Configurar o Microsoft Entra ID para permitir que os usuários façam login usando o UPN

Esta página fornece um método alternativo para configurar o Azure IDP. Siga as instruções nesta página se quiser exigir que seus usuários finais se autentiquem com um Nome Principal de Usuário (UPN) diferente do endereço de e-mail principal.

Se o endereço de e-mail de seus usuários for o mesmo que seus nomes principais (PNs), consulte Adicionar o provedor de identidade (Entra ID/Open IDC/ADFS).

As etapas principais são as seguintes:

1. Configurar o Microsoft Entra ID no portal do Azure.
2. Usar o Microsoft Entra ID como um provedor de identidade no Sophos Central.

Configurar o Microsoft Entra ID no portal do Azure

Para configurar o Microsoft Entra ID no portal do Azure, veja as principais etapas a seguir:

1. Crie um aplicativo Azure.
2. Configure a autenticação do aplicativo.
3. Defina a configuração do token.
4. Atribua as permissões de aplicativo.

Consulte as seguintes seções para obter mais detalhes.

Criar um aplicativo Azure

Para criar um aplicativo Azure, faça o seguinte:

1. Faça login no seu portal Azure.

2. No menu Gerenciar, clique em Registros de aplicativo.

   

3. Na página Registros de aplicativos, clique em Novo registro.

   

4. Insira um nome para o aplicativo.

5. Em Supported account types, selecione Accounts in this organizational directory only (Default Directory only - Single tenant).

   

6. Em URI de redirecionamento (opcional), selecione Aplicativo de página única (SPA) e insira a seguinte URL: https://federation.sophos.com/login/callback.

   

7. Clique em Registrar.

Configurar a autenticação do aplicativo

Para configurar a autenticação do aplicativo, siga este procedimento:

1. No aplicativo que você criou, clique em Authentication.
2. Em Implicit grant and hybrid flows, selecione ID tokens (used for implicit and hybrid flows).
3. Em Supported account types, selecione Accounts in this organizational directory only (Default Directory only - Single tenant).

4. Clique em Salvar.

   

Definir configuração do token

Para configurar um token, siga este procedimento:

1. No aplicativo que você criou, clique em Token configuration.
2. Em Optional claims, clique em Add optional claim.

3. Em Token type, selecione ID e depois selecione email.

   

4. Selecione Adicionar.

5. Em Add optional claim, selecione Turn on the Microsoft Graph email permission e clique em Add.

   

Atribuir permissões de aplicativo

Para atribuir permissões de aplicativo, siga este procedimento:

1. No aplicativo que você criou, clique em API permissions.

2. Em Configured permissions, clique em Grant admin consent for <conta>.

   

3. Clique em Sim.

Usar o Microsoft Entra ID como um provedor de identidade no Sophos Central

Você pode adicionar o Microsoft Entra ID como um provedor de identidade.

Para adicionar o Microsoft Entra ID como provedor de identidade, faça o seguinte:

1. No Sophos Central, vá para Configurações gerais > Provedores de identidade federados.
2. Clique em Adicionar provedor de identidade.
3. Insira um Nome e uma Descrição.
4. Clique em Tipo e escolha OpenID Connect.
5. Clique em Fornecedor e escolha Microsoft Entra ID.
6. Se você já configurou o Microsoft Entra ID no portal do Azure, pule a Etapa A: Configurar OpenID Connect.

7. Na Etapa B: Configurar os parâmetros de OpenID Connect, faça o seguinte:

   1. Em ID do cliente, digite o ID do cliente do aplicativo que você criou no Azure da seguinte forma:

      1. No portal do Azure, vá para Registros de aplicativo.
      2. Selecione o aplicativo que você criou.
      3. Copie o ID em ID do Cliente do aplicativo e cole-o em ID do cliente no Sophos Central.

   2. Em Emissor, digite a seguinte URL:

      https://login.microsoftonline.com/<tenantId>/v2.0

      Substitua o ID do locatário existente pelo ID do locatário de sua instância do Azure.

      Para encontrar o ID do locatário, siga este procedimento:

      1. No portal do Azure, vá para Registros de aplicativo.
      2. Selecione o aplicativo que você criou.
      3. O valor do ID do Directory (locatário) é o ID do locatário da sua instância do Azure.

   3. Em Endpoint autorizado, digite a seguinte URL:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      Substitua o ID do locatário existente pelo ID do locatário que você copiou anteriormente.

   4. Em URL de JWKS, digite a seguinte URL:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      Substitua o ID do locatário existente pelo ID do locatário que você copiou anteriormente.

   

8. Clique em Selecionar um domínio e escolha o seu domínio.

   Você pode adicionar mais de um domínio, mas só pode associar um usuário a um domínio.

9. Escolha se deseja ativar a imposição de MFA pelo IDP selecionando uma das seguintes opções:

   • Imposição de MFA pelo IdP
   • Sem imposição de MFA pelo IdP

10. Clique em Salvar.

Como os usuários fazem login usando UPN

O procedimento a seguir mostra como seus usuários finais fazem login depois que você conclui a configuração acima.

1. Os usuários e administradores fazem login no Sophos Central com seus endereços de e-mail associados.

   

2. A tela que eles veem depende de suas seleções em Configurações de início de sessão do Sophos.

   • Se você selecionou Credenciais do Sophos Central Admin ou federadas em Meus Produtos > Configurações Gerais > Configurações de início de sessão do Sophos, os usuários e administradores poderão fazer login com qualquer uma das opções.

     

     Para fazer login usando o UPN, eles devem fazer o seguinte:

     1. Clicar em Conecte-se com o SSO.

        Eles verão a página de login do Microsoft Azure.

     2. Inserir o UPN e a senha.

   • Se você tiver escolhido Apenas credenciais federadas em Meus produtos > Configurações gerais > Configurações de início de sessão do Sophos, eles verão a página de login do Microsoft Azure, onde poderão inserir o UPN e a senha.