Configurar serviço de diretório

Você precisa de um serviço de diretório para gerenciar os seus grupos de usuários.

Você pode configurar o Microsoft Entra ID (Azure AD) ou o Microsoft Active Directory (no local) como seu serviço de diretório e seu provedor de identidade.

Quando você configura o Microsoft Active Directory (no local) como seu provedor de identidade, você pode definir configurações de segurança extras. Para obter informações sobre como sincronizar grupos de usuários do Microsoft Active Directory (no local) com o Sophos Central, consulte Configurar sincronização com o Active Directory.

Nas instruções a seguir, mostramos como configurar o Microsoft Entra ID (Azure AD).

Para usar o Microsoft Entra ID (Azure AD) para gerenciar seus usuários, você precisa criar um locatário do Microsoft Entra ID (Azure AD), registrar o aplicativo ZTNA e configurar grupos de usuários.

Você já deverá ter uma conta do Microsoft Entra ID (Azure AD).

Criar um locatário do Microsoft Entra ID (Azure AD)

1. Faça login no seu portal Azure.

2. Selecione Microsoft Entra ID.

   

3. Na Visão geral do Microsoft Entra ID (Azure AD), clique em Gerenciar locatários.

   

4. Na página Gerenciar locatários, clique em Criar.

   

5. Na guia Básico, selecione Azure Active Directory. Em seguida, clique em Avançar: Configuração.

   

6. Na guia Configuração, insira os detalhes da organização e do nome de domínio. Clique em Avançar: Revisar + Criar.

   

7. Na próxima página, revise suas configurações e clique em Criar.

   

Registrar o aplicativo ZTNA

1. Selecione Gerenciar > Registros de aplicativos e clique em Novo registro.

   

2. Na página Registrar um aplicativo, faça o seguinte:

   1. Insira um nome.
   2. Aceite o tipo de conta suportado padrão.

   3. Defina um URI de redirecionamento. Este é o endereço para o qual as respostas de autenticação são enviadas. Ele deve incluir o nome de domínio do gateway ZTNA (FQDN). Um exemplo de URI: gw.mycompany.net/oauth2/callback

      Nota

      Se você configurar um gateway no Sophos Firewall, deverá adicionar um novo URI de redirecionamento no seguinte formato: https://<gateway’s external FQDN>/ztna-oauth2/callback.

      Você pode adicionar vários FQDNs de gateway. Você também pode adicionar mais FQDNs a qualquer momento.

   4. Clique em Registrar.

      

3. Selecione Gerenciar > Permissões de API. Depois, clique em Adicionar uma permissão.

   

4. Em Solicitar permissões de API, dê ao Sophos Central as permissões necessárias para ler grupos de usuários. Você precisa adicionar permissões de API do Microsoft Graph, como segue.

   Selecione Permissões delegadas e adicione:

   • Directory.Read.All
   • Group.Read.All
   • openID
   • profile (perfil está em 'profile' no conjunto de permissões OpenID)
   • User.Read
   • User.Read.All

   Selecione Permissões do aplicativo e adicione:

   • Directory.Read.All

   As permissões delegadas são para aplicativos executados com um usuário conectado. As permissões de aplicativo permitem que os serviços sejam executados sem um login de usuário.

   

5. Na página Permissões da API, agora você pode ver as permissões que adicionou. Clique em Conceder consentimento de administração para dar o consentimento que as permissões precisam.

   

6. Na página Visão geral do aplicativo, anote os detalhes a seguir. Você precisará deles mais tarde.

   • ID do cliente
   • ID do locatário

   

7. Clique em Certificados e segredos. Crie o Segredo do cliente, anote o Valor do segredo do cliente e guarde-o com segurança.

   Alerta

   O segredo do cliente não é mostrado novamente. Você não pode recuperá-lo mais tarde.

   

Criar um grupo de usuários no Microsoft Entra ID (Azure AD)

Para criar um grupo no Microsoft Entra ID (Azure AD), faça o seguinte.

1. Entre no Portal Azure usando uma conta de administrador global para o diretório.
2. Selecione Microsoft Entra ID.

3. Na página Active Directory, selecione Grupos. Clique em Novo grupo.

   

4. Na caixa de diálogo Novo grupo, preencha os seguintes campos:

   1. Selecione um Tipo de grupo.
   2. Insira o Nome do grupo.
   3. Insira um Endereço de e-mail do grupo ou aceite o endereço padrão mostrado.
   4. Selecione o Tipo de associação. Use Atribuído, que permite escolher usuários específicos e conceder permissões exclusivas a eles.

   5. Clique em Criar.

      O grupo é criado.

5. Para verificar se o grupo de usuários criado está habilitado para segurança, faça o seguinte:

   1. Vá para Gerenciar exibição > Editar colunas.

   2. Em Colunas, selecione Segurança habilitada e clique em Salvar.

      

   3. Na coluna Segurança habilitada, o status deve aparecer como Sim.

6. Na página do novo grupo, clique em Membros. Depois siga este procedimento:

   1. Clique em Adicionar membros.
   2. Procure os usuários desejados e clique neles.
   3. Quando terminar, clique em Selecionar.

   

   Em seguida, vá para o Sophos Central para sincronizar os grupos de usuários com o Microsoft Entra ID (Azure AD).