Zum Inhalt

Einrichten der Synchronisierung mit Azure Active Directory

Sie können Benutzer und Gruppen von Microsoft Azure AD (Azure AD) zu Sophos Central synchronisieren. Sie können aus mehreren Azure AD-Domänen synchronisieren.

In diesen Anweisungen erfahren Sie, wie Sie eine Azure AD-Verzeichnisquelle einrichten. Hilfe zur Verwaltung Ihrer Verzeichnisquellen finden Sie unter Verwalten Ihrer Quellen.

Sie müssen die folgenden Abschnitte lesen und alle erforderlichen Aufgaben ausführen, bevor Sie die Synchronisierung mit Azure AD einrichten:

  • Anforderungen
  • Einschränkungen

Wenn Sie dies bereits getan haben, gehen Sie zu Hinzufügen von Azure AD.

Anforderungen

Bevor Sie beginnen, überprüfen Sie Folgendes:

  • Überprüfen Sie, ob Sie über die richtige Administratorrolle verfügen. Sie müssen ein Administrator sein, um Verzeichnisquellen einzurichten.

  • Überprüfen, ob Sie über das richtige Microsoft Azure-Setup und die korrekten Rechte verfügen. Sie müssen wie folgt vorgehen:

  • Stellen Sie sicher, dass alle vorhandenen Benutzer oder Gruppen in Sophos Central über eine Azure AD-Übereinstimmung verfügen.

    Wenn Benutzer oder Gruppen keine Übereinstimmung haben, müssen Sie sie manuell in Sophos Central verwalten.

  • Stellen Sie sicher, dass alle Azure AD-Benutzer über eine E-Mail-Adresse verfügen.

    Sie benötigen eine E-Mail-Adresse für Ihre Benutzer, um sie bei der Verwendung vieler Sophos Central-Workflows zu schützen.

    Wenn Sie beispielsweise Sophos Email zum Schutz Ihrer Benutzer verwenden, wird eine E-Mail an eine E-Mail-Adresse, die nicht mit einem Benutzer verknüpft ist, nicht zugestellt.

Warnung

Unter bestimmten Umständen werden Benutzer dupliziert. Dies liegt daran, dass die von Azure AD synchronisierten UPN-Kennungen und die Benutzeranmeldung am Endpoint nicht übereinstimmen. Für weitere Informationen siehe Warum sind einige meiner aus Azure AD synchronisierten Benutzer nicht mit einem Endpoint-Login-Benutzer verknüpft?

Weitere Informationen zur Synchronisierung mit Azure AD finden Sie unter Verbinden Sie Ihr Arbeitsgerät mit dem Netzwerk Ihres Unternehmens.

Einschränkungen

Bevor Sie die Synchronisierung einrichten, müssen Sie Folgendes wissen:

  • Sie können nicht mehrere Azure AD-Quellen aus derselben Domäne synchronisieren.
  • Sie können Benutzer aus derselben Domäne nicht mithilfe von Active Directory (AD) und Azure AD synchronisieren.
  • Sie können keine Geräte mit Azure AD hinzufügen oder entfernen und dann die Änderungen synchronisieren.

Überprüfen, ob Sie über die richtigen Microsoft Azure-Informationen verfügen

Für die Synchronisierung mit Azure AD benötigen Sie einige Microsoft Azure-Informationen.

Um diese Informationen zu erhalten, müssen Sie eine Azure-Anwendung einrichten. Wenn Sie eine Azure-Anwendung eingerichtet haben, überprüfen Sie, ob Sie über die in diesem Abschnitt aufgeführten Informationen verfügen.

Um eine Azure-Anwendung einzurichten, folgen Sie den Anweisungen in Azure-Anwendungen einrichten.

Warnung

Sie müssen diese Anweisungen genau befolgen.

Wenn Sie Ihre Azure-Anwendung nur mit der Berechtigung Azure Active Directory Graph Directory.Read.All eingerichtet haben und Sie Änderungen an Ihren Azure AD-Synchronisierungseinstellungen vornehmen möchten, müssen Sie die Berechtigung Microsoft Graph Directory.Read.All hinzufügen. Hilfe dazu finden Sie unter „Einrichten einer Azure-Anwendung“.

  1. Notieren Sie sich die folgenden Informationen.

    • Mandantendomäne
    • Anwendungs-ID
    • Geheimer Clientschlüssel. Sie benötigen den Wert für Ihren geheimen Clientschlüssel.
    • Gültigkeitsdauer des geheimen Clientschlüssel
  2. Wenn nicht alle Informationen vorliegen, ziehen Sie den Abschnitt zum „Einrichten einer Azure-Anwendung“ zu Rate.

Sie können jetzt Ihre Azure-AD-Einstellungen konfigurieren.

Hinzufügen von Azure AD

Gehen Sie wie folgt vor, um eine Azure AD-Verzeichnisquelle hinzuzufügen:

  1. Gehen Sie zu Übersicht > Globale Einstellungen > Verzeichnisdienst.
  2. Klicken Sie auf Azure AD hinzufügen.
  3. Geben Sie einen Name für die Quelle ein.
  4. Geben Sie eine Beschreibung ein.
  5. Geben Sie die Domäne für die Quelle ein.
  6. Klicken Sie auf Weiter.

Sie können jetzt Ihre Azure-Anwendungsinformationen hinzufügen.

Azure-AD-Einstellungen konfigurieren

Um Ihre Azure-AD-Einstellungen zu konfigurieren, gehen Sie folgendermaßen vor:

  1. Geben Sie unter Azure-Sync-Einstellungen konfigurieren folgende Informationen ein:

    • Client-ID: Dies ist die Anwendungs-ID für Ihre Azure-Anwendung.
    • Domäne: Hierbei handelt es sich um die primäre Domäne, die Ihrer Azure AD-Instanz zugewiesen ist.
    • Client secret: Dies ist der Wert für den geheimen Clientschlüssel für Ihre Azure-Anwendung.
    • Gültigkeitsdauer des geheimen Clientschlüssels: Dies ist das Ablaufdatum für Ihren geheimen Clientschlüssel.

    Azure AD-Synchronisierungseinstellungen

  2. Klicken Sie auf Verbindung testen, um Ihre Einstellungen zu prüfen.

Sie können nun die Benutzer und Gruppen auswählen, die synchronisiert werden sollen.

Auswahl der zu synchronisierenden Benutzer und Gruppen

Sie können die Benutzer und Gruppen filtern, die Sie synchronisieren.

Wenn Sie Filter wechseln, ändern Sie die Benutzer und Gruppen, die Sie synchronisieren. Alle Benutzer und Gruppen, die nicht im neuen Filter enthalten sind, werden aus Sophos Central entfernt.

Wenn Sie bereits Benutzer und Gruppen in Sophos Central haben und zum ersten Mal mit Azure AD synchronisieren, empfehlen wir Ihnen, alle Benutzer und Gruppen auszuwählen. Dadurch wird dem Synchronisierungsdienst der größte Satz an Benutzern und Gruppen angezeigt.

Wenn Sie über eine komplexe Hierarchie von Gruppen und Benutzern in Azure AD verfügen, empfehlen wir Ihnen, Benutzer und Gruppen hinzuzufügen, nachdem Sie diese gefiltert haben. Sie können entweder Benutzer über Gruppen-Filter hinzufügen oder Benutzer über Benutzer-Filter hinzufügen verwenden.

Gehen Sie wie folgt vor, um Ihre Benutzer und Gruppen auszuwählen:

  1. Wählen Sie unter Wählen Sie Benutzer und Gruppen aus, die synchronisiert werden aus, welche Benutzer und Gruppen Sie mit Azure AD synchronisieren möchten. Mithilfe von Filtern können Sie bestimmte Benutzer und Gruppen aus Azure AD synchronisieren.

    Azure AD-Benutzer- und Gruppeneinstellungen

    Für weitere Informationen zu diesen Filtern siehe Benutzer und Gruppen filtern.

  2. Klicken Sie auf Speichern.

Sie können jetzt Ihren Synchronisierungszeitplan einrichten.

Einrichten Ihres Zeitplans für die Synchronisierung

Sie können die Häufigkeit auswählen, mit der die Synchronisierung von Benutzern und Gruppen erfolgen soll.

Verfahren Sie wie folgt, um einen Zeitplan einzurichten:

  1. Gehen Sie zu Synchronisierungszeitplan.
  2. Wählen Sie Ihren Zeitplan aus den folgenden Optionen aus:

    • Stündlich: Wir synchronisieren Ihre Daten basierend auf dem Stundenmultiplikator und der von Ihnen gewählten lokalen Startzeit. Zum Beispiel: alle 6 Stunden ab 02:00 Uhr.
    • Täglich: Wir synchronisieren Ihre Daten täglich zu Ihrer gewählten Ortszeit.
    • Wöchentlich: Wir synchronisieren Ihre Daten an den von Ihnen ausgewählten Tagen zur ausgewählten Ortszeit.
    • Monatlich: Wir synchronisieren Ihre Daten zu den von Ihnen gewählten Terminen. Sie können bis zu zwei Termine auswählen. Klicken Sie auf Einen weiteren Tag hinzufügen, um ein zweites Datum hinzuzufügen.
    • Keine: Wählen Sie diese Option, wenn Sie jedes Mal manuell synchronisieren möchten.

    Azure AD-Synchronisierungszeitplan

  3. Klicken Sie auf Speichern.

Sie können jetzt mit Azure AD synchronisieren.

Synchronisieren Sie Azure AD

Hinweis

Sie können keine Vorschau der Änderungen anzeigen, die bei der Synchronisierung mit Azure AD in Sophos Centralvorgenommen werden.

Verfahren Sie zur Synchronisierung mit Azure AD wie folgt:

  1. Klicken Sie auf Einschalten.
  2. Klicken Sie auf Daten abgleichen.

    Der Synchronisierungsstatus wird aktualisiert.

  3. Klicken Sie auf Benutzer, um die Änderungen an Ihren Benutzern zu überprüfen.

  4. Klicken Sie auf Gruppen, um die Änderungen an Ihren Gruppen zu überprüfen.
Zurück zum Seitenanfang