Vai al contenuto

Impostazione della sincronizzazione con Active Directory

Alcune funzionalità potrebbero non essere ancora disponibili per tutti i clienti.

È possibile sincronizzare utenti, dispositivi e gruppi. Anche le cartelle pubbliche e le caselle di posta possono essere sincronizzate.

Si possono sincronizzare domini diversi nella stessa foresta. È possibile selezionare più domini figlio all’interno di una singola foresta.

Inoltre, si possono sincronizzare più foreste con un account Sophos Central Admin. Occorre tenere presente quanto segue:

  • Consigliamo di sincronizzare una foresta con un account Sophos Central Admin. La sincronizzazione di una foresta con più account potrebbe causare un comportamento imprevedibile in Sophos Central Admin.
  • Gli utenti e gli indirizzi e-mail devono essere univoci in ciascuna foresta. Se sono presenti oggetti duplicati, verranno aggiornati con le informazioni ottenute da ogni foresta durante la sincronizzazione. La sincronizzazione non unisce i dati. Questo ci permette di mostrare eventuali informazioni incoerenti per gli oggetti foresta duplicati in Sophos Central Admin.

È anche possibile svolgere le seguenti operazioni:

  • Sincronizzare dispositivi e gruppi di dispositivi da Active Directory (AD) e sincronizzare utenti e gruppi di utenti da Microsoft Entra ID per lo stesso dominio.

    Avviso

    Se si desidera sincronizzare le caselle di posta e le cartelle pubbliche condivise, occorre utilizzare AD anche per sincronizzare gli utenti e i gruppi di utenti, se questi si trovano nello stesso dominio delle proprie caselle di posta e cartelle pubbliche condivise.

  • Eseguire la sincronizzazione da AD e Microsoft Entra ID per domini diversi.

Configurazione della Sincronizzazione con Active Directory

Per effettuare la sincronizzazione con AD, occorre scaricare e installare l’utilità di Impostazione della Sincronizzazione con Active Directory (la procedura di installazione e download viene descritta di seguito). L’Impostazione della Sincronizzazione con Active Directory svolge le seguenti azioni:

  • Sincronizza gli utenti e i gruppi di utenti attivi.

    Se un utente trova corrispondenza con un utente di Sophos Central esistente, l’Impostazione della sincronizzazione con Active Directory creerà un nuovo utente solo se l’utente esistente è stato creato manualmente in Sophos Central. Non creerà un nuovo utente se l’utente esistente è stato sincronizzato da un altro servizio directory. Lo stesso vale per i gruppi.

    Esempi
    • È possibile aggiungere un indirizzo e-mail da AD a un utente già esistente in Sophos Central che è stato aggiunto utilizzando un altro servizio directory.
    • Quando si crea manualmente un utente di nome “Bob” nella pagina Persone e successivamente si aggiunge un altro utente di nome “Bob” da AD, saranno presenti due utenti “Bob” in Sophos Central.
  • Sincronizza i dispositivi e i gruppi di dispositivi. Per sapere come viene identificata la corrispondenza tra dispositivi e gruppi e per altre informazioni utili, vedere Domande frequenti sull'individuazione dei gruppi di dispositivi.

  • Sincronizza le caselle di posta e le cartelle pubbliche condivise.

    Per sincronizzare caselle di posta condivise, occorre assicurarsi che l’opzione Esclusione degli account utente disattivati sia attivata quando si configurano le opzioni di sincronizzazione. Se si disattiva questa opzione, verranno create caselle di posta condivise doppie in Sophos Central.

Può essere impostata per eseguirsi automaticamente a orari prestabiliti. Supporta solamente il servizio di sincronizzazione con AD. Non aiuta a installare il software dell’agente Sophos sui dispositivi degli utenti. Occorre invece utilizzare altri metodi di distribuzione.

Prima di impostare la sincronizzazione con AD, è necessario leggere le sezioni seguenti e completare le operazioni richieste:

  • Requisiti
  • Restrizioni
  • Rimozione degli utenti e dei dispositivi inattivi

Se queste operazioni sono già state completate, passare a Download del software di impostazione e convalida delle credenziali.

Requisiti

Prima di configurare la sincronizzazione, verificare che i seguenti requisiti siano soddisfatti:

  • Occorre essere un Amministratore per configurare le origini della directory.
  • .NET Framework 4.5.2 deve essere installata sul computer in cui verrà eseguita l’Impostazione della Sincronizzazione con Active Directory.
  • È necessario avere credenziali Sophos API per effettuare la sincronizzazione con Active Directory. Occorre averle prima di configurare la sincronizzazione, prima di modificare la configurazione esistente e prima di eseguire la sincronizzazione.

    Occorre utilizzare il ruolo API Sincronizzazione Active Directory entità servizio. È essenziale verificare che questo accesso sia quanto più specifico possibile.

    Vedere Gestione credenziali API.

  • Bisogna verificare che tutti gli utenti di Active Directory abbiano un indirizzo e-mail.

    Se si utilizzano molti flussi di lavoro di Sophos Central, gli utenti devono avere un indirizzo e-mail per essere inclusi nella protezione.

    Ad esempio, se si utilizza Sophos Email per proteggere gli utenti, un messaggio e-mail destinato a un indirizzo e-mail non associato a un utente non verrà recapitato.

  • È necessario configurare il firewall o proxy in modo che autorizzi alcuni domini. Vedere Domini e porte da autorizzare.

Restrizioni

Non è possibile:

  • Sincronizzare utenti e gruppi di utenti utilizzando sia AD che Microsoft Entra ID dallo stesso dominio.
  • Sincronizzare utenti o indirizzi e-mail con più account Sophos Central Admin. Gli utenti e gli indirizzi e-mail devono essere univoci in ciascun account Sophos Central Admin.
  • Sincronizzare utenti con gruppi provenienti da più domini. Sincronizzeremo solo gli utenti provenienti dal dominio a cui appartiene il gruppo. Preview and Sync mostra tutti i membri del gruppo, ma non aggiungeremo al gruppo utenti provenienti da altri domini.

    Si consideri il seguente esempio: sono presenti due domini chiamati dominioX.com e sotto.dominioX.com. Uno dei domini, dominioX.com, ha un gruppo: g1. Il gruppo g1 contiene membri provenienti da entrambi i domini. Sincronizzeremo gli utenti e li assoceremo al gruppo g1. Svolgeremo questa operazione solo per il dominio a cui è associato il gruppo. Questo significa che sincronizzeremo gli utenti di dominioX.com e li aggiungeremo al gruppo g1. Preview and Sync mostrerà tutti i membri del gruppo, ma non aggiungeremo al gruppo utenti provenienti dal secondo dominio.

  • Impostare più di 1000 filtri per un oggetto directory. I filtri permettono di selezionare gli utenti e i dispositivi da sincronizzare.

  • Configurare filtri LDAP aggiuntivi di lunghezza superiore ai 5000 caratteri.
  • Utilizzare un dominio con un nome che ha una o più parti che superano i 63 caratteri, oppure che inizia o termina con i caratteri “-” o “_”.
  • Sincronizzare gli utenti separatamente dai gruppi di utenti. Occorre sincronizzare entrambi o nessuno dei due.
  • Sincronizzare i dispositivi separatamente dai gruppi di dispositivi. Occorre sincronizzare entrambi o nessuno dei due.
  • Sincronizzare le caselle di posta di gruppo (condivise) di Microsoft 365. Occorre utilizzare la sincronizzazione con Microsoft Entra ID.
  • Sincronizzare più client AD da un singolo dominio o sottodominio.

Rimozione degli utenti e dei dispositivi inattivi

Si consiglia di rimuovere gli utenti e i dispositivi inattivi dai propri domini di AD. Gli account e i dispositivi degli utenti inattivi rappresentano un rischio di sicurezza. La rimozione di questi utenti riduce anche le dimensioni del file inviato a Sophos Central da AD, e questo contribuisce a rendere più rapida la sincronizzazione.

Per informazioni su come trovare e rimuovere utenti inattivi, vedere:

È possibile utilizzare i filtri di AD per impedire agli utenti inattivi di sincronizzarsi con Sophos Central. Questo permette di ridurre le dimensioni del file di sincronizzazione inviato a Sophos Central, ma non riduce i rischi di sicurezza associati agli utenti inattivi nei domini di AD.

Vedere Filtro degli utenti AD inattivi.

Download del software di impostazione e convalida delle credenziali

Per cominciare a configurare la sincronizzazione con AD, occorre scaricare l’Impostazione della Sincronizzazione con Active Directory e convalidare le credenziali.

Queste istruzioni indicano come configurare la sincronizzazione con AD. La procedura indicata serve ad aggiungere un’origine della directory di AD. Per informazioni su come gestire le origini della directory, vedere Gestione delle origini.

Per cominciare con la configurazione, procedere come segue:

  1. Selezionare Prodotti > Impostazioni generali e cliccare su Servizio directory.
  2. Cliccare sul link per scaricare l’Impostazione della Sincronizzazione con Active Directory. Eseguire quindi il file. Viene avviata l’Impostazione della Sincronizzazione con Active Directory.
  3. Immettere ID client e Segreto client e cliccare su Validate credentials.
  4. Abilitare Configure proxy manually, se si desidera utilizzare un proxy e immettere il proprio Proxy address (indirizzo proxy).
  5. Se si utilizza un proxy, è possibile attivare un ulteriore tipo di autenticazione. Attivare Enable proxy authentication e immettere le seguenti informazioni.

    • Utente proxy
    • Password proxy
  6. Cliccare su Validate credentials per verificare le impostazioni del proxy.

A questo punto, bisogna immettere i dettagli della propria configurazione di AD.

Immissione dei dati di configurazione di AD

È ora possibile immettere i dettagli della configurazione di AD. Occorre utilizzare le credenziali di un account utente che dispone di accesso in lettura all’intera foresta di Active Directory che si desidera sincronizzare. Per garantire la massima protezione, utilizzare un account con diritti limitati.

Per immettere la configurazione, procedere segue:

  1. Nella pagina AD Configuration, immettere i dettagli del server LDAP di Active Directory e le credenziali.

    Si consiglia di utilizzare una connessione LDAP protetta, cifrata con SSL, e di mantenere selezionata l’opzione Use LDAP over an SSL connection (recommended).

  2. Se l’ambiente LDAP non supporta SSL, disattivare Use LDAP over an SSL connection (recommended) e modificare il numero di porta. Di solito il numero di porta utilizzato è 636 per le connessioni SSL e 389 per le connessioni non protette.

    Microsoft ha rilasciato un aggiornamento per la sicurezza che ha modificato il binding di canale LDAP e la firma LDAP per Active Directory. Le connessioni non sicure sulla porta 389 non funzionano con l’aggiornamento per la sicurezza di Microsoft. Vedere Requisito 2020 relativo al binding di canale LDAP e alla firma LDAP per Windows.

Il passaggio successivo prevede la configurazione delle opzioni di sincronizzazione. Per procedere, cliccare su Next (Avanti) e configurare la sincronizzazione utilizzando le schede rimanenti.

È possibile cliccare su Finish (Fine) in una qualsiasi delle schede, una volta terminata la configurazione.

Configurazione delle opzioni di sincronizzazione

È ora possibile configurare i filtri che si desidera utilizzare per sincronizzare le informazioni da AD a Sophos Central.

Alcune funzionalità potrebbero non essere ancora disponibili per tutti i clienti.

Filtri AD

È possibile scegliere i tipi di dati da sincronizzare, utilizzando la Configurazione della Sincronizzazione con Active Directory.

I tipi di dati da sincronizzare vengono selezionati configurando filtri LDAP.

Per informazioni specifiche sulla sincronizzazione di diversi tipi di dati, vedere:

Per filtrare i dati, procedere come segue:

  1. Nella scheda AD Filters, configurare un filtro LDAP per selezionare gli utenti, i dispositivi e i gruppi da sincronizzare.

    È possibile immettere opzioni di ricerca aggiuntive (basi di ricerca e filtri per le query LDAP) per ciascun dominio. È anche possibile specificare opzioni diverse per utenti e gruppi di utenti.

    Nota

    La sincronizzazione crea gruppi solo con gli utenti o i dispositivi individuati, indipendentemente dalle impostazioni del filtro per il gruppo.

    Opzione Descrizione
    Basi di ricerca

    È possibile specificare basi di ricerca (note anche come “nomi base distinti”). Ad esempio, se si desidera effettuare il filtraggio in base alle unità organizzative (Organizational Units, OU), una base di ricerca può essere specificata nel seguente formato:

    OU=Finance,DC=myCompany,DC=com

    Filtri per le query LDAP

    Per filtrare gli utenti in base, ad es. ai gruppi di appartenenza, è possibile definire un filtro per le query utente nel seguente formato:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Questa query limita l’individuazione degli utenti ai soli utenti appartenenti al gruppo “testGroup”. Si noti che la sincronizzazione individua tutti i gruppi a cui appartengono questi utenti individuati, a meno che non si specifichi un filtro per le query gruppo. Se si desidera anche limitare l’individuazione dei gruppi al gruppo “testGroup”, è possibile definire il seguente filtro per le query gruppo:

    CN=testGroup

    Questi filtri possono essere utilizzati anche per impedire la sincronizzazione con Sophos Central degli utenti inattivi.

    Esclusione degli account utente disattivati

    La sincronizzazione esclude gli account utente disattivati per impostazione predefinita. Per includerli, disattivare questa opzione.

    Se si desidera sincronizzare le caselle di posta condivise, è necessario assicurarsi che questa opzione sia attivata. In caso contrario, verranno create caselle di posta condivise doppie in Sophos Central.

    Avviso

    Se nelle opzioni di ricerca vengono inclusi nomi base distinti, oppure se si modificano le impostazioni del filtro, alcuni degli utenti Sophos Central e alcuni dei gruppi creati durante le sincronizzazioni precedenti potrebbero non rientrare nell’ambito di ricerca. Potrebbero quindi essere eliminati da Sophos Central.

È ora possibile configurare la propria pianificazione della sincronizzazione. Vedere Programma di sincronizzazione.

Dispositivi e gruppi di dispositivi

Se si desidera sincronizzare dispositivi e gruppi di dispositivi, procedere come segue:

  1. Cliccare su AD Filters.
  2. Attivare Sync devices e Sync organizational units.
  3. Potrebbe essere preferibile sincronizzare le unità organizzative prima di sincronizzare i dispositivi, in modo da poter configurare i gruppi in anticipo. Per svolgere questa operazione, attivare solo Sync organizational units (Sincronizza unità organizzative).

    Si consiglia di sincronizzare le Unità organizzative prima di sincronizzare i dispositivi per la prima volta. In questo modo sarà possibile configurare i criteri e applicarli ai gruppi. Successivamente, si potranno sincronizzare i dispositivi e procederemo ad applicarvi i criteri. Se non si procede in questo modo, applicheremo a gruppi e dispositivi i nostri criteri predefiniti.

    Se si sincronizzano le unità organizzative prima di sincronizzare i dispositivi, è necessario attivare Sync devices (Sincronizza dispositivi) e Sync organizational units quando si sincronizzano i dispositivi. In questo modo verrà mantenuta l’associazione tra le unità organizzative e i dispositivi.

    Se dopo aver sincronizzato le unità organizzative e i dispositivi si desidera modificare queste impostazioni, occorre tenere presente quanto segue:

    • Se si disattiva Sync organizational units, si lascia attivata l’opzione Sync devices e successivamente si esegue la sincronizzazione, le unità organizzative verranno visualizzate come Gruppi personalizzati in Sophos Central.
    • Se si disattiva Sync devices, si lascia attivata l’opzione Sync organizational units e si esegue la sincronizzazione, i dispositivi non verranno assegnati a gruppi in Sophos Central.

Utenti e gruppi di utenti

Se si desidera sincronizzare utenti e gruppi di utenti, procedere come segue:

  1. Cliccare su AD Filters.
  2. Abilitare Sync users and user groups (Sincronizza utenti e gruppi di utenti).

    Questa opzione sincronizza anche le caselle di posta condivise.

    In alternativa, è possibile sincronizzare i propri utenti e gruppi di utenti utilizzando Microsoft Entra ID. Se si desidera procedere in questo modo, l’opzione di cui sopra può essere disattivata.

    Disattivando questa opzione, non sarà possibile sincronizzare le caselle di posta o le cartelle pubbliche condivise.

Cartelle pubbliche

Se si desidera sincronizzare cartelle pubbliche, procedere come segue:

  1. Cliccare su AD Filters.
  2. Abilitare Sync users and user groups (Sincronizza utenti e gruppi di utenti).

    Le cartelle pubbliche sono caselle di posta, pertanto questa opzione deve essere attivata.

  3. Abilitare Sync public folders (Sincronizza cartelle pubbliche).

    Opzioni per la Sincronizzazione con Active Directory.

Programma di sincronizzazione

Per configurare la propria pianificazione della sincronizzazione, procedere come segue:

  1. Nella scheda Sync Schedule, definire gli orari in cui effettuare la sincronizzazione.

    Opzioni di pianificazione di Active Directory.

    Nota

    Un servizio in background esegue una sincronizzazione pianificata.

  2. Se si desidera effettuare la sincronizzazione manualmente ed evitare che la sincronizzazione venga eseguita automaticamente, selezionare Never. Only sync when manually initiated.

È ora possibile eseguire la sincronizzazione con AD.

Sincronizzazione con AD

Consigliamo di eseguire la sincronizzazione manuale con AD quando si configura la sincronizzazione o si modificano le impostazioni. In questo modo sarà possibile verificare le modifiche da effettuare durante la sincronizzazione.

La sincronizzazione manuale potrebbe richiedere fino a 15 minuti.

Per eseguire la sincronizzazione, procedere come segue:

  1. Cliccare su Preview and Sync.

    • Se si utilizzano filtri per le query LDAP, verificare di averli configurati correttamente.
  2. Verificare le modifiche da effettuare durante la sincronizzazione. Se le modifiche sono corrette, cliccare su Approve Changes and Continue. Gli utenti, i dispositivi e i gruppi verranno importati da AD a Sophos Central.

  3. Controllare gli utenti, i dispositivi e i gruppi in Sophos Central.

    • Controllare gli utenti per assicurarsi che i dispositivi siano protetti.
    • Controllare i criteri applicati agli utenti e ai gruppi di utenti.
    • Verificare se sono presenti dispositivi non gestiti tra i computer e i server. Verranno mostrati in schede separate. Proteggere eventuali dispositivi non gestiti.
    • Controllare i criteri applicati ai dispositivi e ai gruppi di dispositivi. È possibile applicare criteri al gruppo di dispositivi di AD.

Trasferimento dei server di sincronizzazione con Active Directory

Se si desidera trasferire il server utilizzato per la sincronizzazione con AD, procedere come segue:

  1. Interrompere la sincronizzazione sul server attuale.
  2. Impostare la sincronizzazione con Active Directory sul nuovo server.

    Per assistenza con questa operazione, seguire le istruzioni fornite nelle sezioni precedenti di questa pagina.

  3. Verificare che non siano necessarie modifiche ai filtri.

  4. Visualizzare un’anteprima della sincronizzazione per controllare che le impostazioni siano corrette.
  5. Sincronizzare e verificare che tutto funzioni come previsto.
  6. Impostare la propria pianificazione della sincronizzazione.
  7. Rimuovere la sincronizzazione con Active Directory dal server originale.