Zum Inhalt

Einrichtung der Active Directory-Synchronisierung

Sie können Benutzer, Geräte und Gruppen synchronisieren. Sie können auch öffentliche Ordner und Postfächer synchronisieren.

Sie können verschiedene Domänen in derselben Gesamtstruktur synchronisieren. Sie können mehrere untergeordnete Domänen innerhalb einer Gesamtstruktur auswählen.

Sie können auch Folgendes tun:

  • Synchronisieren von Geräten und Gerätegruppen aus Active Directory (AD) und Synchronisieren von Benutzern und Benutzergruppen aus Microsoft Azure AD (Azure AD) für dieselbe Domäne.

    Warnung

    Wenn Sie freigegebene Postfächer und öffentliche Ordner synchronisieren möchten, müssen Sie AD auch verwenden, um Ihre Benutzer und Benutzergruppen zu synchronisieren, wenn sie sich in derselben Domäne wie Ihre freigegebenen Postfächer und öffentlichen Ordner befinden.

  • Synchronisieren von AD und Azure AD für verschiedene Domänen.

Active Directory Synchronization Setup

Für eine Synchronisierung mit AD müssen Sie „Active Directory Synchronization Setup“ herunterladen und installieren (Anweisungen zum Download und zur Installation erhalten Sie nachfolgend). Die Einrichtung der Active Directory-Synchronisierung funktioniert wie folgt:

  • Es werden aktive Benutzer oder Benutzergruppen synchronisiert.

    Es werden keine vorhandenen Benutzer oder Gruppen dupliziert, wenn diese mit vorhandenen Sophos Central-Benutzern oder -Gruppen übereinstimmen. So kann beispielsweise eine E-Mail-Adresse aus AD zu einem vorhandenen Benutzer in Sophos Central hinzugefügt werden.

  • Es synchronisiert Geräte und Gerätegruppen. Informationen darüber, wie Geräte und Gruppen zugeordnet werden, sowie weitere hilfreiche Hinweise finden Sie in Häufig gestellte Fragen zur Gerätegruppenerkennung.

  • Dabei werden freigegebene Postfächer und öffentliche Ordner synchronisiert.

Sie können festlegen, dass die Funktion zu festgelegten Zeiten automatisch ausgeführt wird. Nur der AD-Synchronisierungsdienst wird unterstützt. Es hilft Ihnen nicht, die Sophos Agent-Software auf den Geräten Ihrer Benutzer zu installieren. Verwenden Sie andere Bereitstellungsmethoden.

Sie müssen die folgenden Abschnitte lesen und alle erforderlichen Aufgaben ausführen, bevor Sie die Synchronisierung mit AD einrichten:

  • Anforderungen
  • Einschränkungen
  • Inaktive Benutzer und Geräte entfernen

Wenn Sie dies bereits getan haben, gehen Sie zu Herunterladen der Setup-Software und Überprüfen der Anmeldeinformationen.

Anforderungen

Bevor Sie die Synchronisierung einrichten, müssen Sie Folgendes prüfen:

  • Sie müssen ein Administrator sein, um Verzeichnisquellen einzurichten.
  • .NET Framework 4.5.2 muss auf dem Computer installiert sein, auf dem Sie die Synchronisierung mit Active Directory einrichten.
  • Sie müssen über die Sophos-API-Anmeldeinformationen für die Synchronisierung mit AD verfügen. Sie müssen darüber verfügen, bevor Sie die Synchronisierung einrichten, Ihre vorhandene Konfiguration ändern oder synchronisieren.

    Sie müssen die API-Rolle „Service Principal Active Directory Sync“ verwenden. Sie sollten den Zugriff stets so spezifisch wie möglich halten.

    Siehe API-Anmeldeinformationen-Verwaltung.

  • Sie müssen überprüfen, ob alle Active Directory-Benutzer über eine E-Mail-Adresse verfügen.

    Sie benötigen eine E-Mail-Adresse für Ihre Benutzer, um sie bei der Verwendung vieler Sophos Central-Workflows zu schützen.

    Wenn Sie beispielsweise Sophos Email zum Schutz Ihrer Benutzer verwenden, wird eine E-Mail an eine E-Mail-Adresse, die nicht mit einem Benutzer verknüpft ist, nicht zugestellt.

  • Sie müssen Ihre Firewall oder Ihren Proxy einrichten, um bestimmte Domänen zuzulassen. Siehe Zuzulassende Domänen und Ports.

Einschränkungen

Folgendes können Sie nicht tun:

  • Synchronisieren von Benutzern und Benutzergruppen mit AD und Azure AD aus derselben Domäne.
  • Synchronisieren mehrerer AD-Gesamtstrukturen mit einem Sophos Central Admin-Konto.
  • Mehr als eine Kopie von Active Directory Synchronization Setup für ein Sophos Central Admin-Konto verwenden.
  • Mehr als einen Satz Synchronisierungs-Optionen für AD für ein Sophos Central Admin-Konto einrichten.

Inaktive Benutzer und Geräte entfernen

Wir empfehlen, inaktive Benutzer und Geräte aus Ihren AD-Domänen zu entfernen. Inaktive Benutzerkonten und Geräte stellen ein Sicherheitsrisiko dar. Dadurch wird auch die Größe der von AD an Sophos Central gesendeten Datei verringert und die Synchronisierung wird beschleunigt.

Hilfe zum Suchen und Entfernen inaktiver Benutzer finden Sie wie folgt:

Sie können AD-Filter verwenden, um die Synchronisierung inaktiver Benutzer mit Sophos Central zu stoppen. Dadurch kann die Größe der an Sophos Central gesendeten Synchronisierungsdatei verringert werden, jedoch werden die Sicherheitsrisiken, die mit inaktiven Benutzern in Ihren AD-Domänen verbunden sind, nicht verringert.

Siehe Inaktive AD-Benutzer filtern.

Herunterladen der Setup-Software und Überprüfen der Anmeldeinformationen

Um die Synchronisierung mit AD zu starten, müssen Sie „Active Directory Synchronization Setup“ herunterladen und Ihre Anmeldeinformationen validieren.

In diesen Anweisungen zeigen wir Ihnen, wie Sie die Synchronisierung mit AD einrichten. Dadurch wird eine AD-Verzeichnisquelle hinzugefügt. Hilfe zur Verwaltung Ihrer Verzeichnisquellen finden Sie unter Verwalten Ihrer Quellen.

Verfahren Sie wie folgt, um mit der Einrichtung zu beginnen:

  1. Gehen Sie zu Übersicht > Globale Einstellungen > Verzeichnisdienst.
  2. Klicken Sie auf den Link, um „Active Directory Synchronization Setup“ herunterzuladen. Führen Sie es aus. Das Active Directory Synchronization Setup wird gestartet.
  3. Geben Sie Client-ID und Geheimer Clientschlüssel ein und klicken Sie auf Anmeldeinformationen validieren.
  4. Aktivieren Sie Proxy manuell konfigurieren, wenn Sie einen Proxy verwenden möchten, und geben Sie Ihre Proxy-Adresse ein.
  5. Wenn Sie einen Proxy verwenden, können Sie zusätzliche Authentifizierung aktivieren. Aktivieren Sie die Option Proxy-Authentifizierung aktivieren und geben Sie die folgenden Informationen ein.

    • Proxy-Benutzer
    • Proxy-Kennwort
  6. Klicken Sie auf Anmeldeinformationen validieren, um Ihre Proxy-Einstellungen zu validieren.

Als Nächstes müssen Sie Ihre AD-Konfigurationsdetails eingeben.

AD-Konfiguration eingeben

Sie können nun Ihre AD-Konfigurationsdetails eingeben. Sie müssen die Anmeldeinformationen für ein Benutzerkonto verwenden, das Lesezugriff auf die gesamte Active Directory-Gesamtstruktur hat, die Sie synchronisieren möchten. Aus Sicherheitsgründen empfiehlt sich ein Konto mit eingeschränkten Rechten.

Verfahren Sie zur Eingabe der Konfiguration wie folgt.

  1. Geben Sie auf der Seite AD-Konfiguration die Details für Ihren Active Directory-LDAP-Server und Ihre Anmeldeinformationen ein.

    Wir empfehlen Ihnen, eine sichere, über SSL verschlüsselte LDAP-Verbindung zu verwenden und die Option LDAP über SSL-Verbindung verwenden (empfohlen) aktiviert zu lassen.

  2. Wenn Ihre LDAP-Umgebung SSL nicht unterstützt, deaktivieren Sie die Option LDAP über SSL-Verbindung verwenden und ändern Sie die Portnummer. Normalerweise lautet die Portnummer 636 für SSL-Verbindungen und 389 für unsichere Verbindungen.

    Microsoft hat ein Sicherheits-Update veröffentlicht, mit dem die LDAP-Channelbindung und LDAP-Signatur für Active Directory geändert wurden. Unsichere Verbindungen auf Port 389 funktionieren nicht mit dem Microsoft-Sicherheitsupdate. Siehe 2020 LDAP-Channelbindung und LDAP-Signaturanforderungen für Windows.

Als Nächstes müssen Sie Ihre Synchronisierungsoptionen einrichten. Klicken Sie hierzu auf Weiter und richten Sie die Synchronisierung mithilfe der verbleibenden Registerkarten ein.

Wenn Sie die Einrichtung abgeschlossen haben können Sie auf einer beliebigen Registerkarte auf Fertig stellen klicken.

Einrichten der Synchronisierungsoptionen

Sie können jetzt die Filter einrichten, die Sie zum Synchronisieren von Informationen von Ihrem AD mit Sophos Central verwenden möchten.

Einige Funktionen sind unter Umständen noch nicht für alle Kunden verfügbar.

AD Filters

Sie können die zu synchronisierenden Datentypen im „Active Directory Synchronization Setup“ auswählen.

Sie wählen die Datentypen aus, die Sie synchronisieren möchten, indem Sie LDAP-Filter konfigurieren.

Spezifische Hilfe zum Synchronisieren verschiedener Datentypen finden Sie unter:

  • Geräte und Gerätegruppen
  • Benutzer und Benutzergruppen
  • Öffentliche Ordner Um Ihre Daten zu filtern, gehen Sie wie folgt vor:
  • Konfigurieren Sie auf der Registerkarte AD-Filter einen LDAP-Filter, um die zu synchronisierenden Benutzer, Geräte und Gruppen auszuwählen.

    Sie können auch zusätzliche Suchoptionen (Suchbasis und LDAP-Abfragefilter) für jede Domain eingeben. Sie können unterschiedliche Optionen für Benutzer und Benutzergruppen festlegen.

    Hinweis

    Bei der Synchronisierung werden unabhängig von den Gruppenfiltereinstellungen nur Gruppen mit erkannten Benutzern oder Geräten erstellt.

    Option Beschreibung
    Suchbasis Sie können eine Suchbasis (auch „Base Distinguished Names“ genannt) festlegen. Wenn Sie z. B. nach Organizational Units (OUs) filtern möchten, können Sie eine Suchbasis in folgendem Format angeben:

    OU=Finance,DC=myCompany,DC=com

    LDAP-Abfragefilter Um Benutzer zu filtern, z. B. nach Gruppenzugehörigkeit, können Sie einen Benutzer-Abfragefilter in folgendem Format verwenden:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Mit dieser Abfrage wird die Benutzererkennung auf Benutzer beschränkt, die zu „testGroup“ gehören. Beachten Sie, dass die Synchronisierung alle Gruppen erkennt, zu denen diese erkannten Benutzer gehören, wenn Sie keinen Gruppen-Abfragefilter angeben. Wenn Sie die Erkennung von Gruppen ebenfalls auf „testGroup“ beschränken möchten, können Sie folgenden Gruppen-Abfragefilter festlegen:

    CN=testGroup

    Sie können diese Filter auch verwenden, um die Synchronisierung inaktiver Benutzer mit Sophos Central zu beenden.

    Deaktivierte Benutzerkonten ausschließen Die Synchronisierung schließt deaktivierte Benutzerkonten standardmäßig aus. Um sie einzuschließen, deaktivieren Sie diese Option.

    Warnung

    Wenn Sie Base Distinguished Names in Ihren Suchoptionen verwenden oder Ihre Filtereinstellungen ändern, kann es sein, dass einige Sophos Central-Benutzer und -Gruppen, die bei früheren Synchronisierungen angelegt wurden, aus dem Suchbereich herausfallen. Wir löschen sie unter Umständen aus Sophos Central.

Sie können jetzt Ihren Synchronisierungszeitplan einrichten. Siehe Zeitplan synchronisieren.

Geräte und Gerätegruppen

Wenn Sie Geräte und Gerätegruppen synchronisieren möchten, gehen Sie wie folgt vor:

  1. Klicken Sie auf AD-Filter.
  2. Aktivieren Sie die Option Geräte synchronisieren und Organisationseinheiten synchronisieren.
  3. Es empfiehlt sich, Ihre Organisationseinheiten vor Ihren Geräte zu synchronisieren, damit Sie die Gruppen im Voraus konfigurieren können. Aktivieren Sie hierzu nur die Option Organisationseinheiten synchronisieren.

    Wir empfehlen, dass Sie Ihre Organisationseinheiten synchronisieren, bevor Sie Ihre Geräte zum ersten Mal synchronisieren. Auf diese Weise können Sie Ihre Richtlinien einrichten und auf Ihre Gruppen anwenden. Sie können dann Ihre Geräte synchronisieren, und wir wenden Ihre Richtlinien auf Ihre Geräte an. Wir wenden unsere Standardrichtlinien auf Ihre Gruppen und Geräte an, falls Sie dies nicht tun.

    Wenn Sie Ihre Organisationseinheiten vor Ihren Geräten synchronisieren, müssen Sie die Option Geräte synchronisieren und Organisationseinheiten synchronisieren. aktivieren, wenn Sie Ihre Geräte synchronisieren. Dadurch wird die Zuordnung zwischen Ihren Organisationseinheiten und Geräten beibehalten.

    Wenn Sie diese Einstellungen ändern möchten, müssen Sie nach der Synchronisierung der Organisationseinheiten und der Geräte Folgendes beachten:

    • Wenn Sie die Option Organisationseinheiten synchronisieren deaktivieren und die Option Geräte synchronisieren aktiviert lassen und dann synchronisieren, werden Ihre Organisationseinheiten in Sophos Central als „Benutzerdefinierte Gruppen“ angezeigt.
    • Wenn Sie die Option Geräte synchronisieren deaktivieren und die Option Organisationseinheiten synchronisieren aktiviert lassen und dann synchronisieren, weisen wir Ihre Geräte nicht Gruppen in Sophos Central zu.

Benutzer und Benutzergruppen

Wenn Sie Benutzer und Benutzergruppen synchronisieren möchten, gehen Sie wie folgt vor:

  1. Klicken Sie auf AD-Filter.
  2. Aktivieren Sie Benutzer und Benutzergruppen synchronisieren.

    Diese Option synchronisiert auch gemeinsam genutzte Posteingänge.

    Sie können Ihre Benutzer und Benutzergruppen stattdessen mit Azure AD synchronisieren. Wenn Sie dies tun möchten, können Sie diese Option deaktivieren.

    Wenn Sie diese Option deaktivieren, können Sie freigegebene Postfächer oder öffentliche Ordner nicht synchronisieren.

Öffentliche Ordner

Wenn Sie öffentliche Ordner synchronisieren möchten, verfahren Sie wie folgt:

  1. Klicken Sie auf AD-Filter.
  2. Aktivieren Sie Benutzer und Benutzergruppen synchronisieren.

    Öffentliche Ordner sind Posteingänge, daher müssen Sie diese Option aktivieren.

  3. Aktivieren Sie Öffentliche Ordner synchronisieren.

    Optionen der Active Directory Synchronization

Zeitplan synchronisieren

Um Ihren Synchronisierungszeitplan einzurichten, gehen Sie wie folgt vor:

  1. Legen Sie auf der Registerkarte Synchronisierungsplan die Zeiten fest, zu denen die Synchronisierung durchgeführt werden soll.

    Active Directory-Zeitplanoptionen

    Hinweis

    Ein Hintergrunddienst führt eine geplante Synchronisierung durch.

  2. Wenn Sie die Synchronisierung manuell und nicht automatisch auf regelmäßiger Basis durchführen möchten, klicken Sie auf Niemals. Only sync when manually initiated.

Jetzt können Sie mit AD synchronisieren.

AD synchronisieren

Wir empfehlen, manuell mit AD zu synchronisieren, wenn Sie die Synchronisierung einrichten oder Änderungen an Ihren Einstellungen vornehmen. So können Sie die Änderungen überprüfen, die während der Synchronisierung vorgenommen werden.

Verfahren Sie zur Synchronisierung wie folgt:

  1. Klicken Sie auf Preview and Sync.

    • Wenn Sie LDAP-Abfragefilter verwenden, überprüfen Sie, ob Sie sie richtig konfiguriert haben.
  2. Überprüfen Sie die Änderungen, die während der Synchronisierung vorgenommen werden. Wenn Sie mit den Änderungen einverstanden sind, klicken Sie auf Approve Changes and Continue. Ihre Benutzer, Geräte und Gruppen werden aus AD in Sophos Central importiert.

  3. Überprüfen Sie Ihre Benutzer, Geräte und Gruppen in Sophos Central.

    • Überprüfen Sie Ihre Benutzer, um sicherzustellen, dass ihre Geräte geschützt sind.
    • Überprüfen Sie die Richtlinien, die auf Ihre Benutzer und Benutzergruppen angewendet werden.
    • Überprüfen Sie Ihre Computer und Server auf nicht verwaltete Geräte. Diese werden auf separaten Registerkarten angezeigt. Schützen Sie alle nicht verwalteten Geräte.
    • Überprüfen Sie die auf Ihre Geräte und Gerätegruppen angewendeten Richtlinien. Sie können Richtlinien auf die AD-Gerätegruppe anwenden.

Verschieben von Active Directory-Synchronisierungs-Servern

Wenn Sie den Server, den Sie zur Synchronisierung mit AD verwenden, verschieben möchten, gehen Sie wie folgt vor:

  1. Beenden Sie die Synchronisierung auf dem aktuellen Server.
  2. Richten Sie die Active Directory-Synchronisierung Ihres neuen Servers ein.

    Wenn Sie hierzu Hilfe benötigen, befolgen Sie die Anweisungen in den vorherigen Abschnitten auf dieser Seite.

  3. Prüfen Sie, ob keine Änderungen an den Filtern erforderlich sind.

  4. Zeigen Sie eine Vorschau Ihrer Synchronisierung an, um zu überprüfen, ob Ihre Einstellungen korrekt sind.
  5. Synchronisieren Sie und überprüfen Sie, ob alles wie erwartet funktioniert.
  6. Richten Sie den Zeitplan für die Synchronisierung ein.
  7. Entfernen Sie die Active Directory-Synchronisierung vom ursprünglichen Server.
Zurück zum Seitenanfang