LDAP-Verbindung zwischen Sophos Mobile und AD konfigurieren. Dadurch können Benutzer ihre AD-Anmeldeinformationen für Apple Business Manager, Google Zero-Touch und Samsung KME verwenden.
Voraussetzung
Ihre Firewall erlaubt eingehende Verbindungen von Sophos Central. Siehe IP-Adressen für AD- und SCEP-Verbindungen.
Folgende Geräte registrieren sich automatisch bei Sophos Mobile, wenn Benutzer sie einrichten:
- iPhones, iPads und Macs aus Apple Business Manager
- Android-Geräte, die für die Zero-Touch-Registrierung von Google registriert sind
- Samsung-Android-Geräte, die für Knox Mobile Enrollment (KME) registriert sind
Während der Registrierung verbindet sich Sophos Mobile mit Ihrem AD-Server, um den Benutzer zu authentifizieren.
Wenn Sie keine LDAP-Verbindung konfigurieren, können nur Benutzer, die Sie zum Sophos Central Self Service Portal eingeladen haben, Geräte aus Apple Business Manager, Google-Zero-Touch-Geräte oder Samsung-KME-Geräte einrichten.
Hinweis
Die Authentifizierung schlägt fehl, falls die E-Mail-Adresse in Sophos Central nicht mit dem Active-Directory-Attribut mail
übereinstimmt. Wir empfehlen, dass Sie in Sophos Central regelmäßig eine Active-Directory-Synchronisierung durchführen.
So konfigurieren Sie eine LDAP-Verbindungen:
- Gehen Sie im Menü zu Einrichtung > Sophos-Einrichtung und dann zum Tab LDAP-Verbindung.
- Klicken Sie auf Externes Benutzerverzeichnis (LDAP) konfigurieren.
-
Konfigurieren Sie auf der Seite LDAP-Server-Details folgende Einstellungen:
-
Geben Sie im Feld Primäre URL die IP-Adresse oder den Namen des primären Verzeichnisservers ein.
Der Server muss LDAPS (LDAP über SSL/TLS) unterstützen.
-
Optional: Geben Sie im Feld Sekundäre URL die IP-Adresse oder den Namen eines Verzeichnisservers ein, den Sophos Mobile verwendet, falls der primäre Server nicht erreichbar ist.
-
Geben Sie in den Feldern Benutzer und Kennwort die Anmeldeinformationen ein, die Sophos Mobile verwendet, um sich am LDAP-Server zu authentisieren.
Verwenden Sie eines der folgenden Formate:
<domain>\<user name>
<user name>@<domain>.<domain code>
Warnung
Aus Sicherheitsgründen empfehlen wir, ein Konto zu verwenden, dass keine Schreibrechte für das Verzeichnis besitzt.
-
-
Geben Sie auf der Seite Suchbasis den Distinguished Name (DN) des Suchbasisobjekts ein.
Das Suchbasisobjekt legt den Ausgangspunkt im Verzeichnis für die LDAP-Suche fest.
-
Klicken Sie auf Anwenden.