Zum Inhalt

Einrichten der Synchronisierung mit Microsoft Entra ID (Azure AD)

Sie können Benutzer und Gruppen von Microsoft Entra ID (Azure AD) zu Sophos Central synchronisieren. Sie können aus mehreren Microsoft-Entra-ID (Azure AD)-Domänen synchronisieren.

Warnung

Sie können Sophos Central nicht mit Microsoft Entra ID (Azure AD) synchronisieren, wenn Sie einen Office 365 GCC High-Plan verwenden.

In diesen Anweisungen erfahren Sie, wie Sie eine Microsoft Entra ID (Azure AD)-Verzeichnisquelle einrichten. Hilfe zur Verwaltung Ihrer Verzeichnisquellen finden Sie unter Verwalten Ihrer Quellen.

Sie können eine Vorschau der Informationen anzeigen, die Sie synchronisieren. Sie müssen zuerst den Setup-Prozess abschließen.

Sie müssen die folgenden Abschnitte lesen und alle erforderlichen Aufgaben ausführen, bevor Sie die Synchronisierung mit Microsoft Entra ID (Azure AD) einrichten:

  • Voraussetzungen
  • Einschränkungen

Wenn Sie dies bereits getan haben, gehen Sie zu Microsoft Entra ID (Azure AD) hinzufügen.

Anforderungen

Bevor Sie beginnen, überprüfen Sie Folgendes:

  • Überprüfen Sie, ob Sie über die richtige Administratorrolle verfügen. Sie müssen ein Administrator sein, um Verzeichnisquellen einzurichten.

  • Überprüfen, ob Sie über das richtige Microsoft Azure-Setup und die korrekten Rechte verfügen. Sie müssen wie folgt vorgehen:

  • Stellen Sie sicher, dass alle vorhandenen Benutzer oder Gruppen in Sophos Central über eine Microsoft Entra ID (Azure AD)-Übereinstimmung verfügen.

    Wenn Benutzer oder Gruppen keine Übereinstimmung haben, müssen Sie sie manuell in Sophos Central verwalten.

  • Stellen Sie sicher, dass alle Microsoft Entra ID (Azure AD)-Benutzer über eine E-Mail-Adresse verfügen.

    Sie benötigen eine E-Mail-Adresse für Ihre Benutzer, um sie bei der Verwendung vieler Sophos Central-Workflows zu schützen.

    Wenn Sie beispielsweise Sophos Email zum Schutz Ihrer Benutzer verwenden, wird eine E-Mail an eine E-Mail-Adresse, die nicht mit einem Benutzer verknüpft ist, nicht zugestellt.

Warnung

Unter bestimmten Umständen werden Benutzer dupliziert. Dies liegt daran, dass die von Microsoft Entra ID (Azure AD) synchronisierten UPN-Kennungen und die Benutzeranmeldung am Endpoint nicht übereinstimmen. Für weitere Informationen siehe Warum sind einige meiner aus Microsoft Entra ID (Azure AD) synchronisierten Benutzer nicht mit einem Endpoint-Login-Benutzer verknüpft?.

Weitere Informationen zur Synchronisierung mit Microsoft Entra ID (Azure AD) finden Sie unter Verbinden Sie Ihr Arbeitsgerät mit dem Netzwerk Ihres Unternehmens.

Einschränkungen

Bevor Sie die Synchronisierung einrichten, müssen Sie Folgendes wissen:

  • Sie können nicht mehrere Microsoft Entra ID (Azure AD)-Quellen aus derselben Domäne synchronisieren.
  • Sie können Benutzer oder E-Mail-Adressen nicht mit mehreren Sophos Central Admin-Konten synchronisieren. Benutzer und E-Mail-Adressen müssen in jedem Sophos Central Admin-Konto eindeutig sein.
  • Sie können Benutzer aus derselben Domäne nicht mithilfe von Active Directory (AD) und Microsoft Entra ID (Azure AD) synchronisieren.
  • Sie können die Delegationsdetails für Benutzer, Gruppen und freigegebene Postfächer nicht synchronisieren.
  • Sie können keine Geräte mit Microsoft Entra ID (Azure AD) hinzufügen oder entfernen und dann die Änderungen synchronisieren.

Überprüfen, ob Sie über die richtigen Microsoft Azure-Informationen verfügen

Für die Synchronisierung mit Microsoft Entra ID (Azure AD) benötigen Sie einige Microsoft Azure-Informationen.

Um diese Informationen zu erhalten, müssen Sie eine Azure-Anwendung einrichten. Wenn Sie eine Azure-Anwendung eingerichtet haben, überprüfen Sie, ob Sie über die in diesem Abschnitt aufgeführten Informationen verfügen.

Um eine Azure-Anwendung einzurichten, folgen Sie den Anweisungen in Azure-Anwendungen einrichten.

Warnung

Sie müssen diese Anweisungen genau befolgen.

Wenn Sie Ihre Azure-Anwendung nur mit der Berechtigung Microsoft Entra ID Graph Directory.Read.All eingerichtet haben und Sie Änderungen an Ihren Microsoft Entra ID (Azure AD)-Synchronisierungseinstellungen vornehmen möchten, müssen Sie die Berechtigung Microsoft Graph Directory.Read.All hinzufügen. Hilfe dazu finden Sie unter „Einrichten einer Azure-Anwendung“.

  1. Notieren Sie sich die folgenden Informationen.

    • Mandantendomäne
    • Anwendungs-ID
    • Geheimer Clientschlüssel. Sie benötigen den Wert für Ihren geheimen Clientschlüssel.
    • Gültigkeitsdauer des geheimen Clientschlüssels
  2. Wenn nicht alle Informationen vorliegen, ziehen Sie den Abschnitt zum „Einrichten einer Azure-Anwendung“ zu Rate.

Sie können jetzt Ihre Microsoft-Entra-ID-Einstellungen (Azure AD) konfigurieren.

Microsoft Entra ID (Azure AD) hinzufügen

Gehen Sie wie folgt vor, um eine Microsoft Entra ID (Azure AD)-Verzeichnisquelle hinzuzufügen:

  1. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen und klicken Sie auf Verzeichnisdienst.
  2. Klicken Sie auf Microsoft Entra ID hinzufügen (Azure AD).
  3. Geben Sie einen Name für die Quelle ein.
  4. Geben Sie eine Beschreibung ein.
  5. Geben Sie die Domäne für die Quelle ein.
  6. Klicken Sie auf Weiter.

Sie können jetzt Ihre Azure-Anwendungsinformationen hinzufügen.

Synchronisierungseinstellungen für Microsoft Entra ID (Azure AD) konfigurieren

So konfigurieren Sie die Synchronisierungseinstellungen von Microsoft Entra ID (Azure AD):

  1. Geben Sie unter Azure-Sync-Einstellungen konfigurieren folgende Informationen ein:

    • Client-ID: Dies ist die Anwendungs-ID für Ihre Azure-Anwendung.
    • Domäne: Hierbei handelt es sich um die primäre Domäne, die Ihrer Microsoft-Entra-ID-Instanz (Azure AD) zugewiesen ist.
    • Client secret: Dies ist der Wert für den geheimen Clientschlüssel für Ihre Azure-Anwendung. Sie können den Wert des geheimen Clientschlüssels aus dem Feld Wert abrufen, wenn Sie einen geheimen Clientschlüssel erstellen. Siehe Azure-Anwendungen einrichten.
    • Gültigkeitsdauer des geheimen Clientschlüssels: Dies ist das Ablaufdatum für Ihren geheimen Clientschlüssel.

    Synchronisierungseinstellungen für Microsoft Entra ID (Azure AD).

  2. Klicken Sie auf Verbindung testen, um Ihre Einstellungen zu prüfen.

  3. Klicken Sie auf Speichern, um die Einstellungen zu speichern.
  4. Klicken Sie auf Verbindung testen, um die gespeicherten Anmeldeinformationen zu überprüfen.

    Testverbindung mit Microsoft Entra ID (Azure AD).

Sie können nun die Benutzer und Gruppen auswählen, die synchronisiert werden sollen.

Auswahl der zu synchronisierenden Benutzer und Gruppen

Sie können die Benutzer und Gruppen filtern, die Sie synchronisieren.

Wenn Sie Filter wechseln, ändern Sie die Benutzer und Gruppen, die Sie synchronisieren. Alle Benutzer und Gruppen, die nicht im neuen Filter enthalten sind, werden aus Sophos Central entfernt.

Wenn Sie bereits Benutzer und Gruppen in Sophos Central haben und zum ersten Mal mit Microsoft Entra ID (Azure AD) synchronisieren, empfehlen wir Ihnen, alle Benutzer und Gruppen auszuwählen. Dadurch wird dem Synchronisierungsdienst der größte Satz an Benutzern und Gruppen angezeigt.

Wenn Sie über eine komplexe Hierarchie von Gruppen und Benutzern in Microsoft Entra ID (Azure AD) verfügen, empfehlen wir Ihnen, Benutzer und Gruppen hinzuzufügen, nachdem Sie diese gefiltert haben. Sie können entweder Benutzer über Gruppen-Filter hinzufügen oder Benutzer über Benutzer-Filter hinzufügen verwenden.

Gehen Sie wie folgt vor, um Ihre Benutzer und Gruppen auszuwählen:

  1. Wählen Sie unter Wählen Sie Benutzer und Gruppen aus, die synchronisiert werden aus, welche Benutzer und Gruppen Sie mit Microsoft Entra ID (Azure AD) synchronisieren möchten. Mithilfe von Filtern können Sie bestimmte Benutzer und Gruppen aus Microsoft Entra ID (Azure AD) synchronisieren.

    Benutzer- und Gruppeneinstellungen für Microsoft Entra ID (Azure AD).

    Für weitere Informationen zu diesen Filtern siehe Benutzer und Gruppen filtern.

  2. Klicken Sie auf Speichern.

Sie können jetzt Ihren Synchronisierungszeitplan einrichten.

Einrichten Ihres Zeitplans für die Synchronisierung

Sie können die Häufigkeit auswählen, mit der die Synchronisierung von Benutzern und Gruppen erfolgen soll.

Verfahren Sie wie folgt, um einen Zeitplan einzurichten:

  1. Gehen Sie zu Synchronisierungszeitplan.
  2. Wählen Sie Ihren Zeitplan aus den folgenden Optionen aus:

    • Stündlich: Wir synchronisieren Ihre Daten basierend auf dem Stundenmultiplikator und der von Ihnen gewählten lokalen Startzeit. Zum Beispiel: alle 6 Stunden ab 02:00 Uhr.
    • Täglich: Wir synchronisieren Ihre Daten täglich zu Ihrer gewählten Ortszeit.
    • Wöchentlich: Wir synchronisieren Ihre Daten an den von Ihnen ausgewählten Tagen zur ausgewählten Ortszeit.
    • Monatlich: Wir synchronisieren Ihre Daten zu den von Ihnen gewählten Terminen. Sie können bis zu zwei Termine auswählen. Klicken Sie auf Einen weiteren Tag hinzufügen, um ein zweites Datum hinzuzufügen.
    • Keine: Wählen Sie diese Option, wenn Sie jedes Mal manuell synchronisieren möchten.

    Zeitplan für die Synchronisierung mit Microsoft Entra ID (Azure AD).

  3. Klicken Sie auf Speichern.

Sie können jetzt mit Microsoft Entra ID (Azure AD) synchronisieren.

Mit Microsoft Entra ID (Azure AD) synchronisieren

Sie können eine Vorschau der Informationen anzeigen, die Sie synchronisieren. Siehe Synchronisierungsvorschau.

Verfahren Sie zum Synchronisieren mit Microsoft Entra ID (Azure AD) wie folgt:

  1. Klicken Sie auf Einschalten.
  2. Klicken Sie auf Synchronisieren.

    Der Synchronisierungsstatus wird aktualisiert.

  3. Klicken Sie auf Benutzer, um die Änderungen an Ihren Benutzern zu überprüfen.

  4. Klicken Sie auf Gruppen, um die Änderungen an Ihren Gruppen zu überprüfen.

Synchronisierungsvorschau

Sie können eine Vorschau der Informationen anzeigen, die Sie synchronisieren.

Wenn Sie die Synchronisierung bereits eingerichtet haben, müssen Sie sie deaktivieren, bevor Sie eine Vorschau generieren können. Die Vorschauergebnisse sind sieben Tage lang oder bis zur nächsten Synchronisierung gültig.

Gehen Sie wie folgt vor, um eine Vorschau zu erstellen:

  1. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen und klicken Sie auf Verzeichnisdienst.
  2. Wählen Sie die Microsoft Entra ID (Azure AD)-Quelle aus, die Sie in der Vorschau anzeigen möchten.
  3. Wenn die Quelle eingeschaltet ist, klicken Sie auf Deaktivieren.

    Microsoft Entra ID (Azure AD) Synchronisierung ausschalten.

    Warten Sie, bis sich der Status ändert.

    Sie sehen eine Schaltfläche Vorschau und eine Registerkarte Vorschau.

  4. Klicken Sie auf Schaltfläche Vorschau, um die Vorschau zu generieren.

    Schaltfläche zur Erstellung einer Vorschau der Microsoft Entra ID (Azure AD)-Synchronisierung.

    Während die Vorschau generiert wird, wird ein Banner angezeigt. Warten Sie, bis das Banner nicht mehr angezeigt wird.

  5. Klicken Sie auf die Registerkarte Vorschau, um die Ergebnisse anzuzeigen.

    Registerkarte „Vorschau“ zur Synchronisierung mit Microsoft Entra ID (Azure AD).

    Sie können die Vorschauergebnisse in JSON exportieren.

    Wenn die Vorschauergebnisse mehr als 20.000 Datensätze enthalten, können wir sie nicht in der Registerkarte Vorschau anzeigen. Sie müssen sie exportieren.