Pular para o conteúdo

Configurar sincronização com o Active Directory

Alguns recursos ainda não estão disponíveis para todos os clientes.

Você pode sincronizar usuários, dispositivos e grupos. Você também pode sincronizar pastas públicas e caixas de correio.

Você pode sincronizar domínios diferentes na mesma floresta. Você pode selecionar vários domínios filhos em uma única floresta.

É possível também sincronizar várias florestas a uma conta do Sophos Central Admin. Você precisa saber o seguinte:

  • Recomendamos que você sincronize uma floresta com uma conta do Sophos Central Admin. Se você sincronizar uma floresta com várias contas, isso poderá resultar em um comportamento imprevisível no Sophos Central Admin.
  • Os usuários e endereços de e-mail devem ser exclusivos em cada floresta. Se você tiver objetos duplicados, nós os atualizaremos com informações de cada floresta durante a sincronização. A sincronização não mescla dados. Isso significa que podemos mostrar informações inconsistentes dos objetos de floresta duplicados no Sophos Central Admin.

Você também pode:

  • Sincronizar dispositivos e grupos de dispositivos do Active Directory (AD) e sincronizar usuários e grupos de usuários do Microsoft Entra ID (Azure AD) para o mesmo domínio.

    Alerta

    Se quiser sincronizar caixas de correio compartilhadas e pastas públicas, você deve usar o AD também para sincronizar seus usuários e grupos de usuários se eles estiverem no mesmo domínio que suas caixas de correio compartilhadas e pastas públicas.

  • Sincronizar do AD e do Microsoft Entra ID (Azure AD) para domínios diferentes.

Active Directory Synchronization Setup

Para sincronizar com o AD, é necessário baixar e instalar o Active Directory Synchronization Setup (descrevemos como fazer a instalação e o download posteriormente). O Active Directory Synchronization Setup funciona da seguinte forma:

  • Ele sincroniza usuários e grupos de usuários ativos.

    Se um usuário corresponder a um usuário existente do Sophos Central, o Active Directory Synchronization Setup somente criará um novo usuário se o usuário existente tiver sido criado manualmente no Sophos Central. Ele não cria um novo usuário se o usuário existente tiver sido sincronizado a partir de outro serviço de diretório. O mesmo se aplica aos grupos.

    Exemplos
    • Você pode adicionar um endereço de e-mail do AD a um usuário existente no Sophos Central que foi adicionado usando outro serviço de diretório.
    • Quando você cria manualmente um usuário chamado "Bob" na página Pessoas e depois adiciona outro usuário chamado "Bob" a partir do AD, haverá dois usuários "Bob" no Sophos Central.
  • Ele sincroniza dispositivos e grupos de dispositivos. Você pode encontrar informações sobre como ele combina dispositivos e grupos com outras informações úteis em Perguntas frequentes sobre descoberta de grupos de dispositivos.

  • Ele sincroniza caixas de correio compartilhadas e pastas públicas.

    Se quiser sincronizar caixas de correio compartilhadas, certifique-se de que Excluir contas de usuário desativadas esteja ativado ao configurar suas opções de sincronização. Se você desativar essa opção, terá caixas de correio duplicadas das suas caixas de correio compartilhadas no Sophos Central.

Você pode defini-lo para executar automaticamente em horas definidas. Ele é compatível apenas com o serviço de sincronização do AD. Ele não ajuda você a instalar o software de agente Sophos nos dispositivos de seus usuários. Use outros métodos de implantação.

Leia as seções a seguir e conclua as tarefas necessárias antes de configurar a sincronização com o AD:

  • Requisitos
  • Restrições
  • Remover usuários e dispositivos inativos

Se você já fez isso, vá para Baixar o software de configuração e validar as credenciais.

Requisitos

Antes de começar a sincronização, verifique o seguinte:

  • Você deve ser um Admin para configurar a origem dos diretórios.
  • Você deve ter o .NET Framework 4.5.2 instalado no computador em que você executará o Active Directory Synchronization Setup.
  • Você deve usar credenciais de API da Sophos para sincronizar com o AD. É necessário configurá-las antes de configurar a sincronização, alterar a configuração existente ou sincronizar.

    Você deve usar a função API Active Directory Sync da Entidade de Serviço. Você deve sempre garantir que esse acesso seja o mais específico possível.

    Consulte Gerenciamento de credenciais de API.

  • Verifique que todos os seus usuários do Active Directory têm um endereço de e-mail.

    Você precisa de um endereço de e-mail para que seus usuários se protejam ao usar muitos fluxos de trabalho do Sophos Central.

    Por exemplo, se você estiver usando o Sophos Email para proteger seus usuários, o e-mail que for para um endereço de e-mail não associado a um usuário não será entregue.

  • Você deve configurar seu firewall ou proxy para permitir alguns domínios. Consulte Domínios e portas a serem permitidos.

Restrições

Você não pode:

  • Sincronizar usuários e grupos de usuários usando AD e Microsoft Entra ID (Azure AD) do mesmo domínio.
  • Sincronizar usuários ou endereços de e-mail a várias contas do Sophos Central Admin. Os usuários e endereços de e-mail devem ser exclusivos em cada conta do Sophos Central Admin.
  • Sincronizar usuários com grupos de vários domínios. Sincronizaremos somente os usuários do domínio ao qual o grupo pertence. Visualizar e sincronizar mostra todos os membros do grupo, mas não adicionaremos usuários de outros domínios ao grupo.

    Por exemplo, você tem dois domínios chamados domainX.com e sub.domainX.com. Um dos seus domínios, domainX.com, tem um grupo, g1. O grupo g1 contém membros dos dois domínios. Nós sincronizaremos seus usuários e os associaremos ao grupo g1. Faremos isso somente para o domínio ao qual o grupo está associado. Isso significa que sincronizaremos os usuários do domainX.com e os adicionaremos ao grupo g1. Visualizar e sincronizar mostra todos os membros do grupo, mas nós não adicionaremos os usuários do segundo domínio.

  • Configurar mais de 1000 filtros para um objeto de diretório. Os filtros permitem selecionar usuários e dispositivos para sincronizar.

  • Configurar filtros LDAP adicionais com mais de 5.000 caracteres.
  • Usar um domínio com um nome que tenha uma parte com mais de 63 caracteres ou comece ou termine com os caracteres '-' ou '_'.
  • Sincronizar usuários separadamente dos grupos de usuários. Você deve sincronizar ambos ou nenhum deles.
  • Sincronizar dispositivos separadamente dos grupos de dispositivos. Você deve sincronizar ambos ou nenhum deles.
  • Sincronizar caixas de correio (compartilhadas) do grupo do Microsoft 365. Você deve usar a sincronização do Microsoft Entra ID (Azure AD).
  • Sincronizar vários clientes AD de um único domínio ou subdomínio.

Remover usuários e dispositivos inativos

Recomendamos que você remova usuários e dispositivos inativos de seus domínios do AD. Contas de usuário e dispositivos inativos são um risco à segurança. Isso também reduz o tamanho do arquivo enviado para o Sophos Central a partir do AD, o que acelera a sincronização.

Você pode encontrar ajuda para localizar e remover usuários inativos da seguinte maneira:

Você pode usar filtros do AD para impedir que usuários inativos sejam sincronizados com o Sophos Central. Isso pode reduzir o tamanho do arquivo de sincronização enviado para o Sophos Central, mas não atenua os riscos de segurança associados a usuários inativos nos seus domínios do AD.

Consulte Filtrar usuários do AD inativos.

Baixar o software de configuração e validar as credenciais

Para iniciar a configuração da sincronização com o AD, você precisa baixar o Active Directory Synchronization Setup e validar suas credenciais.

Estas instruções mostram como configurar a sincronização com o AD. Isso adiciona uma origem de diretório do AD. Para obter ajuda sobre como gerenciar suas origens de diretório, consulte Gerenciar suas fontes.

Para começar a configuração, proceda da seguinte forma:

  1. Vá para Meus produtos > Configurações gerais e clique em Serviço de diretório.
  2. Clique no link para baixar o Active Directory Synchronization Setup. Em seguida, execute-o. O Active Directory Synchronization Setup inicia.
  3. Digite seu ID do cliente e Segredo do cliente e clique em Validar credenciais.
  4. Ative Configurar proxy manualmente se desejar usar um proxy e insira seu Endereço Proxy.
  5. Se você estiver usando um proxy, poderá ativar a autenticação adicional. Ative Habilitar autenticação de proxy e insira as seguintes informações.

    • Usuário do proxy
    • Senha do proxy
  6. Clique em Validar credenciais para verificar suas configurações de proxy.

Em seguida, você precisa inserir os detalhes de configuração do AD.

Inserir a configuração do seu AD

Agora você pode inserir os detalhes da configuração do seu AD. É necessário usar as credenciais de uma conta de usuário que tenha acesso de leitura a toda a floresta do Active Directory que você quer sincronizar. Para se manter seguro, utilize uma conta com direitos limitados.

Para inserir a configuração, faça o seguinte:

  1. Na página de Configuração do AD, insira os detalhes do servidor LDAP do Active Directory e suas credenciais.

    Recomendamos usar uma conexão LDAP segura, encriptada usando SSL, e deixar Usar LDAP sobre uma conexão SSL (recomendado) ativada.

  2. Se o seu ambiente LDAP não for compatível com SSL, desative Usar LDAP sobre uma conexão SSL (recomendado) e altere o número da porta. Em geral, o número da porta é 636 para conexões SSL e 389 para conexões não seguras.

    A Microsoft lançou uma atualização de segurança que alterou a vinculação de canal LDAP e a assinatura LDAP para o Active Directory. Conexões não seguras na porta 389 não funcionam com a atualização de segurança da Microsoft. Consulte Solicitação de associação de canal LADP e assinatura LADP para Windows ‒ 2020.

Em seguida, você precisa configurar suas opções de sincronização. Para isso, clique em Avançar e configure a sincronização usando as guias restantes.

Você pode clicar em Concluir em qualquer guia se tiver terminado a configuração.

Configurar suas opções de sincronização

Agora você pode configurar os filtros que deseja usar para sincronizar as informações do seu AD para o Sophos Central.

Alguns recursos ainda não estão disponíveis para todos os clientes.

Filtros AD

Você pode escolher os tipos de dados que deseja sincronizar usando o Active Directory Synchronization Setup.

Você escolhe os tipos de dados que deseja sincronizar configurando os filtros LDAP.

Para obter ajuda específica sobre a sincronização de diferentes tipos de dados, consulte:

Para filtrar seus dados, faça o seguinte:

  1. Na guia Filtros AD, configure um filtro LDAP para selecionar os usuários, dispositivos e grupos a serem sincronizados.

    Você pode inserir opções adicionais de pesquisa (bases de pesquisa e filtros de consulta LDAP) para cada domínio. Você também pode especificar opções diferentes para usuários e grupos de usuários.

    Nota

    A sincronização cria grupos somente com usuários ou dispositivos descobertos, independentemente das configurações de filtro de grupo.

    Opção Descrição
    Bases de pesquisa

    Você pode especificar bases de pesquisa (também chamadas de “nome distinto da base de pesquisa”). Por exemplo, se quiser filtrar pela Unidade da Organização (OU), especifique uma base de pesquisa neste formato:

    OU=Finance,DC=myCompany,DC=com

    Filtros de consulta LDAP

    Para filtrar usuários, por exemplo, por afiliação de grupo, defina um filtro de consulta de usuário neste formato:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Essa consulta limita a descoberta de usuário a usuários pertencentes ao “testGroup”. Observe que a sincronização descobre todos os grupos aos quais esses usuários descobertos pertencem se você não especificar um filtro de consulta de grupo. Se também quiser que a descoberta de grupo seja limitada a “testGroup”, você pode definir o seguinte filtro de consulta de grupo:

    CN=testGroup

    Você também pode usar esses filtros para interromper a sincronização de usuários inativos com o Sophos Central.

    Excluir contas de usuário desativadas

    Por padrão, a sincronização exclui as contas de usuário desativadas. Para incluí-las, desative essa opção.

    Se quiser sincronizar caixas de correio compartilhadas, confirme que essa opção está ativada. Se não, você terá caixas de correio duplicadas das suas caixas de correio compartilhadas no Sophos Central.

    Alerta

    Se você incluir nomes distintos da base de pesquisa em suas opções de pesquisa ou alterar suas configurações de filtro, alguns dos usuários e grupos no Sophos Central criados durante sincronizações anteriores podem ficar fora do escopo da pesquisa. Podemos deletá-los do Sophos Central.

Agora você pode configurar a sua agenda de sincronização. Consulte Agenda de sincronização.

Dispositivos e grupos de dispositivos

Se quiser sincronizar dispositivos e grupos de dispositivos, faça o seguinte:

  1. Clique em Filtros AD.
  2. Ative Sincronizar dispositivos e Sincronizar unidades organizacionais.
  3. Você pode sincronizar suas unidades organizacionais antes de sincronizar seus dispositivos e assim configurar os grupos com antecedência. Para fazer isso, ative Sincronizar unidades organizacionais apenas.

    Recomendamos que você sincronize suas Unidades Organizacionais antes de sincronizar seus dispositivos quando usar pela primeira vez. Isso permite que você configure suas políticas e as aplique aos seus grupos. Depois você pode sincronizar os seus dispositivos e aplicaremos suas políticas aos seus dispositivos. Nós aplicamos nossas políticas padrão a seus grupos e dispositivos se você não o fizer.

    Se você sincronizar suas unidades organizacionais antes de sincronizar seus dispositivos, deverá ativar Sincronizar dispositivos e Sincronizar unidades organizacionais quando sincronizar seus dispositivos. Isso mantém a associação entre as suas unidades organizacionais e os dispositivos.

    Se quiser alterar essas configurações depois de sincronizar suas unidades organizacionais e seus dispositivos, você precisa saber o seguinte:

    • Se você desativar Sincronizar unidades organizacionais e deixar Sincronizar dispositivos ativado e sincronizar, suas unidades organizacionais são exibidas como Grupos personalizados no Sophos Central.
    • Se você desativar Sincronizar dispositivos e deixar Sincronizar unidades organizacionais ativado e então sincronizar, nós não atribuímos os seus dispositivos aos grupos no Sophos Central.

Usuários e grupos de usuários

Se quiser sincronizar usuários e grupos de usuários, faça o seguinte:

  1. Clique em Filtros AD.
  2. Ative Sincronizar usuários e grupos de usuários.

    Essa opção também sincroniza caixas de correio compartilhadas.

    Em vez disso, você pode sincronizar seus usuários e grupos de usuários usando o Microsoft Entra ID (Azure AD). Se quiser fazer isso, você pode desativar essa opção.

    Se você desativar essa opção, não poderá sincronizar caixas de correio compartilhadas ou pastas públicas.

Pastas públicas

Se quiser sincronizar pastas públicas, faça o seguinte:

  1. Clique em Filtros AD.
  2. Ative Sincronizar usuários e grupos de usuários.

    As pastas públicas são caixas de correio, portanto, você deve ativar essa opção.

  3. Ative Sincronizar pastas públicas.

    Opções de sincronização do Active Directory.

Agenda de sincronização

Para configurar sua agenda de sincronização, siga este procedimento:

  1. Na guia Agenda de sincronização, defina os horários para realizar a sincronização.

    Opções de agendamento do Active Directory.

    Nota

    Um serviço em segundo plano executa uma sincronização agendada.

  2. Se quiser sincronizar manualmente e não quiser que a sincronização seja realizada automaticamente, clique em Nunca. Sincronizar apenas quando iniciado manualmente.

Agora você pode sincronizar com o AD.

Sincronizar AD

Recomendamos que você sincronize manualmente com o AD quando configurar a sincronização ou alterar suas configurações. Isso significa que você pode verificar as alterações que serão feitas durante a sincronização.

A sincronização manual leva até 15 minutos.

Para sincronizar, siga este procedimento:

  1. Clique em Visualizar e Sincronizar.

    • Se você estiver usando filtros de consulta LDAP, verifique se os configurou adequadamente.
  2. Revise as alterações que serão feitas durante a sincronização. Se estiver satisfeito com as alterações, clique em Aprovar alterações e Continuar. Seus usuários, dispositivos e grupos são importados do AD para o Sophos Central.

  3. Revise seus usuários, dispositivos e grupos no Sophos Central.

    • Verifique seus usuários para certificar-se de que seus dispositivos estão protegidos.
    • Verifique as políticas aplicadas a seus usuários e grupos de usuários.
    • Verifique se há dispositivos não gerenciados nos computadores e servidores. Eles são mostrados em guias separadas. Proteja todos os dispositivos não gerenciados.
    • Verifique as políticas aplicadas a seus dispositivos e grupos de dispositivos. Você pode aplicar políticas ao grupo de dispositivos do AD.

Mova os servidores de sincronização do Active Directory

Se você quiser mover o servidor que está usando para sincronizar com o AD:

  1. Pare a sincronização no servidor atual.
  2. Configure a Sincronização do Active Directory em seu novo servidor.

    Se precisar de ajuda, siga as instruções fornecidas nas seções anteriores desta página.

  3. Verifique se não há alterações necessárias nos filtros.

  4. Visualize a sincronização para verificar se suas configurações estão corretas.
  5. Sincronize e verifique se tudo está funcionando conforme o esperado.
  6. Configure o agendamento de sincronização.
  7. Remova a Sincronização do Active Directory do servidor original.