Azure-Anwendungen einrichten
Für die Synchronisierung mit Azure AD benötigen Sie einige Microsoft Azure-Informationen.
Um diese Informationen zu erhalten, müssen Sie eine Azure-Anwendung einrichten. Sie können diesen Abschnitt überspringen, wenn Sie bereits eine Azure-Anwendung eingerichtet haben.
Hinweis
Wir empfehlen Ihnen, für aktuelle Informationen die Seiten Hinzufügen einer Unternehmensanwendung und Voraussetzungen für den Zugriff auf die Azure Active Directory-Reporting-API zu prüfen. Hilfreiche Informationen können Sie zudem dem Microsoft QuickStart Guide für die Registrierung von Anwendungen entnehmen. Siehe Quickstart: Registrieren einer Anwendung bei Microsoft Identity Platform. Sie sollten die Anweisungen von Microsoft befolgen, sofern diese von unseren abweichen.
Sie können diese Azure-Anwendung nur mit Sophos Central verwenden, nicht mit anderen Sophos-Produkten.
Sie müssen Anwendungsberechtigungen in Ihrem Azure-Portal einrichten, damit Sie alle Azure AD-Synchronisierungsoptionen in Sophos Central verwenden können. Sie müssen die folgenden Berechtigungen einrichten:
Microsoft Graph Directory.Read.All
Um eine Azure-Anwendung einzurichten, gehen Sie wie folgt vor:
- Erstellen Sie eine Azure-Anwendung.
- Erstellen Sie einen geheimen Clientschlüssel.
- Richten Sie Anwendungsberechtigungen ein.
- Suchen Sie die Domäneninformationen Ihrer Mandanten.
Warnung
Sie müssen diese Anweisungen genau befolgen.
Erstellen einer Azure-Anwendung
So erstellen Sie eine Anwendung:
- Melden Sie sich bei Ihrem Azure-Portal an.
- Klicken Sie auf Azure Active Directory.
- Klicken Sie auf der Seite Azure Active Directory auf Enterprise-Anwendungen.
-
Klicken Sie im oberen Menü auf Neue Anwendungen.
-
Klicken Sie auf Eigene Anwendung erstellen.
Eigene Anwendung erstellen wird geöffnet.
-
Geben Sie einen Namen für Ihre Anwendung ein, zum Beispiel
Sophos Azure AD Sync
. -
Wählen Sie Anwendung (Anwendung, die Sie entwickeln) zur Integration in Azure AD registrieren registrieren.
-
Klicken Sie auf Erstellen.
Anwendung registrieren wird geöffnet.
-
Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Einzelner Mandant) aus.
-
Wählen Sie unter URL umleiten (optional) Web aus und geben Sie
https://central.sophos.com
ein. -
Klicken Sie auf Registrieren.
Sie müssen nun einen geheimen Clientschlüssel erstellen.
Erstellen eines geheimen Clientschlüssels
Um einen geheimen Clientschlüssel zu erstellen, gehen Sie wie folgt vor:
-
Gehen Sie zu Azure Active Directory und klicken Sie auf App-Registrierungen.
Sie müssen in Ihrem Azure-Portal zur obersten Ebene gehen und dann Azure Active Directory auswählen. Sie können dann App-Registrierungen auswählen.
-
Wählen Sie Ihre neu hinzugefügte Anwendung aus (in diesem Beispiel „Sophos Azure AD Sync“).
-
Notieren Sie sich die Anwendungs-ID. Sie benötigen diese Informationen, wenn Sie Azure AD Sync in Sophos Centralkonfigurieren.
-
Klicken Sie auf Zertifikate & Geheimnisse auf der linken Seite und klicken Sie auf Neuer geheimer Clientschlüssel.
-
Erstellen Sie einen geheimen Clientschlüssel.
-
Notieren Sie sich den geheimen Clientschlüssel und das Ablaufdatum des geheimen Clientschlüssels. Bewahren Sie sie sicher auf.
Sie benötigen die Informationen im Feld Wert für den geheimen Clientschlüssel.
Hinweis
Der geheime Clientschlüssel wird nicht mehr angezeigt. Sie können ihn später nicht wiederherstellen.
Sie müssen jetzt Ihre Anwendungsberechtigungen einrichten.
Einrichten von Anwendungsberechtigungen
Warnung
Sie müssen die Anweisungen in diesem Abschnitt genau befolgen.
Verfahren Sie wie folgt, um Berechtigungen einzurichten:
-
Sie müssen sich in App-Registrierungen befinden, um Berechtigungen einzurichten. Gehen Sie zu Azure Active Directory und klicken Sie auf App-Registrierungen.
Sie müssen in Ihrem Azure-Portal zur obersten Ebene gehen und dann Azure Active Directory auswählen. Sie können dann App-Registrierungen auswählen.
-
Wählen Sie Ihre neu hinzugefügte Anwendung aus (in diesem Beispiel „Sophos Azure AD Sync“).
-
Klicken Sie auf API-Berechtigungen auf der linken Seite und klicken Sie auf Berechtigung hinzufügen.
-
Klicken Sie auf APIs, die von meinem Unternehmen verwendet werden und klicken Sie auf Windows Azure Active Directory.
-
Sie müssen die Berechtigung für Microsoft Graph hinzufügen. Verfahren Sie wie folgt:
- Klicken Sie auf Berechtigung hinzufügen.
- Klicken Sie unter API-Berechtigungsanforderung auf Microsoft Graph.
-
Unter Welche Art von Berechtigungen benötigt Ihre Anwendung? klicken Sie auf Anwendungsberechtigungen.
-
Wählen Sie Verzeichnis aus der Liste aus.
-
Klicken Sie unter Verzeichnis auf Directory.Read.All.
-
Klicken Sie unter Zustimmung erteilen auf Admin-Zustimmung erteilen für \
und anschließend auf Ja. Es sollte eine Meldung angezeigt werden, die besagt, dass Sie Ihre Zustimmung erteilt haben.
Sie müssen nun die Domäneninformationen Ihrer Mandanten suchen und überprüfen, ob Sie über alle erforderlichen Informationen für die Einrichtung der Azure AD-Synchronisierung in Sophos Central verfügen.
Suchen der Domäneninformationen Ihrer Mandanten
Sie müssen sich Ihre Domäneninformationen notieren und überprüfen, ob Sie über alle benötigten Azure-Informationen verfügen. Verfahren Sie wie folgt:
-
Gehen Sie zu Ihrer „Azure AD“-Konfiguration und öffnen Sie Benutzerdefinierte Domainnamen. Notieren Sie sich Ihre Mandantendomäne.
Hierbei handelt es sich um die primäre Domäne, die Ihrer Azure AD-Instanz zugewiesen ist. Sie müssen dies unter Domäne in Sophos Central eingeben.
-
Überprüfen Sie, ob Sie sich die folgenden Informationen notiert haben:
- Anwendungs-ID. Sie müssen dies in Client-ID in Sophos Central eingeben.
- Wert für Ihren geheimen Clientschlüssel. Sie müssen dies in Geheimer Clientschlüssel in Sophos Central eingeben.
- Gültigkeitsdauer des geheimen Clientschlüssel. Sie müssen dies in Gültigkeitsdauer des geheimen Clientschlüssels in Sophos Central eingeben.
Sie können jetzt Ihre Azure-AD-Einstellungen konfigurieren. Für Hilfe hierzu siehe Einrichten der Synchronisierung mit Azure Active Directory.