Zum Inhalt

Verzeichnisdienst einrichten

Sie benötigen einen Verzeichnisdienst zur Verwaltung Ihrer Benutzergruppen.

Sie können Microsoft Entra ID (Azure AD) oder Active Directory hinzufügen. Bei der Auswahl sollten Sie Folgendes beachten:

  • Wenn Sie Microsoft Entra ID (Azure AD) verwenden, können Sie es auch als Identitätsanbieter verwenden.

  • Wenn Sie Active Directory verwenden, benötigen Sie einen separaten Identitätsanbieter, z. B. Okta.

In unseren Anweisungen erfahren Sie, wie Sie Microsoft Entra ID (Azure AD) einrichten.

Um Microsoft Entra ID (Azure AD) zur Verwaltung Ihrer Benutzer zu verwenden, müssen Sie einen Microsoft Entra ID (Azure AD)-Mandanten erstellen, die ZTNA-Anwendung registrieren und Benutzergruppen einrichten.

Dazu müssen Sie bereits über ein Microsoft Entra ID (Azure AD)-Konto verfügen.

Hinweis

Wir empfehlen Ihnen, die aktuelle Dokumentation von Microsoft zu überprüfen. Siehe Übersicht zu Microsoft Entra ID (Azure AD).

Microsoft Entra ID (Azure AD)-Mandanten erstellen

  1. Melden Sie sich bei Ihrem Azure-Portal an.
  2. Wählen Sie Azure Active Directory.

    Azure-Portal.

  3. Klicken Sie in der Übersicht zu Microsoft Entra ID (Azure AD) auf Mandanten erstellen.

    Übersicht zu Microsoft Entra ID (Azure AD).

  4. Wählen Sie auf der Registerkarte Grundlagen Azure Active Directory aus. Klicken Sie dann auf Weiter: Configuration.

    Registerkarte „Mandanten-Grundlagen“ in Microsoft Entra ID (Azure AD).

  5. Geben Sie auf der Registerkarte Konfiguration Ihr Unternehmen und Ihren Domänennamen ein. Klicken Sie auf Weiter: Überprüfen + Erstellen.

    Registerkarte „Mandantenkonfiguration“ in Microsoft Entra ID (Azure AD).

  6. Überprüfen Sie auf der nächsten Seite Ihre Einstellungen und klicken Sie auf Erstellen.

    Abschließender Bildschirm zum Erstellen eines Mandanten in Microsoft Entra ID (Azure AD).

Die ZTNA-Anwendung registrieren

  1. Wählen Sie Verwalten > App-Registrierungen und klicken Sie auf Neue Registrierung.

    Registrierungsseite für Anwendungen in Microsoft Entra ID (Azure AD).

  2. Gehen Sie auf der Seite Anwendungsregistrierung wie folgt vor:

    1. Geben Sie einen Namen ein.
    2. Akzeptieren Sie den standardmäßig unterstützten Kontotyp.
    3. Legen Sie eine Umleitungs-URL fest. Dies ist die Adresse, an die Authentifizierungsantworten gesendet werden. Sie muss den ZTNA-Gateway-Domänennamen (FQDN) enthalten. Beispiel-URL: gw.mycompany.net/oauth2/callback

      Hinweis

      Wenn Sie ein Gateway auf der Sophos Firewall einrichten, müssen Sie eine neue Umleitungs-URL im folgenden Format hinzufügen: https://<gateway’s external FQDN>/ztna-oauth2/callback.

      Sie können mehrere Gateway-FQDNs hinzufügen. Sie können auch jederzeit weitere FQDNs hinzufügen.

    4. Klicken Sie auf Registrieren.

      Seite zur Anwendungsregistrierung in Microsoft Entra ID (Azure AD).

  3. Wählen Sie Verwalten > API-Berechtigungen. Klicken Sie anschließend auf Berechtigung hinzufügen.

    API-Berechtigungsseite in Microsoft Entra ID (Azure AD).

  4. Weisen Sie Sophos Central unter API-Berechtigungen die erforderlichen Berechtigungen zum Lesen von Benutzergruppen zu. Sie müssen Microsoft Graph API-Berechtigungen wie folgt hinzufügen.

    Wählen Sie Delegierte Berechtigungen aus, und fügen Sie diese hinzu:

    • Directory.Read.All
    • Group.Read.All
    • openID
    • profile („profile“ befindet sich im OpenID-Berechtigungssatz)
    • User.Read
    • User.Read.All

    Wählen Sie Anwendungsberechtigungen aus und fügen Sie Folgendes hinzu:

    • Directory.Read.All

    Delegierte Berechtigungen gelten für Anwendungen, die mit einem angemeldeten Benutzer ausgeführt werden. Anwendungsberechtigungen ermöglichen die Ausführung von Diensten ohne Benutzeranmeldung.

    API-Berechtigungen anfordern.

  5. Auf der Seite API-Berechtigungen können Sie jetzt die Berechtigungen sehen, die Sie hinzugefügt haben. Klicken Sie auf Admin-Zustimmung erteilen, um die Zustimmung zu erteilen, die Berechtigungen benötigen.

    Abgeschlossene API-Berechtigungen.

  6. Notieren Sie sich auf der Übersichtsseite der Anwendung die folgenden Details. Sie benötigen diese später.

    • Client-ID
    • Mandanten-ID

    Anwendungsdetails in Microsoft Entra ID (Azure AD).

  7. Klicken Sie auf Zertifikate und Geheimnisse. Erstellen Sie einen geheimen Clientschlüssel, notieren Sie sich den Wert des geheimen Clientschlüssels und speichern Sie ihn sicher.

    Warnung

    Der geheime Clientschlüssel wird nicht mehr angezeigt. Sie können ihn später nicht wiederherstellen.

    Neuer geheimer Clientschlüssel in Microsoft Entra ID (Azure AD).

Microsoft Entra ID (Azure AD)-Benutzergruppe erstellen

Warnung

In diesem Abschnitt wird davon ausgegangen, dass Sie eine neue Benutzergruppe erstellen. Wenn Sie Benutzergruppen aus dem Microsoft-O365-Portal importieren, müssen Sie sicherstellen, dass diese die Einstellung „Sicherheit aktiviert“ haben. In Microsoft Entra ID (Azure AD) erstellte Gruppen werden automatisch für Sicherheit aktiviert.

Gehen Sie zum Erstellen einer Benutzergruppe in Microsoft Entra ID (Azure AD) wie folgt vor:

  1. Melden Sie sich beim Azure-Portal mit einem globalen Administratorkonto für das Verzeichnis an.
  2. Wählen Sie Azure Active Directory.
  3. Wählen Sie auf der Seite Active Directory die Option Gruppen. Klicken Sie auf Neue Gruppe.

    Gruppenseite in Microsoft Entra ID (Azure AD).

  4. Füllen Sie im Dialogfeld Neue Gruppe die folgenden Felder aus:

    1. Wählen Sie einen Gruppentyp aus. In diesem Beispiel Microsoft 365.
    2. Geben Sie einen Gruppennamen ein.
    3. Geben Sie eine Gruppen-E-Mail-Adresse ein oder akzeptieren Sie die angezeigte Standardadresse.
    4. Wählen Sie die den Mitgliedschaftstyp aus. Verwenden Sie Zugewiesen. Dabei können Sie bestimmte Benutzer auswählen und ihnen eindeutige Berechtigungen erteilen.
    5. Klicken Sie auf Erstellen.

      Die Gruppe wird erstellt.

    Dialogfeld „Neue Gruppe“ in Microsoft Entra ID (Azure AD).

  5. Gehen Sie wie folgt vor, um zu prüfen, ob die erstellte Benutzergruppe sicherheitsaktiviert ist:

    1. Gehen Sie zu Ansicht verwalten > Spalten bearbeiten.
    2. Wählen Sie unter Spalten die Option Sicherheit aktiviert aus und klicken Sie dann auf Speichern.

      Wählen Sie die Spalte „Sicherheit aktiviert“.

    3. In der Spalte Sicherheit aktiviert sollte der Status Ja lauten.

  6. Klicken Sie auf der Seite der neuen Gruppe auf Mitglieder. Verfahren Sie dann wie folgt:

    1. Klicken Sie auf Mitglieder hinzufügen.
    2. Suchen Sie nach den gewünschten Benutzern, und klicken Sie auf sie.
    3. Wenn Sie fertig sind, klicken Sie auf Auswählen.

    Registerkarte „Mitglieder“ in Microsoft Entra ID (Azure AD).

    Gehen Sie nun zu Sophos Central, um Benutzergruppen mit Microsoft Entra ID (Azure AD) zu synchronisieren.