Zum Inhalt

Einrichtung der Active Directory-Synchronisierung

Einige Funktionen sind unter Umständen noch nicht für alle Kunden verfügbar.

Sie können Benutzer, Geräte und Gruppen synchronisieren. Sie können auch öffentliche Ordner und Postfächer synchronisieren.

Sie können verschiedene Domänen in derselben Gesamtstruktur synchronisieren. Sie können mehrere untergeordnete Domänen innerhalb einer Gesamtstruktur auswählen.

Sie können auch mehrere Gesamtstrukturen mit einem Sophos Central Admin-Konto synchronisieren. Sie müssen Folgendes wissen:

  • Wir empfehlen, eine Gesamtstruktur mit einem Sophos Central Admin-Konto zu synchronisieren. Wenn Sie eine Gesamtstruktur mit mehreren Konten synchronisieren, kann dies zu unvorhersehbarem Verhalten in Sophos Central Admin führen.
  • Benutzer und E-Mail-Adressen müssen in jeder Gesamtstruktur eindeutig sein. Wenn Sie doppelte Objekte haben, aktualisieren wir diese während der Synchronisierung mit Informationen aus jeder Gesamtstruktur. Bei der Synchronisierung werden keine Daten zusammengeführt. Dies bedeutet, dass wir in Sophos Central Admin inkonsistente Informationen für die duplizierten Gesamtstrukturobjekte anzeigen können.

Sie können auch Folgendes tun:

  • Synchronisieren von Geräten und Gerätegruppen aus Active Directory (AD) und Synchronisieren von Benutzern und Benutzergruppen aus Microsoft Entra ID (Azure AD) für dieselbe Domäne.

    Warnung

    Wenn Sie freigegebene Postfächer und öffentliche Ordner synchronisieren möchten, müssen Sie AD auch verwenden, um Ihre Benutzer und Benutzergruppen zu synchronisieren, wenn sie sich in derselben Domäne wie Ihre freigegebenen Postfächer und öffentlichen Ordner befinden.

  • Synchronisieren von AD und Microsoft Entra ID (Azure AD) für verschiedene Domänen.

Active Directory Synchronization Setup

Für eine Synchronisierung mit AD müssen Sie „Active Directory Synchronization Setup“ herunterladen und installieren (Anweisungen zum Download und zur Installation erhalten Sie nachfolgend). Die Einrichtung der Active Directory-Synchronisierung funktioniert wie folgt:

  • Es werden aktive Benutzer oder Benutzergruppen synchronisiert.

    Wenn ein Benutzer mit einem vorhandenen Sophos-Central-Benutzer übereinstimmt, erstellt Active Directory Synchronization Setup nur dann einen neuen Benutzer, wenn der vorhandene Benutzer manuell in Sophos Central erstellt wurde. Es erstellt keinen neuen Benutzer, wenn der vorhandene Benutzer von einem anderen Verzeichnisdienst synchronisiert wurde. Das Gleiche gilt für Gruppen.

    Beispiele
    • Sie können eine E-Mail-Adresse aus AD zu einem vorhandenen Sophos-Central-Benutzer hinzufügen, der mit einem anderen Verzeichnisdienst hinzugefügt wurde.
    • Wenn Sie auf der Seite Personen manuell einen Benutzer namens „Tom“ erstellen und dann einen weiteren Benutzer namens „Tom“ aus AD hinzufügen, gibt es in Sophos Central anschließend zwei Benutzer mit dem Namen „Tom“.
  • Es synchronisiert Geräte und Gerätegruppen. Informationen darüber, wie Geräte und Gruppen zugeordnet werden, sowie weitere hilfreiche Hinweise finden Sie in Häufig gestellte Fragen zur Gerätegruppenerkennung.

  • Dabei werden freigegebene Postfächer und öffentliche Ordner synchronisiert.

    Wenn Sie freigegebene Posteingänge synchronisieren möchten, müssen Sie sicherstellen, dass Deaktivierte Benutzerkonten ausschließen aktiviert ist, wenn Sie die Synchronisierungsoptionen einrichten. Wenn Sie diese Option deaktivieren, werden Posteingänge in Ihren freigegebenen Posteingängen in Sophos Central doppelt angezeigt.

Sie können festlegen, dass die Funktion zu festgelegten Zeiten automatisch ausgeführt wird. Nur der AD-Synchronisierungsdienst wird unterstützt. Es hilft Ihnen nicht, die Sophos Agent-Software auf den Geräten Ihrer Benutzer zu installieren. Verwenden Sie andere Bereitstellungsmethoden.

Sie müssen die folgenden Abschnitte lesen und alle erforderlichen Aufgaben ausführen, bevor Sie die Synchronisierung mit AD einrichten:

  • Voraussetzungen
  • Einschränkungen
  • Inaktive Benutzer und Geräte entfernen

Wenn Sie dies bereits getan haben, gehen Sie zu Herunterladen der Setup-Software und Überprüfen der Anmeldeinformationen.

Voraussetzungen

Bevor Sie die Synchronisierung einrichten, müssen Sie Folgendes prüfen:

  • Sie müssen ein Administrator sein, um Verzeichnisquellen einzurichten.
  • .NET Framework 4.5.2 muss auf dem Computer installiert sein, auf dem Sie die Synchronisierung mit Active Directory einrichten.
  • Sie müssen über die Sophos-API-Anmeldeinformationen für die Synchronisierung mit AD verfügen. Sie müssen darüber verfügen, bevor Sie die Synchronisierung einrichten, Ihre vorhandene Konfiguration ändern oder synchronisieren.

    Sie müssen die API-Rolle „Service Principal Active Directory Sync“ verwenden. Sie sollten den Zugriff stets so spezifisch wie möglich halten.

    Siehe API-Zugangsdatenverwaltung.

  • Sie müssen überprüfen, ob alle Active Directory-Benutzer über eine E-Mail-Adresse verfügen.

    Sie benötigen eine E-Mail-Adresse für Ihre Benutzer, um sie bei der Verwendung vieler Sophos Central-Workflows zu schützen.

    Wenn Sie beispielsweise Sophos Email zum Schutz Ihrer Benutzer verwenden, wird eine E-Mail an eine E-Mail-Adresse, die nicht mit einem Benutzer verknüpft ist, nicht zugestellt.

  • Sie müssen Ihre Firewall oder Ihren Proxy einrichten, um bestimmte Domänen zuzulassen. Siehe Zuzulassende Domänen und Ports.

Einschränkungen

Folgendes ist nicht möglich:

  • Synchronisieren von Benutzern und Benutzergruppen mit AD und Microsoft Entra ID (Azure AD) aus derselben Domäne.
  • Synchronisieren von Benutzern oder E-Mail-Adressen mit mehreren Sophos Central Admin-Konten. Benutzer und E-Mail-Adressen müssen in jedem Sophos Central Admin-Konto eindeutig sein.
  • Synchronisieren Sie Benutzer mit Gruppen aus mehreren Domänen. Wir synchronisieren nur Benutzer aus der Domäne, zu der die Gruppe gehört. Preview and Sync zeigt alle Gruppenmitglieder an, aber es werden keine Benutzer aus anderen Domänen zur Gruppe hinzugefügt.

    Sie haben beispielsweise zwei Domänen mit den Namen domainX.com und sub.domainX.com. Einer Ihrer Domänen, domainX.com, hat eine Gruppe, G1. Die Gruppe G1 enthält Mitglieder aus beiden Domänen. Wir synchronisieren Ihre Benutzer und verknüpfen sie mit der Gruppe G1. Dies erfolgt nur für die Domäne, der die Gruppe zugeordnet ist. Das bedeutet, wir synchronisieren die domainX.com-Benutzer und fügen sie der G1-Gruppe hinzu. Preview and Sync zeigt alle Gruppenmitglieder an, aber die Benutzer aus der zweiten Domäne werden nicht hinzugefügt.

  • Einrichten von mehr als 1000 Filtern für ein Verzeichnisobjekt. Mit Filtern können Sie Benutzer und Geräte auswählen, die synchronisiert werden sollen.

  • Einrichten zusätzlicher LDAP-Filter mit mehr als 5000 Zeichen.
  • Verwenden eines Domänennamens, bei dem ein Bestandteil länger als 63 Zeichen ist oder mit den Zeichen '-' oder '_' beginnt oder endet.
  • Synchronisieren von Benutzern unabhängig von Benutzergruppen. Sie müssen beide oder keines der beiden synchronisieren.
  • Synchronisieren von Geräten unabhängig von Gerätegruppen. Sie müssen beide oder keines der beiden synchronisieren.
  • Synchronisieren Sie die (freigegebenen) Mailboxen der Microsoft 365-Gruppe. Sie müssen die Synchronisierung mit Microsoft Entra ID (Azure AD) verwenden.
  • Synchronisieren mehrerer AD-Clients aus einer einzelnen Domäne oder Subdomäne.

Inaktive Benutzer und Geräte entfernen

Wir empfehlen, inaktive Benutzer und Geräte aus Ihren AD-Domänen zu entfernen. Inaktive Benutzerkonten und Geräte stellen ein Sicherheitsrisiko dar. Dadurch wird auch die Größe der von AD an Sophos Central gesendeten Datei verringert und die Synchronisierung wird beschleunigt.

Hilfe zum Suchen und Entfernen inaktiver Benutzer finden Sie wie folgt:

Sie können AD-Filter verwenden, um die Synchronisierung inaktiver Benutzer mit Sophos Central zu stoppen. Dadurch kann die Größe der an Sophos Central gesendeten Synchronisierungsdatei verringert werden, jedoch werden die Sicherheitsrisiken, die mit inaktiven Benutzern in Ihren AD-Domänen verbunden sind, nicht verringert.

Siehe Inaktive AD-Benutzer filtern.

Herunterladen der Setup-Software und Überprüfen der Anmeldeinformationen

Um die Synchronisierung mit AD zu starten, müssen Sie „Active Directory Synchronization Setup“ herunterladen und Ihre Anmeldeinformationen validieren.

In diesen Anweisungen zeigen wir Ihnen, wie Sie die Synchronisierung mit AD einrichten. Dadurch wird eine AD-Verzeichnisquelle hinzugefügt. Hilfe zur Verwaltung Ihrer Verzeichnisquellen finden Sie unter Verwalten Ihrer Quellen.

Verfahren Sie wie folgt, um mit der Einrichtung zu beginnen:

  1. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen und klicken Sie auf Verzeichnisdienst.
  2. Klicken Sie auf den Link, um „Active Directory Synchronization Setup“ herunterzuladen. Führen Sie es aus. Das Active Directory Synchronization Setup wird gestartet.
  3. Geben Sie Client-ID und Geheimer Clientschlüssel ein und klicken Sie auf Anmeldeinformationen validieren.
  4. Aktivieren Sie Proxy manuell konfigurieren, wenn Sie einen Proxy verwenden möchten, und geben Sie Ihre Proxy-Adresse ein.
  5. Wenn Sie einen Proxy verwenden, können Sie zusätzliche Authentifizierung aktivieren. Aktivieren Sie die Option Proxy-Authentifizierung aktivieren und geben Sie die folgenden Informationen ein.

    • Proxy-Benutzer
    • Proxy-Kennwort
  6. Klicken Sie auf Anmeldeinformationen validieren, um Ihre Proxy-Einstellungen zu validieren.

Als Nächstes müssen Sie Ihre AD-Konfigurationsdetails eingeben.

AD-Konfiguration eingeben

Sie können nun Ihre AD-Konfigurationsdetails eingeben. Sie müssen die Anmeldeinformationen für ein Benutzerkonto verwenden, das Lesezugriff auf die gesamte Active Directory-Gesamtstruktur hat, die Sie synchronisieren möchten. Aus Sicherheitsgründen empfiehlt sich ein Konto mit eingeschränkten Rechten.

Verfahren Sie zur Eingabe der Konfiguration wie folgt.

  1. Geben Sie auf der Seite AD-Konfiguration die Details für Ihren Active Directory-LDAP-Server und Ihre Anmeldeinformationen ein.

    Wir empfehlen Ihnen, eine sichere, über SSL verschlüsselte LDAP-Verbindung zu verwenden und die Option LDAP über SSL-Verbindung verwenden (empfohlen) aktiviert zu lassen.

  2. Wenn Ihre LDAP-Umgebung SSL nicht unterstützt, deaktivieren Sie die Option LDAP über SSL-Verbindung verwenden und ändern Sie die Portnummer. Normalerweise lautet die Portnummer 636 für SSL-Verbindungen und 389 für unsichere Verbindungen.

    Microsoft hat ein Sicherheits-Update veröffentlicht, mit dem die LDAP-Channelbindung und LDAP-Signatur für Active Directory geändert wurden. Unsichere Verbindungen auf Port 389 funktionieren nicht mit dem Microsoft-Sicherheitsupdate. Siehe 2020 LDAP-Channelbindung und LDAP-Signaturanforderungen für Windows.

Als Nächstes müssen Sie Ihre Synchronisierungsoptionen einrichten. Klicken Sie hierzu auf Weiter und richten Sie die Synchronisierung mithilfe der verbleibenden Registerkarten ein.

Wenn Sie die Einrichtung abgeschlossen haben können Sie auf einer beliebigen Registerkarte auf Fertig stellen klicken.

Einrichten der Synchronisierungsoptionen

Sie können jetzt die Filter einrichten, die Sie zum Synchronisieren von Informationen von Ihrem AD mit Sophos Central verwenden möchten.

Einige Funktionen sind unter Umständen noch nicht für alle Kunden verfügbar.

AD-Filter

Sie können die zu synchronisierenden Datentypen im „Active Directory Synchronization Setup“ auswählen.

Sie wählen die Datentypen aus, die Sie synchronisieren möchten, indem Sie LDAP-Filter konfigurieren.

Spezifische Hilfe zum Synchronisieren verschiedener Datentypen finden Sie unter:

Um Ihre Daten zu filtern, gehen Sie wie folgt vor:

  1. Konfigurieren Sie auf der Registerkarte AD-Filter einen LDAP-Filter, um die zu synchronisierenden Benutzer, Geräte und Gruppen auszuwählen.

    Sie können auch zusätzliche Suchoptionen (Suchbasis und LDAP-Abfragefilter) für jede Domain eingeben. Sie können unterschiedliche Optionen für Benutzer und Benutzergruppen festlegen.

    Hinweis

    Bei der Synchronisierung werden unabhängig von den Gruppenfiltereinstellungen nur Gruppen mit erkannten Benutzern oder Geräten erstellt.

    Option Beschreibung
    Suchbasis

    Sie können eine Suchbasis (auch „Base Distinguished Names“ genannt) festlegen. Wenn Sie z. B. nach Organizational Units (OUs) filtern möchten, können Sie eine Suchbasis in folgendem Format angeben:

    OU=Finance,DC=myCompany,DC=com

    LDAP-Abfragefilter

    Um Benutzer zu filtern, z. B. nach Gruppenzugehörigkeit, können Sie einen Benutzer-Abfragefilter in folgendem Format verwenden:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Mit dieser Abfrage wird die Benutzererkennung auf Benutzer beschränkt, die zu „testGroup“ gehören. Beachten Sie, dass die Synchronisierung alle Gruppen erkennt, zu denen diese erkannten Benutzer gehören, wenn Sie keinen Gruppen-Abfragefilter angeben. Wenn Sie die Erkennung von Gruppen ebenfalls auf „testGroup“ beschränken möchten, können Sie folgenden Gruppen-Abfragefilter festlegen:

    CN=testGroup

    Sie können diese Filter auch verwenden, um die Synchronisierung inaktiver Benutzer mit Sophos Central zu beenden.

    Deaktivierte Benutzerkonten ausschließen

    Die Synchronisierung schließt deaktivierte Benutzerkonten standardmäßig aus. Um sie einzuschließen, deaktivieren Sie diese Option.

    Wenn Sie freigegebene Posteingänge synchronisieren möchten, müssen Sie sicherstellen, dass diese Option aktiviert ist. Andernfalls werden Posteingänge in Ihren freigegebenen Posteingängen in Sophos Central doppelt angezeigt.

    Warnung

    Wenn Sie Base Distinguished Names in Ihren Suchoptionen verwenden oder Ihre Filtereinstellungen ändern, kann es sein, dass einige Sophos Central-Benutzer und -Gruppen, die bei früheren Synchronisierungen angelegt wurden, aus dem Suchbereich herausfallen. Wir löschen sie unter Umständen aus Sophos Central.

Sie können jetzt Ihren Synchronisierungszeitplan einrichten. Siehe Zeitplan synchronisieren.

Geräte und Gerätegruppen

Wenn Sie Geräte und Gerätegruppen synchronisieren möchten, gehen Sie wie folgt vor:

  1. Klicken Sie auf AD-Filter.
  2. Aktivieren Sie die Option Geräte synchronisieren und Organisationseinheiten synchronisieren.
  3. Es empfiehlt sich, Ihre Organisationseinheiten vor Ihren Geräte zu synchronisieren, damit Sie die Gruppen im Voraus konfigurieren können. Aktivieren Sie hierzu nur die Option Organisationseinheiten synchronisieren.

    Wir empfehlen, dass Sie Ihre Organisationseinheiten synchronisieren, bevor Sie Ihre Geräte zum ersten Mal synchronisieren. Auf diese Weise können Sie Ihre Richtlinien einrichten und auf Ihre Gruppen anwenden. Sie können dann Ihre Geräte synchronisieren, und wir wenden Ihre Richtlinien auf Ihre Geräte an. Wir wenden unsere Standardrichtlinien auf Ihre Gruppen und Geräte an, falls Sie dies nicht tun.

    Wenn Sie Ihre Organisationseinheiten vor Ihren Geräten synchronisieren, müssen Sie die Option Geräte synchronisieren und Organisationseinheiten synchronisieren. aktivieren, wenn Sie Ihre Geräte synchronisieren. Dadurch wird die Zuordnung zwischen Ihren Organisationseinheiten und Geräten beibehalten.

    Wenn Sie diese Einstellungen ändern möchten, müssen Sie nach der Synchronisierung der Organisationseinheiten und der Geräte Folgendes beachten:

    • Wenn Sie die Option Organisationseinheiten synchronisieren deaktivieren und die Option Geräte synchronisieren aktiviert lassen und dann synchronisieren, werden Ihre Organisationseinheiten in Sophos Central als „Benutzerdefinierte Gruppen“ angezeigt.
    • Wenn Sie die Option Geräte synchronisieren deaktivieren und die Option Organisationseinheiten synchronisieren aktiviert lassen und dann synchronisieren, weisen wir Ihre Geräte nicht Gruppen in Sophos Central zu.

Benutzer und Benutzergruppen

Wenn Sie Benutzer und Benutzergruppen synchronisieren möchten, gehen Sie wie folgt vor:

  1. Klicken Sie auf AD-Filter.
  2. Aktivieren Sie Benutzer und Benutzergruppen synchronisieren.

    Diese Option synchronisiert auch gemeinsam genutzte Posteingänge.

    Sie können Ihre Benutzer und Benutzergruppen stattdessen mit Microsoft Entra ID (Azure AD) synchronisieren. Wenn Sie dies tun möchten, können Sie diese Option deaktivieren.

    Wenn Sie diese Option deaktivieren, können Sie freigegebene Postfächer oder öffentliche Ordner nicht synchronisieren.

Öffentliche Ordner

Wenn Sie öffentliche Ordner synchronisieren möchten, verfahren Sie wie folgt:

  1. Klicken Sie auf AD-Filter.
  2. Aktivieren Sie Benutzer und Benutzergruppen synchronisieren.

    Öffentliche Ordner sind Posteingänge, daher müssen Sie diese Option aktivieren.

  3. Aktivieren Sie Öffentliche Ordner synchronisieren.

    Optionen der Active Directory Synchronization.

Zeitplan synchronisieren

Um Ihren Synchronisierungszeitplan einzurichten, gehen Sie wie folgt vor:

  1. Legen Sie auf der Registerkarte Synchronisierungsplan die Zeiten fest, zu denen die Synchronisierung durchgeführt werden soll.

    Active Directory-Zeitplanoptionen.

    Hinweis

    Ein Hintergrunddienst führt eine geplante Synchronisierung durch.

  2. Wenn Sie die Synchronisierung manuell und nicht automatisch auf regelmäßiger Basis durchführen möchten, klicken Sie auf Niemals. Only sync when manually initiated.

Jetzt können Sie mit AD synchronisieren.

AD synchronisieren

Wir empfehlen, manuell mit AD zu synchronisieren, wenn Sie die Synchronisierung einrichten oder Änderungen an Ihren Einstellungen vornehmen. So können Sie die Änderungen überprüfen, die während der Synchronisierung vorgenommen werden.

Die manuelle Synchronisierung kann bis zu 15 Minuten dauern.

Verfahren Sie zur Synchronisierung wie folgt:

  1. Klicken Sie auf Preview and Sync.

    • Wenn Sie LDAP-Abfragefilter verwenden, überprüfen Sie, ob Sie sie richtig konfiguriert haben.
  2. Überprüfen Sie die Änderungen, die während der Synchronisierung vorgenommen werden. Wenn Sie mit den Änderungen einverstanden sind, klicken Sie auf Approve Changes and Continue. Ihre Benutzer, Geräte und Gruppen werden aus AD in Sophos Central importiert.

  3. Überprüfen Sie Ihre Benutzer, Geräte und Gruppen in Sophos Central.

    • Überprüfen Sie Ihre Benutzer, um sicherzustellen, dass ihre Geräte geschützt sind.
    • Überprüfen Sie die Richtlinien, die auf Ihre Benutzer und Benutzergruppen angewendet werden.
    • Überprüfen Sie Ihre Computer und Server auf nicht verwaltete Geräte. Diese werden auf separaten Registerkarten angezeigt. Schützen Sie alle nicht verwalteten Geräte.
    • Überprüfen Sie die auf Ihre Geräte und Gerätegruppen angewendeten Richtlinien. Sie können Richtlinien auf die AD-Gerätegruppe anwenden.

Verschieben von Active Directory-Synchronisierungs-Servern

Wenn Sie den Server, den Sie zur Synchronisierung mit AD verwenden, verschieben möchten, gehen Sie wie folgt vor:

  1. Beenden Sie die Synchronisierung auf dem aktuellen Server.
  2. Richten Sie die Active Directory-Synchronisierung Ihres neuen Servers ein.

    Wenn Sie hierzu Hilfe benötigen, befolgen Sie die Anweisungen in den vorherigen Abschnitten auf dieser Seite.

  3. Prüfen Sie, ob keine Änderungen an den Filtern erforderlich sind.

  4. Zeigen Sie eine Vorschau Ihrer Synchronisierung an, um zu überprüfen, ob Ihre Einstellungen korrekt sind.
  5. Synchronisieren Sie und überprüfen Sie, ob alles wie erwartet funktioniert.
  6. Richten Sie den Zeitplan für die Synchronisierung ein.
  7. Entfernen Sie die Active Directory-Synchronisierung vom ursprünglichen Server.