Configurar serviço de diretório
Você precisa de um serviço de diretório para gerenciar os seus grupos de usuários.
Você pode usar o Microsoft Azure AD ou o Active Directory. Para ajudá-lo a decidir qual usar, considere o seguinte:
-
Se você usar o Azure AD, também poderá usá-lo como seu provedor de identidade.
-
Se você usar o Active Directory, precisará de um provedor de identidade separado, como o Okta.
Em nossas instruções, mostramos como configurar o Microsoft Azure AD.
Para usar o Azure AD para gerenciar seus usuários, você precisa criar um locatário do Azure AD, registrar o aplicativo ZTNA e configurar grupos de usuários.
Você já deverá ter uma conta do Azure AD.
Nota
Recomendamos que você verifique a documentação do Azure AD da Microsoft para obter a ajuda mais recente.
Criar um locatário do Azure AD
- Faça login no seu portal Azure.
-
Selecione Azure Active Directory.
-
Na visão geral do Azure AD, clique em Criar um locatário.
-
Na guia Básico, selecione Azure Active Directory. Em seguida, clique em Avançar: Configuração.
-
Na guia Configuração, insira os detalhes da organização e do nome de domínio. Clique em Avançar: Revisar + Criar.
-
Na próxima página, revise suas configurações e clique em Criar.
Registrar o aplicativo ZTNA
-
Selecione Gerenciar > Registros de aplicativos e clique em Novo registro.
-
Na página Registrar um aplicativo, faça o seguinte:
- Insira um nome.
- Aceite o tipo de conta suportado padrão.
-
Defina um URI de redirecionamento. Este é o endereço para o qual as respostas de autenticação são enviadas. Ele deve incluir o nome de domínio do gateway ZTNA (FQDN). Um exemplo de URI: gw.mycompany.net/oauth2/callback
Você pode adicionar vários FQDNs de gateway. Você também pode adicionar mais FQDNs a qualquer momento.
-
Clique em Registrar.
-
Selecione Gerenciar > Permissões de API. Depois, clique em Adicionar uma permissão.
-
Em Solicitar permissões de API, dê ao Sophos Central as permissões necessárias para ler grupos de usuários. Você precisa adicionar permissões de API do Microsoft Graph, como segue.
Selecione Permissões delegadas e adicione:
- Directory.Read.All
- Group.Read.All
- openID
- profile (perfil está em 'profile' no conjunto de permissões OpenID)
- User.Read
- User.Read.All
Selecione Permissões do aplicativo e adicione:
- Directory.Read.All
As permissões delegadas são para aplicativos executados com um usuário conectado. As permissões de aplicativo permitem que os serviços sejam executados sem um login de usuário.
-
Atualmente, você também precisa de uma permissão da API do Azure AD Graph, que está disponível em uma página diferente. Para localizar e adicionar essa permissão, faça o seguinte:
- Em Selecionar uma API, vá para APIs que minha organização usa.
-
Pesquise por Windows Azure Active Directory.
-
Clique no resultado da pesquisa para ver a lista de permissões do Azure Active Directory Graph.
- Selecione Permissões do aplicativo.
- Clique em Adicionar permissão e adicione Directory.ReadWrite.All.
Essa permissão é necessária até que o Sophos Central alterne totalmente para APIs do Microsoft Graph.
-
Na página Permissões da API, agora você pode ver as permissões que adicionou. Clique em Conceder consentimento de administração para dar o consentimento que as permissões precisam.
-
Na página Visão geral do aplicativo, anote os detalhes a seguir. Você precisará deles mais tarde.
- ID do cliente
- ID do locatário
-
Clique em Certificados e segredos. Crie o Segredo do cliente, anote o Valor do segredo do cliente e guarde-o com segurança.
Alerta
O segredo do cliente não é mostrado novamente. Você não pode recuperá-lo mais tarde.
Crie um grupo de usuários do Azure AD
Nota
Esta seção presume que você criou um novo grupo de usuários. Você pode usar um grupo existente, mas ele deve estar habilitado para segurança. Os grupos criados no Azure AD são automaticamente habilitados para segurança, mas os grupos criados a partir do portal Microsoft 365 ou importados do AD não são.
Para criar um grupo no Azure AD, faça o seguinte.
- Entre no Portal Azure usando uma conta de administrador global para o diretório.
- Selecione Azure Active Directory.
-
Na página Active Directory, selecione Grupos. Clique em Novo grupo.
-
Na caixa de diálogo Novo grupo, preencha os campos.
- Selecione um Tipo de grupo. Neste exemplo, o Microsoft 365.
- Insira o Nome do grupo.
- Insira um Endereço de e-mail do grupo ou aceite o endereço padrão mostrado.
- Selecione o Tipo de associação. Use Atribuído, que permite escolher usuários específicos e conceder permissões exclusivas a eles.
-
Clique em Criar.
O grupo é criado.
-
Na página do novo grupo, clique em Membros. Depois siga este procedimento:
- Clique em Adicionar membros.
- Procure os usuários desejados e clique neles.
- Quando terminar, clique em Selecionar.
Em seguida, vá para o Sophos Central para sincronizar os grupos de usuários com o Azure AD.