Vai al contenuto

Impostazione della sincronizzazione con Active Directory

È possibile sincronizzare utenti, dispositivi e gruppi. Anche le cartelle pubbliche e le caselle di posta possono essere sincronizzate.

Si possono sincronizzare domini diversi nella stessa foresta. È possibile selezionare più domini figlio all'interno di una singola foresta.

È anche possibile svolgere le seguenti operazioni:

  • Sincronizzare dispositivi e gruppi di dispositivi da Active Directory (AD) e sincronizzare utenti e gruppi di utenti da Microsoft Azure AD (Azure AD) per lo stesso dominio.

    Avviso

    Se si desidera sincronizzare le caselle di posta e le cartelle pubbliche condivise, occorre utilizzare AD anche per sincronizzare gli utenti e i gruppi di utenti, se questi si trovano nello stesso dominio delle proprie caselle di posta e cartelle pubbliche condivise.

  • Eseguire la sincronizzazione da AD e Azure AD per domini diversi.

Configurazione della Sincronizzazione con Active Directory

Per effettuare la sincronizzazione con AD, occorre scaricare e installare l'utilità di Impostazione della Sincronizzazione con Active Directory (la procedura di installazione e download viene descritta di seguito). L'Impostazione della Sincronizzazione con Active Directory svolge le seguenti azioni:

  • Sincronizza gli utenti e i gruppi di utenti attivi.

    Non duplica utenti o gruppi quando viene riscontrata una corrispondenza con un utente o un gruppo di Sophos Central già esistente. Ad esempio, può aggiungere un indirizzo e-mail da AD a un utente già esistente in Sophos Central.

  • Sincronizza i dispositivi e i gruppi di dispositivi. Per sapere come viene identificata la corrispondenza tra dispositivi e gruppi e per altre informazioni utili, vedere Domande frequenti sull'individuazione dei gruppi di dispositivi.

  • Sincronizza le caselle di posta e le cartelle pubbliche condivise.

Può essere impostata per eseguirsi automaticamente a orari prestabiliti. Supporta solamente il servizio di sincronizzazione con AD. Non aiuta a installare il software dell’agente Sophos sui dispositivi degli utenti. Occorre invece utilizzare altri metodi di distribuzione.

Prima di impostare la sincronizzazione con AD, è necessario leggere le sezioni seguenti e completare le operazioni richieste:

  • Requisiti
  • Restrizioni
  • Rimozione degli utenti e dei dispositivi inattivi

Se queste operazioni sono già state completate, passare a Download del software di impostazione e convalida delle credenziali.

Requisiti

Prima di configurare la sincronizzazione, verificare che i seguenti requisiti siano soddisfatti:

  • Occorre essere un Amministratore per configurare le origini della directory.
  • .NET Framework 4.5.2 deve essere installata sul computer in cui verrà eseguita l’Impostazione della Sincronizzazione con Active Directory.
  • È necessario avere credenziali Sophos API per effettuare la sincronizzazione con Active Directory. Occorre averle prima di configurare la sincronizzazione, prima di modificare la configurazione esistente e prima di eseguire la sincronizzazione.

    Occorre utilizzare il ruolo API Sincronizzazione Active Directory entità servizio. È essenziale verificare che questo accesso sia quanto più specifico possibile.

    Vedere Gestione credenziali API.

  • Bisogna verificare che tutti gli utenti di Active Directory abbiano un indirizzo e-mail.

    Se si utilizzano molti flussi di lavoro di Sophos Central, gli utenti devono avere un indirizzo e-mail per essere inclusi nella protezione.

    Ad esempio, se si utilizza Sophos Email per proteggere gli utenti, un messaggio e-mail destinato a un indirizzo e-mail non associato a un utente non verrà recapitato.

  • È necessario configurare il firewall o proxy in modo che autorizzi alcuni domini. Vedere Domini e porte da autorizzare.

Restrizioni

Non è possibile:

  • Sincronizzare utenti e gruppi di utenti utilizzando sia AD che Azure AD dallo stesso dominio.
  • Sincronizzare più foreste di AD con un account Sophos Central Admin.
  • Utilizzare più di una copia dell’Impostazione della Sincronizzazione con Active Directory per un account Sophos Central Admin.
  • Configurare più di un set di opzioni di sincronizzazione di AD per un account Sophos Central Admin.

Rimozione degli utenti e dei dispositivi inattivi

Si consiglia di rimuovere gli utenti e i dispositivi inattivi dai propri domini di AD. Gli account e i dispositivi degli utenti inattivi rappresentano un rischio di sicurezza. La rimozione di questi utenti riduce anche le dimensioni del file inviato a Sophos Central da AD, e questo contribuisce a rendere più rapida la sincronizzazione.

Per informazioni su come trovare e rimuovere utenti inattivi, vedere:

È possibile utilizzare i filtri di AD per impedire agli utenti inattivi di sincronizzarsi con Sophos Central. Questo permette di ridurre le dimensioni del file di sincronizzazione inviato a Sophos Central, ma non riduce i rischi di sicurezza associati agli utenti inattivi nei domini di AD.

Vedere Filtro degli utenti AD inattivi.

Download del software di impostazione e convalida delle credenziali

Per cominciare a configurare la sincronizzazione con AD, occorre scaricare l’Impostazione della Sincronizzazione con Active Directory e convalidare le credenziali.

Queste istruzioni indicano come configurare la sincronizzazione con AD. La procedura indicata serve ad aggiungere un’origine della directory di AD. Per informazioni su come gestire le origini della directory, vedere Gestione delle origini.

Per cominciare con la configurazione, procedere come segue:

  1. Selezionare Panoramica > Impostazioni globali > Servizio directory.
  2. Cliccare sul link per scaricare l'Impostazione della Sincronizzazione con Active Directory. Eseguire quindi il file. Viene avviata l'Impostazione della Sincronizzazione con Active Directory.
  3. Immettere ID client e Segreto client e cliccare su Validate credentials.
  4. Abilitare Configure proxy manually, se si desidera utilizzare un proxy e immettere il proprio Proxy address (indirizzo proxy).
  5. Se si utilizza un proxy, è possibile attivare un ulteriore tipo di autenticazione. Attivare Enable proxy authentication e immettere le seguenti informazioni.

    • Utente proxy
    • Password proxy
  6. Cliccare su Validate credentials per verificare le impostazioni del proxy.

A questo punto, bisogna immettere i dettagli della propria configurazione di AD.

Immissione dei dati di configurazione di AD

È ora possibile immettere i dettagli della configurazione di AD. Occorre utilizzare le credenziali di un account utente che dispone di accesso in lettura all'intera foresta di Active Directory che si desidera sincronizzare. Per garantire la massima protezione, utilizzare un account con diritti limitati.

Per immettere la configurazione, procedere segue:

  1. Nella pagina AD Configuration, immettere i dettagli del server LDAP di Active Directory e le credenziali.

    Si consiglia di utilizzare una connessione LDAP protetta, cifrata con SSL, e di mantenere selezionata l'opzione Use LDAP over an SSL connection (recommended).

  2. Se l'ambiente LDAP non supporta SSL, disattivare Use LDAP over an SSL connection (recommended) e modificare il numero di porta. Di solito il numero di porta utilizzato è 636 per le connessioni SSL e 389 per le connessioni non protette.

    Microsoft ha rilasciato un aggiornamento per la sicurezza che ha modificato il binding di canale LDAP e la firma LDAP per Active Directory. Le connessioni non sicure sulla porta 389 non funzionano con l'aggiornamento per la sicurezza di Microsoft. Vedere Requisito 2020 relativo al binding di canale LDAP e alla firma LDAP per Windows.

Il passaggio successivo prevede la configurazione delle opzioni di sincronizzazione. Per procedere, cliccare su Next (Avanti) e configurare la sincronizzazione utilizzando le schede rimanenti.

È possibile cliccare su Finish (Fine) in una qualsiasi delle schede, una volta terminata la configurazione.

Configurazione delle opzioni di sincronizzazione

È ora possibile configurare i filtri che si desidera utilizzare per sincronizzare le informazioni da AD a Sophos Central.

Restrizione

Alcune funzionalità potrebbero non essere ancora disponibili per tutti i clienti.

Filtri AD

È possibile scegliere i tipi di dati da sincronizzare, utilizzando la Configurazione della Sincronizzazione con Active Directory.

I tipi di dati da sincronizzare vengono selezionati configurando filtri LDAP.

Per informazioni specifiche sulla sincronizzazione di diversi tipi di dati, vedere:

  • Dispositivi e gruppi di dispositivi
  • Utenti e gruppi di utenti
  • Cartelle pubbliche Per filtrare i dati, procedere come segue:
  • Nella scheda AD Filters, configurare un filtro LDAP per selezionare gli utenti, i dispositivi e i gruppi da sincronizzare.

    È possibile immettere opzioni di ricerca aggiuntive (basi di ricerca e filtri per le query LDAP) per ciascun dominio. È anche possibile specificare opzioni diverse per utenti e gruppi di utenti.

    Nota

    La sincronizzazione crea gruppi solo con gli utenti o i dispositivi individuati, indipendentemente dalle impostazioni del filtro per il gruppo.

    Opzione Descrizione
    Basi di ricerca È possibile specificare basi di ricerca (note anche come “nomi base distinti”). Ad esempio, se si desidera effettuare il filtraggio in base alle unità organizzative (Organizational Units, OU), una base di ricerca può essere specificata nel seguente formato:

    OU=Finance,DC=myCompany,DC=com

    Filtri per le query LDAP Per filtrare gli utenti in base, ad es. ai gruppi di appartenenza, è possibile definire un filtro per le query utente nel seguente formato:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Questa query limita l’individuazione degli utenti ai soli utenti appartenenti al gruppo “testGroup”. Si noti che la sincronizzazione individua tutti i gruppi a cui appartengono questi utenti individuati, a meno che non si specifichi un filtro per le query gruppo. Se si desidera anche limitare l'individuazione dei gruppi al gruppo “testGroup”, è possibile definire il seguente filtro per le query gruppo:

    CN=testGroup

    Questi filtri possono essere utilizzati anche per impedire la sincronizzazione con Sophos Central degli utenti inattivi.

    Esclusione degli account utente disattivati La sincronizzazione esclude gli account utente disattivati per impostazione predefinita. Per includerli, disattivare questa opzione.

    Avviso

    Se nelle opzioni di ricerca vengono inclusi nomi base distinti, oppure se si modificano le impostazioni del filtro, alcuni degli utenti Sophos Central e alcuni dei gruppi creati durante le sincronizzazioni precedenti potrebbero non rientrare nell'ambito di ricerca. Potrebbero quindi essere eliminati da Sophos Central.

È ora possibile configurare la propria pianificazione della sincronizzazione. Vedere Programma di sincronizzazione.

Dispositivi e gruppi di dispositivi

Se si desidera sincronizzare dispositivi e gruppi di dispositivi, procedere come segue:

  1. Cliccare su AD Filters.
  2. Attivare Sync devices e Sync organizational units.
  3. Potrebbe essere preferibile sincronizzare le unità organizzative prima di sincronizzare i dispositivi, in modo da poter configurare i gruppi in anticipo. Per svolgere questa operazione, attivare solo Sync organizational units (Sincronizza unità organizzative).

    Si consiglia di sincronizzare le Unità organizzative prima di sincronizzare i dispositivi per la prima volta. In questo modo sarà possibile configurare i criteri e applicarli ai gruppi. Successivamente, si potranno sincronizzare i dispositivi e procederemo ad applicarvi i criteri. Se non si procede in questo modo, applicheremo a gruppi e dispositivi i nostri criteri predefiniti.

    Se si sincronizzano le unità organizzative prima di sincronizzare i dispositivi, è necessario attivare Sync devices (Sincronizza dispositivi) e Sync organizational units quando si sincronizzano i dispositivi. In questo modo verrà mantenuta l'associazione tra le unità organizzative e i dispositivi.

    Se dopo aver sincronizzato le unità organizzative e i dispositivi si desidera modificare queste impostazioni, occorre tenere presente quanto segue:

    • Se si disattiva Sync organizational units, si lascia attivata l'opzione Sync devices e successivamente si esegue la sincronizzazione, le unità organizzative verranno visualizzate come Gruppi personalizzati in Sophos Central.
    • Se si disattiva Sync devices, si lascia attivata l’opzione Sync organizational units e si esegue la sincronizzazione, i dispositivi non verranno assegnati a gruppi in Sophos Central.

Utenti e gruppi di utenti

Se si desidera sincronizzare utenti e gruppi di utenti, procedere come segue:

  1. Cliccare su AD Filters.
  2. Abilitare Sync users and user groups (Sincronizza utenti e gruppi di utenti).

    Questa opzione sincronizza anche le caselle di posta condivise.

    In alternativa, è possibile sincronizzare gli utenti e i gruppi di utenti utilizzando Azure AD. Se si desidera procedere in questo modo, l’opzione di cui sopra può essere disattivata.

    Disattivando questa opzione, non sarà possibile sincronizzare le caselle di posta o le cartelle pubbliche condivise.

Cartelle pubbliche

Se si desidera sincronizzare cartelle pubbliche, procedere come segue:

  1. Cliccare su AD Filters.
  2. Abilitare Sync users and user groups (Sincronizza utenti e gruppi di utenti).

    Le cartelle pubbliche sono caselle di posta, pertanto questa opzione deve essere attivata.

  3. Abilitare Sync public folders (Sincronizza cartelle pubbliche).

    Opzioni per la Sincronizzazione con Active Directory

Programma di sincronizzazione

Per configurare la propria pianificazione della sincronizzazione, procedere come segue:

  1. Nella scheda Sync Schedule, definire gli orari in cui effettuare la sincronizzazione.

    Opzioni di pianificazione di Active Directory

    Nota

    Un servizio in background esegue una sincronizzazione pianificata.

  2. Se si desidera effettuare la sincronizzazione manualmente ed evitare che la sincronizzazione venga eseguita automaticamente, selezionare Never. Only sync when manually initiated.

È ora possibile eseguire la sincronizzazione con AD.

Sincronizzazione con AD

Consigliamo di eseguire la sincronizzazione manuale con AD quando si configura la sincronizzazione o si modificano le impostazioni. In questo modo sarà possibile verificare le modifiche da effettuare durante la sincronizzazione.

Per eseguire la sincronizzazione, procedere come segue:

  1. Cliccare su Preview and Sync.

    • Se si utilizzano filtri per le query LDAP, verificare di averli configurati correttamente.
  2. Verificare le modifiche da effettuare durante la sincronizzazione. Se le modifiche sono corrette, cliccare su Approve Changes and Continue. Gli utenti, i dispositivi e i gruppi verranno importati da AD a Sophos Central.

  3. Controllare gli utenti, i dispositivi e i gruppi in Sophos Central.

    • Controllare gli utenti per assicurarsi che i dispositivi siano protetti.
    • Controllare i criteri applicati agli utenti e ai gruppi di utenti.
    • Verificare se sono presenti dispositivi non gestiti tra i computer e i server. Verranno mostrati in schede separate. Proteggere eventuali dispositivi non gestiti.
    • Controllare i criteri applicati ai dispositivi e ai gruppi di dispositivi. È possibile applicare criteri al gruppo di dispositivi di AD.

Trasferimento dei server di sincronizzazione con Active Directory

Se si desidera trasferire il server utilizzato per la sincronizzazione con AD, procedere come segue:

  1. Interrompere la sincronizzazione sul server attuale.
  2. Impostare la sincronizzazione con Active Directory sul nuovo server.

    Per assistenza con questa operazione, seguire le istruzioni fornite nelle sezioni precedenti di questa pagina.

  3. Verificare che non siano necessarie modifiche ai filtri.

  4. Visualizzare un'anteprima della sincronizzazione per controllare che le impostazioni siano corrette.
  5. Sincronizzare e verificare che tutto funzioni come previsto.
  6. Impostare la propria pianificazione della sincronizzazione.
  7. Rimuovere la sincronizzazione con Active Directory dal server originale.
Torna su