跳至內容

設定目錄服務

您需要目錄服務來管理您的使用者群組。

您可以將 Microsoft Entra ID (Azure AD) 或 Microsoft Active Directory (內部部署) 設定為目錄服務和身分識別提供者。

當您將 Microsoft Active Directory (內部部署) 設定為身分識別提供者時,您可以設定額外的安全設定。有關如何將 Microsoft Active Directory (內部部署) 使用者群組同步到 Sophos Central 的資訊,請參閱設定與 Active Directory 的同步

在以下說明中,我們會示範如何設定 Microsoft Entra ID (Azure AD)。

若要使用 Microsoft Entra ID (Azure AD) 管理使用者,您需要建立 Microsoft Entra ID (Azure AD) 租用戶、註冊 ZTNA 應用程式,以及設定使用者群組。

您必須已經擁有 Microsoft Entra ID (Azure AD) 帳戶。

注意

建議您查看 Microsoft 的最新文件。請參閱 Microsoft Entra ID 文件

建立 Microsoft Entra ID (Azure AD) 租用戶

  1. 登入您的 Azure 入口網站。

  2. 選擇 Microsoft Entra ID

    Azure 入口網站。

  3. 在 Microsoft Entra ID (Azure AD) 概覽中,按一下管理租用戶

    Microsoft Entra ID (Azure AD) 概覽。

  4. 管理租用戶頁面上,按一下建立

    按一下「管理租用戶」頁面上的「建立」。

  5. 基礎標籤上,選擇 Azure Active Directory。然後按一下下一步:配置

    Microsoft Entra ID (Azure AD) 中的「租用戶基礎知識」索引標籤。

  6. 設定標籤上,輸入您的組織和網域名稱詳細資料。按一下 下一步:檢視 + 建立

    Microsoft Entra ID (Azure AD) 中的「租用戶設定」索引標籤。

  7. 在下一頁中,檢視您的設定,然後按一下建立

    Microsoft Entra ID (Azure AD) 中建立租用戶的最終畫面。

註冊 ZTNA 應用程式

  1. 選擇管理 > 應用程式註冊,然後按一下新增註冊

    Microsoft Entra ID (Azure AD) 中的「應用程式註冊」頁面。

  2. 註冊應用程式頁面上,請執行以下操作:

    1. 輸入名稱。
    2. 接受預設支援的帳戶類型。

    3. 設定重新導向 URI。這是驗證回應傳送到的位址。它必須包含 ZTNA 閘道網域名稱 (FQDN)。這是一個 URL 範例:gw.mycompany.net/oauth2/callback

      注意

      如果在 Sophos Firewall 上設定閘道,則必須以以下格式新增新的重新導向 URL:https://<gateway’s external FQDN>/ztna-oauth2/callback

      您可以新增多個閘道 FQDN。您也可以隨時新增更多 FQDN。

    4. 按一下註冊

      Microsoft Entra ID (Azure AD) 中的註冊應用程式頁面。

  3. 選擇管理 > API 權限。然後按一下新增權限

    Microsoft Entra ID (Azure AD) 中的 API 權限頁面。

  4. 請求 API 權限中,爲 Sophos Central 授予讀取使用者群組所需的權限。您需要按如下所示新增 Microsoft Graph API 權限。

    選取委派的權限並新增以下內容:

    • Directory.Read.All
    • Group.Read.All
    • openID
    • 設定檔(設定檔位於 OpenID 權限集中)
    • User.Read
    • User.Read.All

    選取應用程式權限並新增以下內容:

    • Directory.Read.All

    委派權限適用於以登入使用者執行的應用程式。應用程式權限允許在沒有使用者登入的情況下執行服務。

    請求 API 權限頁面。

  5. 現在,在 API 權限頁面上,您可以看到已新增的權限。按一下授予管理員同意,以授予權限所需的同意。

    已完成 API 權限。

  6. 在應用程式的概覽頁面上,記下下列詳細資料。您稍後會需要這些資訊。

    • Client ID
    • 租用戶 ID

    Microsoft Entra ID (Azure AD) 中的應用程式詳細資料。

  7. 按一下憑證和密碼。建立用戶端密碼,記下用戶端密碼的,然後安全地儲存它。

    警告

    用戶端密碼不會再次顯示。您稍後無法復原。

    Microsoft Entra ID (Azure AD) 中的新用戶端密碼。

建立 Microsoft Entra ID (Azure AD) 使用者群組

警告

本節假定您建立了新的使用者群組。如果您從 Microsoft O365 入口網站匯入使用者群組,您必須確定他們已啟用安全功能。在 Microsoft Entra ID (Azure AD) 中建立的群組將自動啟用安全性。

要在 Microsoft Entra ID (Azure AD) 中建立使用者群組,請執行以下操作。

  1. 使用目錄的全域管理員帳戶登入 Azure 入口網站
  2. 選擇 Microsoft Entra ID

  3. Active Directory 頁面上,選擇群組。按一下新群組

    Microsoft Entra ID (Azure AD) 中的「群組」頁面。

  4. 新建群組對話方塊中,填寫下列欄位:

    1. 選擇群組類型
    2. 輸入群組名稱
    3. 輸入群組電子郵件位址或接受顯示的預設位址。
    4. 選取成員類型。透過使用已指派,您可選擇特定使用者並向其授予唯一權限。

    5. 點選建立

      群組已建立。

  5. 要檢查建立的使用者群組是否啟用了安全性,請執行以下動作:

    1. 移至管理檢視 > 編輯欄

    2. 下,選取安全性已啟用,然後按一下儲存

      選取「安全性已啟用」欄。

    3. 安全性已啟用欄下,狀態應顯示為

  6. 在新群組頁面上,按一下成員。接下來請進行以下步驟:

    1. 按一下新增成員
    2. 搜尋您所需的使用者,然後按一下他們。
    3. 完成時,請按一下選取

    Microsoft Entra ID (Azure AD) 中的「成員」索引標籤。

    接下來,您將移至 Sophos Central 以與 Microsoft Entra ID (Azure AD) 同步使用者群組。