Pular para o conteúdo

Configurar serviço de diretório

Você precisa de um serviço de diretório para gerenciar os seus grupos de usuários.

Você pode usar o Microsoft Azure AD ou o Active Directory. Para ajudá-lo a decidir qual usar, considere o seguinte:

  • Se você usar o Azure AD, também poderá usá-lo como seu provedor de identidade.

  • Se você usar o Active Directory, precisará de um provedor de identidade separado, como o Okta.

Em nossas instruções, mostramos como configurar o Microsoft Azure AD.

Para usar o Azure AD para gerenciar seus usuários, você precisa criar um locatário do Azure AD, registrar o aplicativo ZTNA e configurar grupos de usuários.

Você já deverá ter uma conta do Azure AD.

Nota

Recomendamos que você verifique a documentação do Azure AD da Microsoft para obter a ajuda mais recente.

Criar um locatário do Azure AD

  1. Faça login no seu portal Azure.
  2. Selecione Azure Active Directory.

    Portal Azure

  3. Na visão geral do Azure AD, clique em Criar um locatário.

    Visão geral do Azure AD

  4. Na guia Básico, selecione Azure Active Directory. Em seguida, clique em Avançar: Configuração.

    Guia de informações básicas do locatário no Azure AD

  5. Na guia Configuração, insira os detalhes da organização e do nome de domínio. Clique em Avançar: Revisar + Criar.

    Guia de configuração do locatário no Azure AD

  6. Na próxima página, revise suas configurações e clique em Criar.

    Tela final para criar o locatário no Azure AD

Registrar o aplicativo ZTNA

  1. Selecione Gerenciar > Registros de aplicativos e clique em Novo registro.

    Página Registros de aplicativos no Azure AD

  2. Na página Registrar um aplicativo, faça o seguinte:

    1. Insira um nome.
    2. Aceite o tipo de conta suportado padrão.
    3. Defina um URI de redirecionamento. Este é o endereço para o qual as respostas de autenticação são enviadas. Ele deve incluir o nome de domínio do gateway ZTNA (FQDN). Um exemplo de URI: gw.mycompany.net/oauth2/callback

      Você pode adicionar vários FQDNs de gateway. Você também pode adicionar mais FQDNs a qualquer momento.

    4. Clique em Registrar.

      Página de registro de um aplicativo no Azure AD

  3. Selecione Gerenciar > Permissões de API. Depois, clique em Adicionar uma permissão.

    Página de permissões de API no Azure AD

  4. Em Solicitar permissões de API, dê ao Sophos Central as permissões necessárias para ler grupos de usuários. Você precisa adicionar permissões de API do Microsoft Graph, como segue.

    Selecione Permissões delegadas e adicione:

    • Directory.Read.All
    • Group.Read.All
    • openID
    • profile (perfil está em 'profile' no conjunto de permissões OpenID)
    • User.Read
    • User.Read.All

    Selecione Permissões do aplicativo e adicione:

    • Directory.Read.All

    As permissões delegadas são para aplicativos executados com um usuário conectado. As permissões de aplicativo permitem que os serviços sejam executados sem um login de usuário.

    Página Solicitar permissões de API

  5. Atualmente, você também precisa de uma permissão da API do Azure AD Graph, que está disponível em uma página diferente. Para localizar e adicionar essa permissão, faça o seguinte:

    1. Em Selecionar uma API, vá para APIs que minha organização usa.
    2. Pesquise por Windows Azure Active Directory.

      Pesquisa de permissões de API

    3. Clique no resultado da pesquisa para ver a lista de permissões do Azure Active Directory Graph.

    4. Selecione Permissões do aplicativo.
    5. Clique em Adicionar permissão e adicione Directory.ReadWrite.All.

    Essa permissão é necessária até que o Sophos Central alterne totalmente para APIs do Microsoft Graph.

  6. Na página Permissões da API, agora você pode ver as permissões que adicionou. Clique em Conceder consentimento de administração para dar o consentimento que as permissões precisam.

    Permissões de API preenchidas

  7. Na página Visão geral do aplicativo, anote os detalhes a seguir. Você precisará deles mais tarde.

    • ID do cliente
    • ID do locatário

    Detalhes do aplicativo no Azure AD

  8. Clique em Certificados e segredos. Crie o Segredo do cliente, anote o Valor do segredo do cliente e guarde-o com segurança.

    Alerta

    O segredo do cliente não é mostrado novamente. Você não pode recuperá-lo mais tarde.

    Segredo do novo cliente no Azure AD

Crie um grupo de usuários do Azure AD

Nota

Esta seção presume que você criou um novo grupo de usuários. Você pode usar um grupo existente, mas ele deve estar habilitado para segurança. Os grupos criados no Azure AD são automaticamente habilitados para segurança, mas os grupos criados a partir do portal Microsoft 365 ou importados do AD não são.

Para criar um grupo no Azure AD, faça o seguinte.

  1. Entre no Portal Azure usando uma conta de administrador global para o diretório.
  2. Selecione Azure Active Directory.
  3. Na página Active Directory, selecione Grupos. Clique em Novo grupo.

    Captura de tela da página Grupos no Azure AD

  4. Na caixa de diálogo Novo grupo, preencha os campos.

    1. Selecione um Tipo de grupo. Neste exemplo, o Microsoft 365.
    2. Insira o Nome do grupo.
    3. Insira um Endereço de e-mail do grupo ou aceite o endereço padrão mostrado.
    4. Selecione o Tipo de associação. Use Atribuído, que permite escolher usuários específicos e conceder permissões exclusivas a eles.
    5. Clique em Criar.

      O grupo é criado.

    Captura de tela da caixa de diálogo Novo grupo no Azure AD

  5. Na página do novo grupo, clique em Membros. Depois siga este procedimento:

    1. Clique em Adicionar membros.
    2. Procure os usuários desejados e clique neles.
    3. Quando terminar, clique em Selecionar.

    Captura de tela da guia Membros no Azure AD

    Em seguida, vá para o Sophos Central para sincronizar os grupos de usuários com o Azure AD.