Pular para o conteúdo

Configurar serviço de diretório

Você precisa de um serviço de diretório para gerenciar os seus grupos de usuários.

Você pode usar o Microsoft Entra ID (Azure AD) ou o Active Directory. Para ajudá-lo a decidir qual usar, considere o seguinte:

  • Se você usar o Microsoft Entra ID (Azure AD), também poderá usá-lo como seu provedor de identidade.

  • Se você usar o Active Directory, precisará de um provedor de identidade separado, como o Okta.

Em nossas instruções, mostramos como configurar o Microsoft Entra ID (Azure AD).

Para usar o Microsoft Entra ID (Azure AD) para gerenciar seus usuários, você precisa criar um locatário do Microsoft Entra ID (Azure AD), registrar o aplicativo ZTNA e configurar grupos de usuários.

Você já deverá ter uma conta do Microsoft Entra ID (Azure AD).

Nota

Recomendamos que você verifique a documentação mais recente da Microsoft. Consulte a Documentação do Microsoft Entra ID (Azure AD).

Criar um locatário do Microsoft Entra ID (Azure AD)

  1. Faça login no seu portal Azure.
  2. Selecione Azure Active Directory.

    Portal Azure.

  3. Na visão geral do Microsoft Entra ID (Azure AD), clique em Criar um locatário.

    Visão geral do Microsoft Entra ID (Azure AD).

  4. Na guia Básico, selecione Azure Active Directory. Em seguida, clique em Avançar: Configuração.

    Guia de informações básicas do locatário no Microsoft Entra ID (Azure AD).

  5. Na guia Configuração, insira os detalhes da organização e do nome de domínio. Clique em Avançar: Revisar + Criar.

    Guia de configuração do locatário no Microsoft Entra ID (Azure AD).

  6. Na próxima página, revise suas configurações e clique em Criar.

    Tela final para criar o locatário no Microsoft Entra ID (Azure AD).

Registrar o aplicativo ZTNA

  1. Selecione Gerenciar > Registros de aplicativos e clique em Novo registro.

    Página Registros de aplicativos no Microsoft Entra ID (Azure AD).

  2. Na página Registrar um aplicativo, faça o seguinte:

    1. Insira um nome.
    2. Aceite o tipo de conta suportado padrão.
    3. Defina um URI de redirecionamento. Este é o endereço para o qual as respostas de autenticação são enviadas. Ele deve incluir o nome de domínio do gateway ZTNA (FQDN). Um exemplo de URI: gw.mycompany.net/oauth2/callback

      Nota

      Se você configurar um gateway no Sophos Firewall, deverá adicionar um novo URI de redirecionamento no seguinte formato: https://<gateway’s external FQDN>/ztna-oauth2/callback.

      Você pode adicionar vários FQDNs de gateway. Você também pode adicionar mais FQDNs a qualquer momento.

    4. Clique em Registrar.

      Registrar uma página de aplicativo no Microsoft Entra ID (Azure AD).

  3. Selecione Gerenciar > Permissões de API. Depois, clique em Adicionar uma permissão.

    Página de permissões de API no Microsoft Entra ID (Azure AD).

  4. Em Solicitar permissões de API, dê ao Sophos Central as permissões necessárias para ler grupos de usuários. Você precisa adicionar permissões de API do Microsoft Graph, como segue.

    Selecione Permissões delegadas e adicione:

    • Directory.Read.All
    • Group.Read.All
    • openID
    • profile (perfil está em 'profile' no conjunto de permissões OpenID)
    • User.Read
    • User.Read.All

    Selecione Permissões do aplicativo e adicione:

    • Directory.Read.All

    As permissões delegadas são para aplicativos executados com um usuário conectado. As permissões de aplicativo permitem que os serviços sejam executados sem um login de usuário.

    Página Solicitar permissões de API.

  5. Na página Permissões da API, agora você pode ver as permissões que adicionou. Clique em Conceder consentimento de administração para dar o consentimento que as permissões precisam.

    Permissões de API preenchidas.

  6. Na página Visão geral do aplicativo, anote os detalhes a seguir. Você precisará deles mais tarde.

    • ID do cliente
    • ID do locatário

    Detalhes de aplicativos no Microsoft Entra ID (Azure AD).

  7. Clique em Certificados e segredos. Crie o Segredo do cliente, anote o Valor do segredo do cliente e guarde-o com segurança.

    Alerta

    O segredo do cliente não é mostrado novamente. Você não pode recuperá-lo mais tarde.

    Novo segredo do cliente no Microsoft Entra ID (Azure AD).

Criar um grupo de usuários no Microsoft Entra ID (Azure AD)

Alerta

Esta seção presume que você criou um novo grupo de usuários. Se você importar grupos de usuários do portal do Microsoft O365, deverá garantir que a segurança esteja habilitada. Os grupos criados no Microsoft Entra ID (Azure AD) têm a segurança habilitada automaticamente.

Para criar um grupo no Microsoft Entra ID (Azure AD), faça o seguinte.

  1. Entre no Portal Azure usando uma conta de administrador global para o diretório.
  2. Selecione Azure Active Directory.
  3. Na página Active Directory, selecione Grupos. Clique em Novo grupo.

    Página Grupos no Microsoft Entra ID (Azure AD).

  4. Na caixa de diálogo Novo grupo, preencha os seguintes campos:

    1. Selecione um Tipo de grupo. Neste exemplo, o Microsoft 365.
    2. Insira o Nome do grupo.
    3. Insira um Endereço de e-mail do grupo ou aceite o endereço padrão mostrado.
    4. Selecione o Tipo de associação. Use Atribuído, que permite escolher usuários específicos e conceder permissões exclusivas a eles.
    5. Clique em Criar.

      O grupo é criado.

    Caixa de diálogo Novo grupo no Microsoft Entra ID (Azure AD).

  5. Para verificar se o grupo de usuários criado está habilitado para segurança, faça o seguinte:

    1. Vá para Gerenciar exibição > Editar colunas.
    2. Em Colunas, selecione Segurança habilitada e clique em Salvar.

      Selecione a coluna de segurança habilitada.

    3. Na coluna Segurança habilitada, o status deve aparecer como Sim.

  6. Na página do novo grupo, clique em Membros. Depois siga este procedimento:

    1. Clique em Adicionar membros.
    2. Procure os usuários desejados e clique neles.
    3. Quando terminar, clique em Selecionar.

    Guia Membros no Microsoft Entra ID (Azure AD).

    Em seguida, vá para o Sophos Central para sincronizar os grupos de usuários com o Microsoft Entra ID (Azure AD).