Configurer le service d’annuaire
La gestion de vos utilisateurs et vos groupes se fait par le biais d’un service d’annuaire.
Vous pouvez utiliser Microsoft Azure AD ou Active Directory. Pour vous aider à choisir, tenez compte des points suivants :
-
Si vous utilisez Azure AD, vous pouvez également l’utiliser comme fournisseur d’identité.
-
Si vous utilisez Active Directory, vous aurez besoin d’un fournisseur d’identité différent, tel que Okta.
Nos instructions vous indiquent comment configurer Microsoft Azure AD.
Pour gérer vos utilisateurs avec Azure AD, vous devez créer un locataire Azure AD, enregistrer l’application ZTNA et configurer des groupes d’utilisateurs.
Vous devez déjà avoir un compte Azure AD.
Remarque
Nous vous recommandons de consulter la documentation de Microsoft Azure AD pour obtenir les instructions les plus récentes.
Créer un locataire Azure AD
- Connectez-vous à votre portail Azure.
-
Sélectionnez Azure Active Directory.
-
Dans la vue d’ensemble d’Azure AD, cliquez sur Créer un locataire.
-
Dans l’onglet données de base, sélectionnez Azure Active Directory. Cliquez ensuite sur Suivant : Configuration.
-
Dans l’onglet Configuration, saisissez les détails de votre organisation et de votre nom de domaine. Cliquez sur Suivant : Revoir + Créer.
-
Sur la page suivante, vérifiez vos paramètres et cliquez sur Créer.
Enregistrer l’appli ZTNA
-
Sélectionnez Gestion > Enregistrements d’applis et cliquez sur Nouvel enregistrement.
-
Sur la page Enregistrer une application, procédez de la manière suivante :
- Saisissez un nom.
- Acceptez le type de compte pris en charge par défaut.
-
Définissez une URI de redirection. Il s’agit de l’adresse à laquelle les réponses d’authentification sont envoyées. Elle doit inclure le nom de domaine (FQDN) de la passerelle ZTNA. Voici un exemple d’URI : gw.mycompany.net/oauth2/callback
Vous pouvez ajouter plusieurs noms de domaine complets (FQDN) de passerelle. Vous pouvez également ajouter plus de noms de domaine complets à tout moment de votre choix.
-
Cliquez sur Inscrire.
-
Sélectionnez Gestion > Autorisation des API. Cliquez ensuite sur Ajouter une autorisation.
-
Dans Demander des autorisations d’API, attribuez à Sophos Central les autorisations nécessaires pour lire les groupes d’utilisateurs. Vous devez ajouter les autorisations Microsoft Graph API. Procédez de la manière suivante.
Sélectionnez Autorisations déléguées et ajoutez-les :
- Directory.Read.All
- Group.Read.All
- openID
- Profil (le profil se trouve dans la série d’autorisations OpenID)
- User.Read
- User.Read.All
Sélectionnez Autorisations d’application et ajoutez ceci :
- Directory.Read.All
Les autorisations déléguées sont pour applis s’exécutant avec un utilisateur connecté. Les autorisations d’application permettent aux services de s’exécuter sans connexion utilisateur.
-
Actuellement, vous avez également besoin d’une autorisation API Azure AD Graph, disponible sur une autre page. Pour rechercher et ajouter cette autorisation, procédez comme suit :
- Dans Sélectionner une API, allez sur API utilisées par mon organisation.
-
Recherchez Windows Azure Active Directory.
-
Cliquez sur le résultat de la recherche pour afficher la liste des autorisations Azure Active Directory Graph.
- Sélectionnez Autorisations d’application.
- Cliquez sur Ajouter une autorisation et ajoutez Directory.ReadWrite.All.
Cette autorisation est nécessaire jusqu’à ce que Sophos Central bascule entièrement vers les API Microsoft Graph.
-
Sur la page Autorisations d’API, vous voyez désormais les autorisations que vous avez ajoutées. Cliquez sur Accorder l’autorisation de l’administrateur pour donner le l’accord requis par les autorisations.
-
Sur la page Aperçu de l’application, notez les détails suivants : Vous en aurez besoin plus tard.
- Client ID
- ID du locataire
-
Cliquez sur Certificats et clés secrètes. Créez une Clé secrète client, notez la Valeur de la clé secrète client et stockez-la en toute sécurité.
Avertissement
La clé secrète client ne se réaffichera pas. Vous ne pourrez pas la récupérer plus tard.
Créer un groupe d’utilisateurs Azure AD
Remarque
Cette section suppose que vous créez un nouveau groupe d’utilisateurs. Vous pouvez utiliser un groupe existant, mais la sécurité doit être activée. Les groupes créés dans Azure AD sont automatiquement activés pour la sécurité, mais les groupes créés à partir du portail Microsoft 365 ou importés à partir d’AD ne le sont pas.
Pour créer un groupe d’utilisateurs dans Azure AD, procédez de la manière suivante :
- Connectez-vous au Portail Azure à l’aide d’un compte d’administrateur général (Global administrator) pour l’annuaire.
- Sélectionnez Azure Active Directory.
-
Sur la page Active Directory, sélectionnez Groupes. Cliquez sur Nouveau groupe.
-
Dans la boîte de dialogue Nouveau groupe, remplissez les champs suivants :
- Sélectionnez un Type de groupe. Dans cet exemple, nous avons sélectionné Microsoft 365.
- Saisissez le Nom du groupe.
- Saisissez une Adresse email de groupe ou acceptez l’adresse par défaut indiquée.
- Sélectionnez le Type de stratégie. Cliquez sur Assigné, qui vous permet de choisir des utilisateurs spécifiques et de leur donner des autorisations uniques.
-
Cliquez sur Créer.
Le groupe est créé.
-
Sur la page du nouveau groupe, cliquez sur Membres. Procédez ensuite comme suit :
- Cliquez sur Ajouter des membres.
- Recherchez les utilisateurs souhaités et cliquez dessus.
- Lorsque vous avez terminé, cliquez sur Sélectionner.
Allez ensuite dans Sophos Central pour synchroniser les groupes d’utilisateurs avec Azure AD.