Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=SSO-Azure-AD

Microsoft Entra ID als Identitätsanbieter verwenden

Sie können Ihre Microsoft Entra ID-Instanz (Azure AD) verwenden, um die Identitäten Ihrer Administratoren und Benutzer zu überprüfen, wenn sie sich bei Sophos Central-Produkten anmelden. Dazu müssen Sie Microsoft Entra ID als Identitätsanbieter hinzufügen.

Wenn Sie Microsoft Entra ID als Identitätsanbieter verwenden möchten, suchen Sie nach Ihrer Mandanten-ID für Ihre Microsoft-Entra-ID-Instanz (Azure AD). Dies ist erforderlich, um Ihre Benutzer und Administratoren zu überprüfen.

Voraussetzungen

Sie müssen zuerst eine Domäne verifizieren. Siehe Verbunddomäne verifizieren.

Sie müssen Super-Admin sein.

Warnung

Wenn Sie die Verbundanmeldung als Anmeldeoption verwenden möchten, müssen Sie sicherstellen, dass alle Administratoren und Benutzer einer Domäne zugewiesen sind und über einen Identitätsanbieter verfügen.

Sie müssen Folgendes tun, bevor Sie Microsoft Entra ID als Identitätsanbieter hinzufügen können:

  • Stellen Sie sicher, dass Sie über ein Microsoft Entra ID-Konto verfügen. Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsservice von Microsoft.
  • Holen Sie die Genehmigung zur Nutzung des Azure AD Ihres Unternehmens in Sophos Central von Ihrem Microsoft Entra ID-Admin ein.
  • Stellen Sie sicher, dass Sie über ein Sophos Central-Konto verfügen, das dem Microsoft Entra ID-Konto entspricht (die E-Mail-Adressen müssen übereinstimmen).

Microsoft Entra ID im Azure Portal einrichten

Um Microsoft Entra ID im Azure Portal einzurichten, müssen Sie wie folgt vorgehen:

  1. Erstellen Sie eine Azure-Anwendung.
  2. Richten Sie die Authentifizierung für die Anwendung ein.
  3. Richten Sie Token-Konfiguration ein.
  4. Weisen Sie Anwendungsberechtigungen zu.

Azure-Anwendung erstellen

So erstellen Sie eine Azure-Anwendung:

  1. Melden Sie sich bei Ihrem Azure-Portal an.
  2. Suchen Sie nach App registrations.

  3. Klicken Sie im linken Fensterbereich auf App-Registrierungen.

    Pfad zu den App-Registrierungen.

  4. Klicken Sie im rechten Fensterbereich auf Neue Registrierung.

    Option „Neue Registrierung“.

  5. Geben Sie einen Namen für die App ein.

  6. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Nur Standardverzeichnis – Einzelner Mandant) aus.

    Unterstützte Kontotypen.

  7. Wählen Sie unter URL umleiten (optional) die Option Single-Page-Webanwendung aus und geben Sie https://federation.sophos.com/login/callback ein.

    Option „URI umleiten“.

  8. Klicken Sie auf Registrieren.

Authentifizierung für die Anwendung einrichten

Um Authentifizierung für die Anwendung einzurichten, gehen Sie wie folgt vor:

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf Authentifizierung.
  2. Wählen Sie unter Implizite Genehmigung und hybride Flows die Option ID-Token (für implizite und hybride Flows) aus.
  3. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Nur Standardverzeichnis – Einzelner Mandant) aus.

  4. Klicken Sie auf Speichern.

    Implizite Genehmigung und hybride Flows.

Token-Konfiguration einrichten

Verfahren Sie zur Einrichtung von Token-Konfiguration wie folgt:

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf Token-Konfiguration.
  2. Klicken Sie unter Optionale Ansprüche auf Optionalen Anspruch hinzufügen.

  3. Wählen Sie unter Tokentyp die Option ID und anschließend E-Mailaus.

    Optionen für Tokentyp.

  4. Klicken Sie auf Hinzufügen.

  5. Klicken Sie in der Popup-Meldung auf E-Mail-Berechtigung für Microsoft Graph aktivieren.

    E-Mail-Berechtigung.

  6. Klicken Sie auf Hinzufügen.

Anwendungsberechtigungen zuweisen

Um Anwendungsberechtigungen zu prüfen, gehen Sie wie folgt vor:

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf API-Berechtigungen.

  2. Klicken Sie unter Konfigurierte Berechtigungen auf Administratorzustimmung für <Konto> erteilen.

    Anwendungsberechtigungen.

  3. Klicken Sie auf Ja.

Microsoft-Entra-ID-Zustimmung

Ein Microsoft Entra ID-Administrator muss die Verwendung der im Microsoft Entra ID-Mandant Ihres Unternehmens gespeicherten Anmeldedaten für Sophos Central genehmigen.

Diese Einwilligung gilt für alle Sophos Central-Produkte.

Nachdem der Microsoft Entra ID-Administrator seine Genehmigung erteilt hat, stuft Ihr Microsoft Entra ID-Mandant Sophos Central als vertrauenswürdig ein und Sie können Microsoft Entra ID als Identitätsanbieter hinzufügen.

Für Hilfe zur Genehmigungserteilung in Microsoft Entra ID siehe Grundlegendes zu Einwilligungserfahrungen für Microsoft Entra ID-Anwendungen.

Mandanten-ID suchen

Sie müssen die Mandanten-ID kennen, bevor Sie Microsoft Entra ID als Identitätsanbieter hinzufügen können.

Um die Mandanten-ID aufzufinden, gehen Sie folgendermaßen vor:

  1. Wählen Sie im Menü des Microsoft-Azure-Portal Microsoft Entra ID aus. Die Seite Übersicht wird angezeigt.

  2. Suchen Sie im Abschnitt Grundlegende Informationen Ihre Mandanten-ID. Dies ist die ID für Ihre Mandantendomäne.

    Sie müssen sie eingeben, wenn Sie Microsoft Entra ID als Identitätsanbieter einrichten.

Informationen zum Hinzufügen der Microsoft Entra ID als Identitätsanbieter in Sophos Central finden Sie in folgenden Abschnitten:

Microsoft Entra ID als Identitätsanbieter in Sophos Central einrichten

Sie können Microsoft Entra ID jetzt als Identitätsanbieter verwenden.

Gehen Sie dazu wie folgt vor:

  1. Gehen Sie in Sophos Central zu Globale Einstellungen > Verbund-Identitätsanbieter.

    Pfad zu Verbund-Identitätsanbietern.

  2. Klicken Sie auf Identitätsanbieter hinzufügen.

  3. Geben Sie einen Namen und eine Beschreibung ein.
  4. Klicken Sie auf Typ und wählen Sie OpenID Connect.
  5. Klicken Sie auf Anbieter und wählen Sie Microsoft Entra ID.
  6. Überspringen Sie Schritt A: OpenID Connect einrichten, da Sie Microsoft Entra ID bereits im Azure Portal eingerichtet haben.

  7. In Schritt B: Einstellungen für OpenID Connect konfigurieren gehen Sie wie folgt vor:

    1. Geben Sie unter Client-ID die Client-ID der Anwendung ein, die Sie in Azure erstellt haben.

      Verfahren hierzu wie folgt:

      1. Gehen Sie im Azure Portal zu App-Registrierungen.
      2. Wählen Sie die Anwendung aus, die Sie erstellt haben.
      3. Kopieren Sie die ID in Anwendungs-ID (Client) und fügen Sie sie unter Client-ID in Sophos Central ein.

    2. Geben Sie unter Aussteller die folgende URL ein:

      https://login.microsoftonline.com/<tenantId>/v2.0

      Ersetzen Sie <tenantId> durch die Mandanten-ID Ihrer Azure-Instanz.

      Verfahren hierzu wie folgt:

      1. Gehen Sie im Azure Portal zu App-Registrierungen.
      2. Wählen Sie die Anwendung aus, die Sie erstellt haben.
      3. Kopieren Sie die ID in Verzeichnis-(Mandant)-ID und ersetzen <tenantId> Sie sie in der URL.

    3. Geben Sie für Autorisierungs-Endpoint die folgende URL ein:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      Ersetzen Sie <tenantId> durch die Mandanten-ID, die Sie in Schritt b kopiert haben.

    4. Geben Sie für JWKS-URL die folgende URL ein:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      Ersetzen Sie <tenantId> durch die Mandanten-ID, die Sie in Schritt b kopiert haben.

    Schritt B: Einstellungen für OpenID Connect konfigurieren.

  8. Klicken Sie auf Domäne auswählen und wählen Sie Ihre Domäne aus.

    Sie können eine oder mehrere Domänen hinzufügen. Sie können einen Benutzer nur einer Domäne zuordnen.

  9. Wählen Sie aus, ob Sie die vom IdP erzwungene MFA aktivieren möchten. Sie haben folgende Optionen:

    • Vom IdP erzwungene MFA
    • Keine vom IdP erzwungene MFA

  10. Klicken Sie auf Speichern.

Sie können Microsoft Entra ID jetzt als Identitätsanbieter hinzufügen. Siehe Identitätsprovider hinzufügen (Entra ID/Open IDC/ADFS).

Microsoft Entra ID so konfigurieren, dass Benutzer sich mit dem UPN anmelden können

Sie können Microsoft Entra ID so konfigurieren, dass Benutzer sich mit ihrem User Principal Name (UPN) anmelden können, wenn dieser von ihrer E-Mail-Adresse abweicht.

Um sich mit Ihrem UPN anzumelden, müssen sie wie folgt vorgehen:

  1. Benutzer und Administratoren melden sich mit ihrer zugehörigen E-Mail-Adresse in Sophos Central an.

    Bildschirm der Sophos-Anmeldung.

  2. Je nach Auswahl in den Sophos-Anmeldeeinstellungen wird ein Bildschirm angezeigt.

    • Wenn Sie unter Meine Produkte > Allgemeine Einstellungen > Sophos-Anmeldeeinstellungen die Option Sophos-Central-Admin- oder Verbund-Anmeldeinformationen ausgewählt haben, können sich Benutzer und Administratoren mit beiden Optionen anmelden.

      SSO- oder Sophos Admin-E-Mail- und Kennwort-Anmeldung.

      Um sich mit dem UPN anzumelden, müssen sie wie folgt vorgehen:

      1. Auf Mit SSO (Single Sign-on) anmelden klicken.

        Die Anmeldeseite von Microsoft Azure wird angezeigt.

      2. Den UPN und das Kennwort eingeben.

    • Wenn Sie Nur Verbund-Anmeldeinformationen in Meine Produkte > Allgemeine Einstellungen > Sophos-Anmeldeeinstellungen ausgewählt haben, wird ihnen die Microsoft Azure-Anmeldeseite angezeigt, auf der man UPN und Kennwort eingeben kann.