Aller au contenu

Configurer le service d’annuaire

La gestion de vos utilisateurs et vos groupes se fait par le biais d’un service d’annuaire.

Vous pouvez utiliser Microsoft Entra ID (Azure AD) ou Active Directory. Pour vous aider à choisir, tenez compte des points suivants :

  • Si vous utilisez Microsoft Entra ID (Azure AD), vous pouvez également l’utiliser en tant que fournisseur d’identité

  • Si vous utilisez Active Directory, vous aurez besoin d’un fournisseur d’identité différent, tel que Okta.

Nos instructions vous indiquent comment configurer Microsoft Entra ID (Azure AD).

Pour gérer vos utilisateurs avec Microsoft Entra ID (Azure AD), vous devez créer un locataire Microsoft Entra ID (Azure AD), enregistrer l’application ZTNA et configurer des groupes d’utilisateurs.

Vous devez déjà avoir un compte Microsoft Entra ID (Azure AD).

Remarque

Nous vous recommandons de vérifier la documentation la plus récente de Microsoft. Voir la Documentation de Microsoft Entra ID.

Créer un locataire Microsoft Entra ID (Azure AD)

  1. Connectez-vous à votre portail Azure.
  2. Sélectionnez Azure Active Directory.

    Portail Azure.

  3. Dans la Vue générale de Microsoft Entra ID (Azure AD), cliquez sur Créer un locataire.

    Vue générale de Microsoft Entra ID (Azure AD).

  4. Dans l’onglet données de base, sélectionnez Azure Active Directory. Cliquez ensuite sur Suivant : Configuration.

    Onglet Locataire de base dans Microsoft Entra ID (Azure AD).

  5. Dans l’onglet Configuration, saisissez les détails de votre organisation et de votre nom de domaine. Cliquez sur Suivant : Revoir + Créer.

    Onglet Configuration du locataire dans Microsoft Entra ID (Azure AD).

  6. Sur la page suivante, vérifiez vos paramètres et cliquez sur Créer.

    Dernier écran pour créer un locataire dans Microsoft Entra ID (Azure AD).

Enregistrer l’appli ZTNA

  1. Sélectionnez Gestion > Enregistrements d’applis et cliquez sur Nouvel enregistrement.

    Page Enregistrements d’applis dans Microsoft Entra ID (Azure AD).

  2. Sur la page Enregistrer une application, procédez de la manière suivante :

    1. Saisissez un nom.
    2. Acceptez le type de compte pris en charge par défaut.
    3. Définissez une URI de redirection. Il s’agit de l’adresse à laquelle les réponses d’authentification sont envoyées. Elle doit inclure le nom de domaine (FQDN) de la passerelle ZTNA. Voici un exemple d’URI : gw.mycompany.net/oauth2/callback

      Remarque

      Si vous configurez une passerelle sur Sophos Firewall, ajoutez un nouvel URI de redirection au format suivant : https://<gateway’s external FQDN>/ztna-oauth2/callback.

      Vous pouvez ajouter plusieurs noms de domaine complets (FQDN) de passerelle. Vous pouvez également ajouter plus de noms de domaine complets à tout moment de votre choix.

    4. Cliquez sur Inscrire.

      Page Enregistrer une application dans Microsoft Entra ID (Azure AD).

  3. Sélectionnez Gestion > Autorisations des API. Cliquez ensuite sur Ajouter une autorisation.

    Page Autorisations des API dans Microsoft Entra ID (Azure AD).

  4. Dans Demander des autorisations d’API, attribuez à Sophos Central les autorisations nécessaires pour lire les groupes d’utilisateurs. Vous devez ajouter les autorisations Microsoft Graph API. Procédez de la manière suivante.

    Sélectionnez Autorisations déléguées et ajoutez-les :

    • Directory.Read.All
    • Group.Read.All
    • openID
    • Profil (le profil se trouve dans la série d’autorisations OpenID)
    • User.Read
    • User.Read.All

    Sélectionnez Autorisations d’application et ajoutez ceci :

    • Directory.Read.All

    Les autorisations déléguées sont pour applis s’exécutant avec un utilisateur connecté. Les autorisations d’application permettent aux services de s’exécuter sans connexion utilisateur.

    Page Demander des Autorisations d’API.

  5. Sur la page Autorisations d’API, vous voyez désormais les autorisations que vous avez ajoutées. Cliquez sur Accorder l’autorisation de l’administrateur pour donner le l’accord requis par les autorisations.

    Autorisations d’API terminées.

  6. Sur la page Aperçu de l’application, notez les détails suivants : Vous en aurez besoin plus tard.

    • Client ID
    • ID du locataire

    Détails de l’appli dans Microsoft Entra ID (Azure AD).

  7. Cliquez sur Certificats et clés secrètes. Créez une Clé secrète client, notez la Valeur de la clé secrète client et stockez-la en toute sécurité.

    Avertissement

    La clé secrète client ne se réaffichera pas. Vous ne pourrez pas la récupérer plus tard.

    Nouveau secret client dans Microsoft Entra ID (Azure AD).

Créer un groupe d’utilisateurs Microsoft Entra ID (Azure AD)

Avertissement

Cette section suppose que vous créez un nouveau groupe d’utilisateurs. Si vous importez des groupes d’utilisateurs à partir du portail Microsoft O365, veuillez-vous assurer qu’ils sont sécurisés. La sécurité des groupes créés dans Microsoft Entra ID (Azure AD) est automatiquement activée.

Pour créer un groupe d’utilisateurs dans Microsoft Entra ID (Azure AD), procédez de la manière suivante :

  1. Connectez-vous au Portail Azure à l’aide d’un compte d’administrateur général (Global administrator) pour l’annuaire.
  2. Sélectionnez Azure Active Directory.
  3. Sur la page Active Directory, sélectionnez Groupes. Cliquez sur Nouveau groupe.

    Page Groupes dans Microsoft Entra ID (Azure AD).

  4. Dans la boîte de dialogue Nouveau groupe, remplissez les champs suivants :

    1. Sélectionnez un Type de groupe. Dans cet exemple, nous avons sélectionné Microsoft 365.
    2. Saisissez le Nom du groupe.
    3. Saisissez une Adresse email de groupe ou acceptez l’adresse par défaut indiquée.
    4. Sélectionnez le Type de stratégie. Cliquez sur Assigné, qui vous permet de choisir des utilisateurs spécifiques et de leur donner des autorisations uniques.
    5. Cliquez sur Créer.

      Le groupe est créé.

    Boîte de dialogue Nouveau groupe dans Microsoft Entra ID (Azure AD).

  5. Pour vérifier que la sécurité du groupe d’utilisateurs créé est activée, procédez comme suit :

    1. Allez dans Gérer la vue > Modifier les colonnes.
    2. Sous Colonnes, sélectionnez Sécurité activée, puis cliquez sur Enregistrer.

      Sélectionnez la colonne Sécurité activée.

    3. Dans la colonne Sécurité activée, l’état doit indiquer Oui.

  6. Sur la page du nouveau groupe, cliquez sur Membres. Procédez ensuite comme suit :

    1. Cliquez sur Ajouter des membres.
    2. Recherchez les utilisateurs souhaités et cliquez dessus.
    3. Lorsque vous avez terminé, cliquez sur Sélectionner.

    Onglet Membres dans Microsoft Entra ID (Azure AD).

    Ensuite, rendez-vous dans Sophos Central pour synchroniser les groupes d’utilisateurs avec Microsoft Entra ID (Azure AD).