Saltar al contenido

Configurar servicio de directorio

Necesita un servicio de directorio para administrar sus grupos de usuarios.

Puede utilizar Microsoft Azure AD o Active Directory. Para ayudarle a decidir cuál utilizar, tenga en cuenta lo siguiente:

  • Si utiliza Azure AD, también puede utilizarlo como proveedor de identidad.

  • Si utiliza Active Directory, necesitará un proveedor de identidad independiente como Okta.

En nuestras instrucciones, le mostramos cómo configurar Microsoft Azure AD.

Para utilizar Azure AD a fin de administrar los usuarios, debe crear un inquilino de Azure AD, registrar la aplicación ZTNA y configurar grupos de usuarios.

Ya debe tener una cuenta de Azure AD.

Nota

Le recomendamos que consulte la documentación de Microsoft Azure AD para obtener la ayuda más reciente.

Crear un inquilino de Azure AD

  1. Inicie sesión en el portal de Azure.
  2. Seleccione Azure Active Directory.

    Portal de Azure

  3. En la Información general de Azure AD, haga clic en Crear un inquilino.

    Información general de Azure AD

  4. En la ficha Básico, seleccione Azure Active Directory. A continuación, haga clic en Siguiente: Configuración.

    Ficha Básico de Creación de un inquilino en Azure AD

  5. En la ficha Configuración, introduzca los detalles de su organización y el nombre de dominio. Haga clic en Siguiente: Revisión y creación.

    Ficha Configuración de Creación de un inquilino en Azure AD

  6. En la página siguiente, revise la configuración y haga clic en Crear.

    Pantalla final de Creación de un inquilino en Azure AD

Registrar la aplicación ZTNA

  1. Seleccione Administrar > Registros de aplicaciones y haga clic en Nuevo registro.

    Página Registros de aplicaciones en Azure AD

  2. En la página Registrar una aplicación, haga lo siguiente:

    1. Escriba un nombre.
    2. Acepte el tipo de cuenta compatible predeterminado.
    3. Establezca un URI de redirección. Esta es la dirección a la que se envían las respuestas de autenticación. Debe incluir el nombre de dominio (FQDN) de la puerta de enlace ZTNA. He aquí un ejemplo de URI: gw.mycompany.net/oauth2/callback

      Puede añadir varios FQDN de puerta de enlace. También puede añadir más FQDN en cualquier momento.

    4. Haga clic en Registrar.

      Página Registrar una aplicación en Azure AD

  3. Seleccione Administrar > Permisos de API. Luego, haga clic en Agregar un permiso.

    Página Permisos de API en Azure AD

  4. En Solicitud de permisos de API, proporcione a Sophos Central los permisos necesarios para leer grupos de usuarios. Debe añadir permisos de API de Microsoft Graph, como se indica a continuación.

    Seleccione Permisos delegados y añada los siguientes:

    • Directory.Read.All
    • Group.Read.All
    • openID
    • profile (el perfil se encuentra en el conjunto de permisos OpenID)
    • User.Read
    • User.Read.All

    Seleccione Permisos de la aplicación y añada lo siguiente:

    • Directory.Read.All

    Los permisos delegados son para aplicaciones que se ejecutan con un usuario que haya iniciado sesión. Los permisos de la aplicación permiten que los servicios se ejecuten sin que un usuario haya iniciado sesión.

    Página Solicitud de permisos de API

  5. Actualmente, también necesita un permiso de API de Azure AD Graph, que está disponible en otra página. Para buscar este permiso y añadirlo, haga lo siguiente:

    1. En Seleccionar una API, vaya a API que utiliza mi organización.
    2. Busque Windows Azure Active Directory.

      Búsqueda de permisos de API

    3. Haga clic en el resultado de la búsqueda para ver la lista de permisos de Azure Active Directory Graph.

    4. Seleccione Permisos de la aplicación.
    5. Haga clic en Agregar permiso y añada Directory.ReadWrite.All.

    Este permiso es necesario hasta que Sophos Central cambie completamente a las API de Microsoft Graph.

  6. En la página Permisos de API, ahora puede ver los permisos que ha añadido. Haga clic en Conceder consentimiento de administrador para dar el consentimiento que necesitan los permisos.

    Permisos de API completados

  7. En la página Información general de la aplicación, tome nota de los datos siguientes. Los necesitará más adelante.

    • ID de cliente
    • ID de inquilino

    Detalles de la aplicación en Azure AD

  8. Haga clic en Certificados y secretos. Cree un Secreto de cliente, tome nota de su Valor y guárdelo de forma segura.

    Aviso

    El secreto del cliente no se muestra de nuevo. No puede recuperarlo más adelante.

    Nuevo secreto de cliente en Azure AD

Crear un grupo de usuarios de Azure AD

Nota

En esta sección se supone que se crea un nuevo grupo de usuarios. Puede utilizar un grupo existente, pero debe tener habilitada la seguridad. Los grupos creados en Azure AD tienen automáticamente habilitada la seguridad, pero los grupos creados desde el portal de Microsoft 365 o importados desde AD no.

Para crear un grupo de usuarios en Azure AD, haga lo siguiente.

  1. Inicie sesión en el portal de Azure utilizando una cuenta de administrador global para el directorio.
  2. Seleccione Azure Active Directory.
  3. En la página Active Directory, seleccione Grupos. Haga clic en Nuevo grupo.

    Captura de pantalla de la página Grupos en Azure AD

  4. En el cuadro de diálogo Nuevo grupo, rellene los campos.

    1. Seleccione un Tipo de grupo. En este ejemplo, Microsoft 365.
    2. Introduzca un Nombre de grupo.
    3. Introduzca una Dirección de correo electrónico del grupo o acepte la dirección predeterminada que se muestra.
    4. Seleccione el Tipo de pertenencia. Utilice Asignado, que le permite elegir usuarios específicos y darles permisos únicos.
    5. Haga clic en Crear.

      El grupo se ha creado.

    Captura de pantalla del cuadro de diálogo Nuevo grupo en Azure AD

  5. En la página del nuevo grupo, haga clic en Miembros. Luego haga lo siguiente:

    1. Haga clic en Agregar miembros.
    2. Busque los usuarios que desee y haga clic en ellos.
    3. Cuando termine, haga clic en Seleccionar.

    Captura de pantalla de la ficha Miembros en Azure AD

    A continuación, vaya a Sophos Central para sincronizar grupos de usuarios con Azure AD.