跳至內容

設定目錄服務

您需要目錄服務來管理您的使用者群組。

您可以使用 Microsoft Azure AD 或 Active Directory。爲了幫助您決定使用哪種方法,請考慮以下事項:

  • 如果您使用 Azure AD,也可以將其作為身分識別提供者使用。

  • 如果使用 Active Directory,則需要單獨的身分識別提供者,如 Okta。

在我們的說明中,我們會示範如何設定 Microsoft Azure AD。

若要使用 Azure AD 管理使用者,您需要建立 Azure AD 租用戶、註冊 ZTNA 應用程式,以及設定使用者群組。

您必須已有 Azure AD 帳戶。

注意

我們建議您查看 Microsoft 的 Azure AD 文件以取得最新說明。

建立 Azure AD 租用戶

  1. 登入您的 Azure 入口網站。
  2. 選擇 Azure Active Directory

    Azure 入口網站

  3. 在 Azure AD 概覽中,按一下建立租用戶

    Azure AD 概覽

  4. 基礎標籤上,選擇 Azure Active Directory。然後按一下下一步:配置

    Azure AD 中的租用戶基礎標籤

  5. 設定標籤上,輸入您的組織和網域名稱詳細資料。按一下 下一步:檢視 + 建立

    Azure AD 中的租用戶設定標籤

  6. 在下一頁中,檢視您的設定,然後按一下建立

    在 Azure AD 中建立租用戶的最終畫面

註冊 ZTNA 應用程式

  1. 選擇管理 > 應用程式註冊,然後按一下新增註冊

    Azure AD 中的應用程式註冊頁面

  2. 註冊應用程式頁面上,請執行以下操作:

    1. 輸入名稱。
    2. 接受預設支援的帳戶類型。
    3. 設定重新導向 URI。這是驗證回應傳送到的位址。它必須包含 ZTNA 閘道網域名稱 (FQDN)。以下是 URI 範例:gw.mycompany.net/oauth2/callback

      您可以新增多個閘道 FQDN。您也可以隨時新增更多 FQDN。

    4. 按一下註冊

      在 Azure AD 註冊應用程式頁面

  3. 選擇管理 > API 權限。然後按一下新增權限

    Azure AD 中的 API 權限頁面

  4. 請求 API 權限中,爲 Sophos Central 授予讀取使用者群組所需的權限。您需要按如下所示新增 Microsoft Graph API 權限。

    選取委派的權限並新增以下內容:

    • Directory.Read.All
    • Group.Read.All
    • openID
    • 設定檔(設定檔位於 OpenID 權限集中)
    • User.Read
    • User.Read.All

    選取應用程式權限並新增以下內容:

    • Directory.Read.All

    委派權限適用於以登入使用者執行的應用程式。應用程式權限允許在沒有使用者登入的情況下執行服務。

    請求 API 權限頁面

  5. 目前,您也需要一個 Azure AD Graph API 權限,該權限可在不同的頁面上取得。若要尋找並新增此權限,請執行下列動作:

    1. 選取 API中,前往我的組織使用的 API
    2. 搜尋 Windows Azure Active Directory

      API 權限搜尋

    3. 按一下搜尋結果以查看 Azure Active Directory Graph 權限清單。

    4. 選取應用程式權限
    5. 按一下新增權限並新增 Directory.ReadWrite.All。

    在 Sophos Central 完全切換到 Microsoft Graph API 之前,需要此權限。

  6. 現在,在 API 權限頁面上,您可以看到已新增的權限。按一下授予管理員同意,以授予權限所需的同意。

    已完成 API 權限

  7. 在應用程式的概覽頁面上,記下下列詳細資料。您稍後會需要這些資訊。

    • Client ID
    • 租用戶 ID

    Azure AD 中的應用程式詳細資料

  8. 按一下憑證和密碼。建立用戶端密碼,記下用戶端密碼的,然後安全地儲存它。

    則警告

    用戶端密碼不會再次顯示。您稍後無法復原。

    Azure AD 的新用戶端密碼

建立 Azure AD 使用者群組

注意

本節假定您建立了新的使用者群組。您可以使用現有群組,但必須啟用安全保護功能。在 Azure AD 中建立的群組會自動啟用安全保護功能,但從 Microsoft 365 入口網站建立或從 AD 匯入的群組則不會啟用。

如需在 Azure AD 中建立使用者群組,請執行以下操作:

  1. 使用目錄的全域管理員帳戶登入 Azure 入口網站
  2. 選擇 Azure Active Directory
  3. Active Directory 頁面上,選擇群組。按一下新群組

    Azure AD 的群組頁面螢幕擷取畫面

  4. 新群組對話方塊中,填寫字段。

    1. 選擇群組類型。在此範例中為 Microsoft 365。
    2. 輸入群組名稱
    3. 輸入群組電子郵件位址或接受顯示的預設位址。
    4. 選取成員類型。透過使用已指派,您可選擇特定使用者並向其授予唯一權限。
    5. 點選建立

      群組已建立。

    Azure AD 新群組對話方塊的螢幕擷取畫面

  5. 在新群組頁面上,按一下成員。接下來請進行以下步驟:

    1. 按一下新增成員
    2. 搜尋您所需的使用者,然後按一下他們。
    3. 完成時,請按一下選取

    Azure AD 中成員標籤的螢幕擷取畫面

    接下來,您可以前往 Sophos Central,將使用者群組與 Azure AD 同步處理。