Zum Inhalt

Verzeichnisdienst einrichten

Sie benötigen einen Verzeichnisdienst zur Verwaltung Ihrer Benutzergruppen.

Sie können Microsoft Azure AD oder Active Directory verwenden. Bei der Auswahl sollten Sie Folgendes beachten:

  • Wenn Sie Azure AD verwenden, können Sie es auch als Ihren Identitätsanbieter verwenden.

  • Wenn Sie Active Directory verwenden, benötigen Sie einen separaten Identitätsanbieter, z. B. Okta.

In unseren Anweisungen zeigen wir Ihnen, wie Sie Microsoft Azure AD einrichten.

Um Azure AD zur Verwaltung Ihrer Benutzer zu verwenden, müssen Sie einen Azure AD-Mandanten erstellen, die ZTNA-Anwendung registrieren und Benutzergruppen einrichten.

Sie müssen bereits über ein Azure AD-Konto verfügen.

Hinweis

Aktuelle Hilfeinformationen finden Sie in der Azure AD-Dokumentation von Microsoft.

Erstellen eines Azure AD-Mandanten

  1. Melden Sie sich bei Ihrem Azure-Portal an.
  2. Wählen Sie Azure Active Directory.

    Azure-Portal

  3. Klicken Sie in der Azure AD-Übersicht auf Mandanten erstellen.

    Azure AD – Übersicht

  4. Wählen Sie auf der Registerkarte Grundlagen Azure Active Directory aus. Klicken Sie dann auf Weiter: Configuration.

    Registerkarte „Mandanten-Grundlagen“ in Azure AD

  5. Geben Sie auf der Registerkarte KonfigurationTab Details zu Ihrem Unternehmen und Ihrem Domänennamen ein. Klicken Sie auf Weiter: Überprüfen + Erstellen.

    Registerkarte für die Mandantenkonfiguration in Azure AD

  6. Überprüfen Sie auf der nächsten Seite Ihre Einstellungen und klicken Sie auf Erstellen.

    Letzter Bildschirm zum Erstellen eines Mandanten in Azure AD

Registrieren Sie die ZTNA-Anwendung

  1. Wählen Sie Verwalten > App-Registrierungen und klicken Sie auf Neue Registrierung.

    Seite „App-Registrierungen“ in Azure AD

  2. Gehen Sie auf der Seite Anwendungsregistrierung wie folgt vor:

    1. Geben Sie einen Namen ein.
    2. Akzeptieren Sie den standardmäßig unterstützten Kontotyp.
    3. Legen Sie eine Umleitungs-URL fest. Dies ist die Adresse, an die Authentifizierungsantworten gesendet werden. Sie muss den ZTNA-Gateway-Domänennamen (FQDN) enthalten. Eine Beispiel-URL lautet: gw.mycompany.net/oauth2/callback

      Sie können mehrere Gateway-FQDNs hinzufügen. Sie können auch jederzeit weitere FQDNs hinzufügen.

    4. Klicken Sie auf Registrieren.

      Registrieren Sie eine Anwendungsseite in Azure AD

  3. Wählen Sie Verwalten > API-Berechtigungen. Klicken Sie anschließend auf Berechtigung hinzufügen.

    API-Berechtigungsseite in Azure AD

  4. Weisen Sie Sophos Central unter API-Berechtigungen die erforderlichen Berechtigungen zum Lesen von Benutzergruppen zu. Sie müssen Microsoft Graph API-Berechtigungen wie folgt hinzufügen.

    Wählen Sie Delegierte Berechtigungen aus, und fügen Sie diese hinzu:

    • Directory.Read.All
    • Group.Read.All
    • openID
    • profile („profile“ befindet sich im OpenID-Berechtigungssatz)
    • User.Read
    • User.Read.All

    Wählen Sie Anwendungsberechtigungen aus und fügen Sie Folgendes hinzu:

    • Directory.Read.All

    Delegierte Berechtigungen gelten für Anwendungen, die mit einem angemeldeten Benutzer ausgeführt werden. Anwendungsberechtigungen ermöglichen die Ausführung von Diensten ohne Benutzeranmeldung.

    API-Berechtigungen anfordern

  5. Derzeit benötigen Sie auch eine Azure AD Graph API-Berechtigung, die auf einer anderen Seite verfügbar ist. Gehen Sie wie folgt vor, um diese Berechtigung zu suchen und hinzuzufügen:

    1. Gehen Sie unter API auswählen zu Von meiner Organisation verwendete APIs.
    2. Suchen Sie nach Windows Azure Active Directory.

      API-Berechtigungssuche

    3. Klicken Sie auf das Suchergebnis, um die Berechtigungsliste für Azure Active Directory Graph anzuzeigen.

    4. Wählen Sie Anwendungsberechtigungen aus.
    5. Klicken Sie auf Berechtigung hinzufügenund fügen Sie „Directory.ReadWrite.All“ hinzu.

    Diese Berechtigung ist erforderlich, bis Sophos Central vollständig auf Microsoft Graph-APIs umschaltet.

  6. Auf der Seite API-Berechtigungen können Sie jetzt die Berechtigungen sehen, die Sie hinzugefügt haben. Klicken Sie auf Admin-Zustimmung erteilen, um die Zustimmung zu erteilen, die Berechtigungen benötigen.

    Abgeschlossene API-Berechtigungen

  7. Notieren Sie sich auf der Übersichtsseite der Anwendung die folgenden Details. Sie benötigen diese später.

    • Client-ID
    • Mandanten-ID

    Anwendungsdetails in Azure AD

  8. Klicken Sie auf Zertifikate und Geheimnisse. Erstellen Sie einen geheimen Clientschlüssel, notieren Sie sich den Wert des geheimen Clientschlüssels und speichern Sie ihn sicher.

    Warnung

    Der geheime Clientschlüssel wird nicht mehr angezeigt. Sie können ihn später nicht wiederherstellen.

    Neuer Client-Schlüssel in Azure AD

Erstellen Sie eine Azure AD-Benutzergruppe

Hinweis

In diesem Abschnitt wird davon ausgegangen, dass Sie eine neue Benutzergruppe erstellen. Sie können eine vorhandene Gruppe verwenden, bei der jedoch Sicherheit aktiviert sein muss. Bei in Azure AD erstellten Gruppen ist Sicherheit automatisch aktiviert, bei Gruppen, die über das Microsoft 365-Portal erstellt oder aus AD importiert wurden, jedoch nicht.

So erstellen Sie eine Benutzergruppe in Azure AD:

  1. Melden Sie sich beim Azure-Portal mit einem globalen Administratorkonto für das Verzeichnis an.
  2. Wählen Sie Azure Active Directory.
  3. Wählen Sie auf der Seite Active Directory die Option Gruppen. Klicken Sie auf Neue Gruppe.

    Screenshot der Seite „Gruppen“ in Azure AD

  4. Füllen Sie im Dialogfeld Neue Gruppe die folgenden Felder aus:

    1. Wählen Sie einen Gruppentyp aus. In diesem Beispiel Microsoft 365.
    2. Geben Sie einen Gruppennamen ein.
    3. Geben Sie eine Gruppen-E-Mail-Adresse ein oder akzeptieren Sie die angezeigte Standardadresse.
    4. Wählen Sie die den Mitgliedschaftstyp aus. Verwenden Sie Zugewiesen. Dabei können Sie bestimmte Benutzer auswählen und ihnen eindeutige Berechtigungen erteilen.
    5. Klicken Sie auf Erstellen.

      Die Gruppe wird erstellt.

    Screenshot des Dialogfelds „Neue Gruppe“ in Azure AD

  5. Klicken Sie auf der Seite der neuen Gruppe auf Mitglieder. Verfahren Sie dann wie folgt:

    1. Klicken Sie auf Mitglieder hinzufügen.
    2. Suchen Sie nach den gewünschten Benutzern, und klicken Sie auf sie.
    3. Wenn Sie fertig sind, klicken Sie auf Auswählen.

    Screenshot von der Registerkarte „Mitglieder“ in Azure AD

    Als Nächstes gehen Sie zu Sophos Central, um Benutzergruppen mit Azure AD zu synchronisieren.