Aller au contenu

Configurer le service d’annuaire

La gestion de vos utilisateurs et vos groupes se fait par le biais d’un service d’annuaire.

Vous pouvez utiliser Microsoft Azure AD ou Active Directory. Pour vous aider à choisir, tenez compte des points suivants :

  • Si vous utilisez Azure AD, vous pouvez également l’utiliser comme fournisseur d’identité.

  • Si vous utilisez Active Directory, vous aurez besoin d’un fournisseur d’identité différent, tel que Okta.

Nos instructions vous indiquent comment configurer Microsoft Azure AD.

Pour gérer vos utilisateurs avec Azure AD, vous devez créer un locataire Azure AD, enregistrer l’application ZTNA et configurer des groupes d’utilisateurs.

Vous devez déjà avoir un compte Azure AD.

Remarque

Nous vous recommandons de consulter la documentation de Microsoft Azure AD pour obtenir les instructions les plus récentes.

Créer un locataire Azure AD

  1. Connectez-vous à votre portail Azure.
  2. Sélectionnez Azure Active Directory.

    Portail Azure

  3. Dans la vue d’ensemble d’Azure AD, cliquez sur Créer un locataire.

    Présentation générale d’Azure AD

  4. Dans l’onglet données de base, sélectionnez Azure Active Directory. Cliquez ensuite sur Suivant : Configuration.

    Onglet Tenant Basics (Données de base du locataire) dans Azure AD

  5. Dans l’onglet Configuration, saisissez les détails de votre organisation et de votre nom de domaine. Cliquez sur Suivant : Revoir + Créer.

    Onglet Configuration du locataire dans Azure AD

  6. Sur la page suivante, vérifiez vos paramètres et cliquez sur Créer.

    Dernier écran pour créer un locataire dans Azure AD

Enregistrer l’appli ZTNA

  1. Sélectionnez Gestion > Enregistrements d’applis et cliquez sur Nouvel enregistrement.

    Page enregistrements d’applis dans Azure AD

  2. Sur la page Enregistrer une application, procédez de la manière suivante :

    1. Saisissez un nom.
    2. Acceptez le type de compte pris en charge par défaut.
    3. Définissez une URI de redirection. Il s’agit de l’adresse à laquelle les réponses d’authentification sont envoyées. Elle doit inclure le nom de domaine (FQDN) de la passerelle ZTNA. Voici un exemple d’URI : gw.mycompany.net/oauth2/callback

      Vous pouvez ajouter plusieurs noms de domaine complets (FQDN) de passerelle. Vous pouvez également ajouter plus de noms de domaine complets à tout moment de votre choix.

    4. Cliquez sur Inscrire.

      Enregistrez une page d’application dans Azure AD

  3. Sélectionnez Gestion > Autorisation des API. Cliquez ensuite sur Ajouter une autorisation.

    Page des Autorisations des API dans Azure AD

  4. Dans Demander des autorisations d’API, attribuez à Sophos Central les autorisations nécessaires pour lire les groupes d’utilisateurs. Vous devez ajouter les autorisations Microsoft Graph API. Procédez de la manière suivante.

    Sélectionnez Autorisations déléguées et ajoutez-les :

    • Directory.Read.All
    • Group.Read.All
    • openID
    • Profil (le profil se trouve dans la série d’autorisations OpenID)
    • User.Read
    • User.Read.All

    Sélectionnez Autorisations d’application et ajoutez ceci :

    • Directory.Read.All

    Les autorisations déléguées sont pour applis s’exécutant avec un utilisateur connecté. Les autorisations d’application permettent aux services de s’exécuter sans connexion utilisateur.

    Page Demander des Autorisations d’API

  5. Actuellement, vous avez également besoin d’une autorisation API Azure AD Graph, disponible sur une autre page. Pour rechercher et ajouter cette autorisation, procédez comme suit :

    1. Dans Sélectionner une API, allez sur API utilisées par mon organisation.
    2. Recherchez Windows Azure Active Directory.

      Recherche d’autorisations API

    3. Cliquez sur le résultat de la recherche pour afficher la liste des autorisations Azure Active Directory Graph.

    4. Sélectionnez Autorisations d’application.
    5. Cliquez sur Ajouter une autorisation et ajoutez Directory.ReadWrite.All.

    Cette autorisation est nécessaire jusqu’à ce que Sophos Central bascule entièrement vers les API Microsoft Graph.

  6. Sur la page Autorisations d’API, vous voyez désormais les autorisations que vous avez ajoutées. Cliquez sur Accorder l’autorisation de l’administrateur pour donner le l’accord requis par les autorisations.

    Autorisations d’API terminées

  7. Sur la page Aperçu de l’application, notez les détails suivants : Vous en aurez besoin plus tard.

    • Client ID
    • ID du locataire

    Détails de l’appli dans Azure AD

  8. Cliquez sur Certificats et clés secrètes. Créez une Clé secrète client, notez la Valeur de la clé secrète client et stockez-la en toute sécurité.

    Avertissement

    La clé secrète client ne se réaffichera pas. Vous ne pourrez pas la récupérer plus tard.

    Nouvelle clé secrète client dans Azure AD

Créer un groupe d’utilisateurs Azure AD

Remarque

Cette section suppose que vous créez un nouveau groupe d’utilisateurs. Vous pouvez utiliser un groupe existant, mais la sécurité doit être activée. Les groupes créés dans Azure AD sont automatiquement activés pour la sécurité, mais les groupes créés à partir du portail Microsoft 365 ou importés à partir d’AD ne le sont pas.

Pour créer un groupe d’utilisateurs dans Azure AD, procédez de la manière suivante :

  1. Connectez-vous au Portail Azure à l’aide d’un compte d’administrateur général (Global administrator) pour l’annuaire.
  2. Sélectionnez Azure Active Directory.
  3. Sur la page Active Directory, sélectionnez Groupes. Cliquez sur Nouveau groupe.

    Capture d’écran de la page Groupes dans Azure AD

  4. Dans la boîte de dialogue Nouveau groupe, remplissez les champs suivants :

    1. Sélectionnez un Type de groupe. Dans cet exemple, nous avons sélectionné Microsoft 365.
    2. Saisissez le Nom du groupe.
    3. Saisissez une Adresse email de groupe ou acceptez l’adresse par défaut indiquée.
    4. Sélectionnez le Type de stratégie. Cliquez sur Assigné, qui vous permet de choisir des utilisateurs spécifiques et de leur donner des autorisations uniques.
    5. Cliquez sur Créer.

      Le groupe est créé.

    Capture d’écran de la boîte de dialogue **Nouveau groupe** dans Azure AD

  5. Sur la page du nouveau groupe, cliquez sur Membres. Procédez ensuite comme suit :

    1. Cliquez sur Ajouter des membres.
    2. Recherchez les utilisateurs souhaités et cliquez dessus.
    3. Lorsque vous avez terminé, cliquez sur Sélectionner.

    Capture d’écran de l’onglet Membres dans Azure AD

    Allez ensuite dans Sophos Central pour synchroniser les groupes d’utilisateurs avec Azure AD.