Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=directory-service-Azure-AD

Impostazione della sincronizzazione con Microsoft Entra ID

È possibile sincronizzare utenti e gruppi da Microsoft Entra ID a Sophos Central. La sincronizzazione può essere eseguita da più domini Microsoft Entra ID.

Avviso

Se si utilizza un piano Office 365 GCC High, non è possibile sincronizzare Sophos Central con Microsoft Entra ID.

Queste istruzioni indicano come configurare un’origine della directory di Microsoft Entra ID. Per informazioni su come gestire le origini della directory vedere Gestione delle origini.

È possibile visualizzare un’anteprima delle informazioni che si desidera sincronizzare. Occorre prima completare il processo di impostazione.

Prima di impostare la sincronizzazione con Microsoft Entra ID, è necessario leggere le sezioni che seguono e svolgere tutte le operazioni richieste:

  • Requisiti
  • Restrizioni

Se queste operazioni sono già state completate, passare a Aggiunta di Microsoft Entra ID.

Requisiti

Prima di cominciare occorre effettuare le seguenti verifiche:

  • Assicurarsi di avere il giusto ruolo di amministratore. Occorre essere un Amministratore per impostare le origini della directory.

  • Verificare di avere la corretta configurazione di Microsoft Azure e tutte le autorizzazioni necessarie. Occorre quanto segue:

  • Assicurarsi che gli utenti o i gruppi esistenti in Sophos Central trovino corrispondenza con Microsoft Entra ID.

    Eventuali utenti o gruppi che non trovano una corrispondenza dovranno essere gestiti manualmente in Sophos Central.

  • Verificare che tutti gli utenti di Microsoft Entra ID abbiano un indirizzo e-mail.

    Se si utilizzano molti flussi di lavoro di Sophos Central, gli utenti devono avere un indirizzo e-mail per essere inclusi nella protezione.

    Ad esempio, se si utilizza Sophos Email per proteggere gli utenti, un messaggio e-mail destinato a un indirizzo e-mail non associato a un utente non verrà recapitato.

Avviso

In alcune circostanze, gli utenti potrebbero essere duplicati. Questo avviene perché gli identificatori UPN sincronizzati da Microsoft Entra ID non trovano corrispondenza con l’accesso utente all’endpoint. Per maggiori informazioni, vedere Perché alcuni degli utenti sincronizzati con Microsoft Entra ID non sono collegati a un utente Endpoint che ha effettuato l’accesso?.

Per ulteriori informazioni sulla sincronizzazione con Microsoft Entra ID, vedere Aggiungere il dispositivo aziendale alla rete aziendale.

Restrizioni

Prima di configurare la sincronizzazione, occorre tenere presente quanto segue:

  • Non è possibile sincronizzare più origini Microsoft Entra ID dallo stesso dominio.
  • Non è possibile sincronizzare utenti o indirizzi e-mail con più account Sophos Central Admin. Gli utenti e gli indirizzi e-mail devono essere univoci in ciascun account Sophos Central Admin.
  • Non è possibile sincronizzare utenti dallo stesso dominio utilizzando Active Directory (AD) e Microsoft Entra ID.
  • Non è possibile sincronizzare i dettagli della delega per utenti, gruppi e caselle di posta condivise.
  • Non è possibile aggiungere o rimuovere dispositivi utilizzando Microsoft Entra ID e successivamente sincronizzare le modifiche.

Controllo delle informazioni di Microsoft Azure per verificarne la correttezza

Per eseguire la sincronizzazione con Microsoft Entra ID, occorrono alcune informazioni relative a Microsoft Azure.

Per ottenere queste informazioni, è necessario configurare un'applicazione Azure. Se ne è già stata configurata una, verificare di avere tutte le informazioni elencate in questa sezione.

Per configurare un'applicazione Azure, seguire le istruzioni fornite in Configurazione di un'applicazione Azure.

Avviso

Queste istruzioni devono essere seguite alla lettera.

Se l’applicazione Azure è stata configurata utilizzando solo l’autorizzazione Microsoft Entra ID Graph Directory.Read.All e si desidera apportare modifiche alle impostazioni di sincronizzazione di Microsoft Entra ID, occorre aggiungere l’autorizzazione Microsoft Graph Directory.Read.All. Per maggiori informazioni su come configurare la propria applicazione Azure, vedere Configurazione di un'applicazione Azure.

  1. Prendere nota delle seguenti informazioni:

    • Dominio del tenant
    • ID applicazione
    • Segreto client. Occorre il valore del proprio segreto client.
    • Scadenza del segreto client

  2. Se non si dispone di tutte le informazioni indicate sopra, utilizzare le istruzioni fornite nella sezione “Configurazione di un'applicazione Azure” per reperirle.

È ora possibile configurare le impostazioni di Microsoft Entra ID.

Aggiunta di Microsoft Entra ID

Per aggiungere un’origine della directory di Microsoft Entra ID, procedere come segue:

  1. Selezionare Prodotti > Impostazioni generali e cliccare su Servizio directory.
  2. Cliccare sur Aggiungi Microsoft Entra ID.
  3. Specificare un Nome per l’origine.
  4. Immettere una descrizione.
  5. Immettere il Dominio dell’origine.
  6. Cliccare su Avanti.

È ora possibile aggiungere le informazioni della propria applicazione Azure.

Configura le impostazioni della sincronizzazione con Microsoft Entra ID

Per configurare le impostazioni di sincronizzazione di Microsoft Entra ID, procedere come segue:

  1. In Configura impostazioni di sincronizzazione con Azure, immettere le seguenti informazioni:

    • ID del client: L’ID applicazione per l'applicazione Azure.
    • Dominio: Il dominio primario assegnato all’istanza di Microsoft Entra ID.
    • Segreto client: Il valore del segreto client per l'applicazione Azure. È possibile ottenere il valore del segreto client dal campo Valore quando si crea un segreto client. Vedere Configurazione di un'applicazione Azure.
    • Scadenza del segreto client: La data di scadenza del segreto client.

    Impostazioni della sincronizzazione con Microsoft Entra ID.

  2. Cliccare su Prova connessione per convalidare le impostazioni.

  3. Cliccare su Salva per salvare le impostazioni.

  4. Cliccare su Prova connessione per convalidare le credenziali salvate.

    Prova della connessione di Microsoft Entra ID.

È ora possibile selezionare gli utenti e i gruppi da sincronizzare.

Selezione di utenti e gruppi da sincronizzare

È possibile filtrare gli utenti e i gruppi da sincronizzare.

Cambiando i filtri, verranno modificati gli utenti e i gruppi inclusi nella sincronizzazione. Gli utenti e i gruppi non inclusi nel nuovo filtro verranno rimossi da Sophos Central.

Se sono già presenti utenti e gruppi in Sophos Central e si sta per eseguire la sincronizzazione con Microsoft Entra ID per la prima volta, si consiglia di selezionare tutti gli utenti e i gruppi. In questo modo si ottiene la maggior parte degli utenti e dei gruppi per la corrispondenza del servizio di sincronizzazione.

Se la gerarchia di gruppi e utenti in Microsoft Entra ID è complessa, consigliamo di aggiungere utenti e gruppi dopo aver applicato il filtro. È possibile utilizzare Aggiungi utenti in base al filtro per il gruppo oppure Aggiungi utenti in base al filtro per gli utenti.

Per selezionare utenti e gruppi, procedere come segue:

  1. In Seleziona utenti e gruppi da includere nella sincronizzazione, scegliere gli utenti e i gruppi da sincronizzare con Microsoft Entra ID. L’utilizzo dei filtri consente di sincronizzare utenti e gruppi specifici da Microsoft Entra ID.

    Impostazioni per utenti e gruppi in Microsoft Entra ID.

    Per maggiori informazioni sull’utilizzo di questi filtri, vedere Come filtrare utenti e gruppi.

  2. Cliccare su Salva.

È ora possibile configurare la propria pianificazione della sincronizzazione.

Configurazione della pianificazione della sincronizzazione

È possibile scegliere la frequenza di sincronizzazione per utenti e gruppi.

Per configurare una pianificazione, procedere come segue:

  1. Aprire Pianificazione della sincronizzazione.

  2. Selezionare la pianificazione desiderata tra le seguenti opzioni:

    • Su base oraria: i dati verranno sincronizzati in base al numero di ore selezionate e all’ora di inizio locale. Ad esempio, ogni 6 ore a partire dalle h 02:00.
    • Ogni giorno: i dati verranno sincronizzati quotidianamente all’ora locale specificata.
    • Ogni settimana: i dati verranno sincronizzati nei giorni selezionati, all’ora locale specificata.
    • Mensilmente: i dati verranno sincronizzati nelle date selezionate. È possibile scegliere fino a due date. Cliccare su Aggiungi un altro giorno per aggiungere una seconda data.
    • Nessuna: scegliere questa opzione quando si desidera eseguire la sincronizzazione manualmente ogni volta.

    Pianificazione della sincronizzazione in Microsoft Entra ID.

  3. Cliccare su Salva.

È ora possibile eseguire la sincronizzazione con Microsoft Entra ID.

Sincronizzazione con Microsoft Entra ID

È possibile visualizzare un’anteprima delle informazioni che si desidera sincronizzare. Vedere Anteprima della sincronizzazione.

Per eseguire la sincronizzazione con Microsoft Entra ID, procedere come segue:

  1. Cliccare su Attiva.

  2. Cliccare su Sincronizza.

    Lo stato della sincronizzazione si aggiornerà.

  3. Cliccare su Utenti per verificare le modifiche degli utenti.

  4. Cliccare su Gruppi per verificare le modifiche dei gruppi.

Anteprima della sincronizzazione

È possibile visualizzare un’anteprima delle informazioni che si desidera sincronizzare.

Se la sincronizzazione è già stata impostata, occorrerà disattivarla prima di poter generare un’anteprima. I risultati dell’anteprima sono validi per sette giorni, oppure fino alla sincronizzazione successiva.

Per generare un’anteprima, procedere come segue:

  1. Selezionare Prodotti > Impostazioni generali e cliccare su Servizio directory.
  2. Selezionare l’origine Microsoft Entra ID che si desidera visualizzare in anteprima.

  3. Se l’origine è attivata, cliccare su Disattiva.

    Pulsante Disattiva nella sincronizzazione di Microsoft Entra ID.

    Attendere che lo stato cambi.

    Verranno visualizzati un pulsante Anteprima e una scheda Anteprima.

  4. Cliccare sul pulsante Anteprima per generare l’anteprima.

    Pulsante di generazione dell’anteprima nella sincronizzazione di Microsoft Entra ID.

    Durante la generazione dell’anteprima, verrà visualizzato un banner. Attendere che si chiuda.

  5. Cliccare sulla scheda Anteprima per visualizzare i risultati.

    Scheda di Anteprima della sincronizzazione in Microsoft Entra ID.

    I risultati dell’anteprima possono essere esportati in formato JSON.

    Se i risultati dell’anteprima contengono più di 20.000 record, non sarà possibile visualizzarli nella scheda Anteprima. Dovranno essere esportati.