設定目錄服務
您需要目錄服務來管理您的使用者群組。
您可以使用 Microsoft Azure AD 或 Active Directory。爲了幫助您決定使用哪種方法,請考慮以下事項:
-
如果您使用 Azure AD,也可以將其作為身分識別提供者使用。
-
如果使用 Active Directory,則需要單獨的身分識別提供者,如 Okta。
在我們的說明中,我們會示範如何設定 Microsoft Azure AD。
若要使用 Azure AD 管理使用者,您需要建立 Azure AD 租用戶、註冊 ZTNA 應用程式,以及設定使用者群組。
您必須已有 Azure AD 帳戶。
注意
我們建議您查看 Microsoft 的 Azure AD 文件以取得最新說明。
建立 Azure AD 租用戶
- 登入您的 Azure 入口網站。
-
選擇 Azure Active Directory。
-
在 Azure AD 概覽中,按一下建立租用戶。
-
在基礎標籤上,選擇 Azure Active Directory。然後按一下下一步:配置。
-
在設定標籤上,輸入您的組織和網域名稱詳細資料。按一下 下一步:檢視 + 建立。
-
在下一頁中,檢視您的設定,然後按一下建立。
註冊 ZTNA 應用程式
-
選擇管理 > 應用程式註冊,然後按一下新增註冊。
-
在註冊應用程式頁面上,請執行以下操作:
- 輸入名稱。
- 接受預設支援的帳戶類型。
-
設定重新導向 URI。這是驗證回應傳送到的位址。它必須包含 ZTNA 閘道網域名稱 (FQDN)。以下是 URI 範例:gw.mycompany.net/oauth2/callback
您可以新增多個閘道 FQDN。您也可以隨時新增更多 FQDN。
-
按一下註冊。
-
選擇管理 > API 權限。然後按一下新增權限。
-
在請求 API 權限中,爲 Sophos Central 授予讀取使用者群組所需的權限。您需要按如下所示新增 Microsoft Graph API 權限。
選取委派的權限並新增以下內容:
- Directory.Read.All
- Group.Read.All
- openID
- 設定檔(設定檔位於 OpenID 權限集中)
- User.Read
- User.Read.All
選取應用程式權限並新增以下內容:
- Directory.Read.All
委派權限適用於以登入使用者執行的應用程式。應用程式權限允許在沒有使用者登入的情況下執行服務。
-
目前,您也需要一個 Azure AD Graph API 權限,該權限可在不同的頁面上取得。若要尋找並新增此權限,請執行下列動作:
- 在選取 API中,前往我的組織使用的 API。
-
搜尋 Windows Azure Active Directory。
-
按一下搜尋結果以查看 Azure Active Directory Graph 權限清單。
- 選取應用程式權限。
- 按一下新增權限並新增 Directory.ReadWrite.All。
在 Sophos Central 完全切換到 Microsoft Graph API 之前,需要此權限。
-
現在,在 API 權限頁面上,您可以看到已新增的權限。按一下授予管理員同意,以授予權限所需的同意。
-
在應用程式的概覽頁面上,記下下列詳細資料。您稍後會需要這些資訊。
- Client ID
- 租用戶 ID
-
按一下憑證和密碼。建立用戶端密碼,記下用戶端密碼的值,然後安全地儲存它。
則警告
用戶端密碼不會再次顯示。您稍後無法復原。
建立 Azure AD 使用者群組
注意
本節假定您建立了新的使用者群組。您可以使用現有群組,但必須啟用安全保護功能。在 Azure AD 中建立的群組會自動啟用安全保護功能,但從 Microsoft 365 入口網站建立或從 AD 匯入的群組則不會啟用。
如需在 Azure AD 中建立使用者群組,請執行以下操作:
- 使用目錄的全域管理員帳戶登入 Azure 入口網站。
- 選擇 Azure Active Directory。
-
在 Active Directory 頁面上,選擇群組。按一下新群組。
-
在新群組對話方塊中,填寫字段。
- 選擇群組類型。在此範例中為 Microsoft 365。
- 輸入群組名稱。
- 輸入群組電子郵件位址或接受顯示的預設位址。
- 選取成員類型。透過使用已指派,您可選擇特定使用者並向其授予唯一權限。
-
點選建立。
群組已建立。
-
在新群組頁面上,按一下成員。接下來請進行以下步驟:
- 按一下新增成員。
- 搜尋您所需的使用者,然後按一下他們。
- 完成時,請按一下選取。
接下來,您可以前往 Sophos Central,將使用者群組與 Azure AD 同步處理。