Pular para o conteúdo

Configurar sincronização com o Active Directory

Você pode sincronizar usuários, dispositivos e grupos. Você também pode sincronizar pastas públicas e caixas de correio.

Você pode sincronizar domínios diferentes na mesma floresta. Você pode selecionar vários domínios filhos em uma única floresta.

Você também pode:

  • Sincronizar dispositivos e grupos de dispositivos do Active Directory (AD) e sincronizar usuários e grupos de usuários do Microsoft Azure AD (Azure AD) para o mesmo domínio.

    Alerta

    Se quiser sincronizar caixas de correio compartilhadas e pastas públicas, você deve usar o AD também para sincronizar seus usuários e grupos de usuários se eles estiverem no mesmo domínio que suas caixas de correio compartilhadas e pastas públicas.

  • Sincronize do AD e do Azure AD para domínios diferentes.

Active Directory Synchronization Setup

Para sincronizar com o AD, é necessário baixar e instalar o Active Directory Synchronization Setup (descrevemos como fazer a instalação e o download posteriormente). O Active Directory Synchronization Setup funciona da seguinte forma:

  • Ele sincroniza usuários e grupos de usuários ativos.

    Ele não duplica usuários ou grupos existentes quando correspondem com um usuário ou grupo existente do Sophos Central. Por exemplo, ele pode adicionar um endereço de e-mail do AD a um usuário existente no Sophos Central.

  • Ele sincroniza dispositivos e grupos de dispositivos. Você pode encontrar informações sobre como ele combina dispositivos e grupos com outras informações úteis em Perguntas frequentes sobre descoberta de grupos de dispositivos.

  • Ele sincroniza caixas de correio compartilhadas e pastas públicas.

Você pode defini-lo para executar automaticamente em horas definidas. Ele é compatível apenas com o serviço de sincronização do AD. Ele não ajuda você a instalar o software de agente Sophos nos dispositivos de seus usuários. Use outros métodos de implantação.

Leia as seções a seguir e conclua as tarefas necessárias antes de configurar a sincronização com o AD:

  • Requisitos
  • Restrições
  • Remover usuários e dispositivos inativos

Se você já fez isso, vá para Baixar o software de configuração e validar as credenciais.

Requisitos

Antes de começar a sincronização, verifique o seguinte:

  • Você deve ser um Admin para configurar a origem dos diretórios.
  • Você deve ter o .NET Framework 4.5.2 instalado no computador em que você executará o Active Directory Synchronization Setup.
  • Você deve usar credenciais de API da Sophos para sincronizar com o AD. É necessário configurá-las antes de configurar a sincronização, alterar a configuração existente ou sincronizar.

    Você deve usar a função API Active Directory Sync da Entidade de Serviço. Você deve sempre garantir que esse acesso seja o mais específico possível.

    Consulte Gerenciamento de credenciais de API.

  • Verifique que todos os seus usuários do Active Directory têm um endereço de e-mail.

    Você precisa de um endereço de e-mail para que seus usuários se protejam ao usar muitos fluxos de trabalho do Sophos Central.

    Por exemplo, se você estiver usando o Sophos Email para proteger seus usuários, o e-mail que for para um endereço de e-mail não associado a um usuário não será entregue.

  • Você deve configurar seu firewall ou proxy para permitir alguns domínios. Consulte Domínios e portas a serem permitidos.

Restrições

Você não pode fazer o seguinte:

  • Sincronizar usuários e grupos de usuários usando AD e Azure AD do mesmo domínio.
  • Sincronizar várias florestas do AD com uma conta do Sophos Central Admin.
  • Usar mais de uma cópia do Active Directory Synchronization Setup para uma conta do Sophos Central Admin.
  • Configurar mais de um conjunto de opções de sincronização para o AD para uma conta do Sophos Central Admin.

Remover usuários e dispositivos inativos

Recomendamos que você remova usuários e dispositivos inativos de seus domínios do AD. Contas de usuário e dispositivos inativos são um risco à segurança. Isso também reduz o tamanho do arquivo enviado para o Sophos Central a partir do AD, o que acelera a sincronização.

Você pode encontrar ajuda para localizar e remover usuários inativos da seguinte maneira:

Você pode usar filtros do AD para impedir que usuários inativos sejam sincronizados com o Sophos Central. Isso pode reduzir o tamanho do arquivo de sincronização enviado para o Sophos Central, mas não atenua os riscos de segurança associados a usuários inativos nos seus domínios do AD.

Consulte Filtrar usuários do AD inativos.

Baixar o software de configuração e validar as credenciais

Para iniciar a configuração da sincronização com o AD, você precisa baixar o Active Directory Synchronization Setup e validar suas credenciais.

Estas instruções mostram como configurar a sincronização com o AD. Isso adiciona uma origem de diretório do AD. Para obter ajuda sobre como gerenciar suas origens de diretório, consulte Gerenciar suas fontes.

Para começar a configuração, proceda da seguinte forma:

  1. Vá para Apresentação > Configurações globais > Serviço de diretório.
  2. Clique no link para baixar o Active Directory Synchronization Setup. Em seguida, execute-o. O Active Directory Synchronization Setup inicia.
  3. Digite seu ID do cliente e Segredo do cliente e clique em Validar credenciais.
  4. Ative Configurar proxy manualmente se desejar usar um proxy e insira seu Endereço Proxy.
  5. Se você estiver usando um proxy, poderá ativar a autenticação adicional. Ative Habilitar autenticação de proxy e insira as seguintes informações.

    • Usuário do proxy
    • Senha do proxy
  6. Clique em Validar credenciais para verificar suas configurações de proxy.

Em seguida, você precisa inserir os detalhes de configuração do AD.

Inserir a configuração do seu AD

Agora você pode inserir os detalhes da configuração do seu AD. É necessário usar as credenciais de uma conta de usuário que tenha acesso de leitura a toda a floresta do Active Directory que você quer sincronizar. Para se manter seguro, utilize uma conta com direitos limitados.

Para inserir a configuração, faça o seguinte:

  1. Na página de Configuração do AD, insira os detalhes do servidor LDAP do Active Directory e suas credenciais.

    Recomendamos usar uma conexão LDAP segura, encriptada usando SSL, e deixar Usar LDAP sobre uma conexão SSL (recomendado) ativada.

  2. Se o seu ambiente LDAP não for compatível com SSL, desative Usar LDAP sobre uma conexão SSL (recomendado) e altere o número da porta. Em geral, o número da porta é 636 para conexões SSL e 389 para conexões não seguras.

    A Microsoft lançou uma atualização de segurança que alterou a vinculação de canal LDAP e a assinatura LDAP para o Active Directory. Conexões não seguras na porta 389 não funcionam com a atualização de segurança da Microsoft. Consulte Solicitação de associação de canal LADP e assinatura LADP para Windows ‒ 2020.

Em seguida, você precisa configurar suas opções de sincronização. Para isso, clique em Avançar e configure a sincronização usando as guias restantes.

Você pode clicar em Concluir em qualquer guia se tiver terminado a configuração.

Configurar suas opções de sincronização

Agora você pode configurar os filtros que deseja usar para sincronizar as informações do seu AD para o Sophos Central.

Restrição

Alguns recursos ainda não estão disponíveis para todos os clientes.

Filtros AD

Você pode escolher os tipos de dados que deseja sincronizar usando o Active Directory Synchronization Setup.

Você escolhe os tipos de dados que deseja sincronizar configurando os filtros LDAP.

Para obter ajuda específica sobre a sincronização de diferentes tipos de dados, consulte:

  • Dispositivos e grupos de dispositivos
  • Usuários e grupos de usuários
  • Pastas públicas Para filtrar seus dados, faça o seguinte:
  • Na guia Filtros AD, configure um filtro LDAP para selecionar os usuários, dispositivos e grupos a serem sincronizados.

    Você pode inserir opções adicionais de pesquisa (bases de pesquisa e filtros de consulta LDAP) para cada domínio. Você também pode especificar opções diferentes para usuários e grupos de usuários.

    Nota

    A sincronização cria grupos somente com usuários ou dispositivos descobertos, independentemente das configurações de filtro de grupo.

    Opção Descrição
    Bases de pesquisa Você pode especificar bases de pesquisa (também chamadas de “nome distinto da base de pesquisa”). Por exemplo, se quiser filtrar pela Unidade da Organização (OU), especifique uma base de pesquisa neste formato:

    OU=Finance,DC=myCompany,DC=com

    Filtros de consulta LDAP Para filtrar usuários, por exemplo, por afiliação de grupo, defina um filtro de consulta de usuário neste formato:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Essa consulta limita a descoberta de usuário a usuários pertencentes ao “testGroup”. Observe que a sincronização descobre todos os grupos aos quais esses usuários descobertos pertencem se você não especificar um filtro de consulta de grupo. Se também quiser que a descoberta de grupo seja limitada a “testGroup”, você pode definir o seguinte filtro de consulta de grupo:

    CN=testGroup

    Você também pode usar esses filtros para interromper a sincronização de usuários inativos com o Sophos Central.

    Excluir contas de usuário desativadas Por padrão, a sincronização exclui as contas de usuário desativadas. Para incluí-las, desative essa opção.

    Alerta

    Se você incluir nomes distintos da base de pesquisa em suas opções de pesquisa ou alterar suas configurações de filtro, alguns dos usuários e grupos no Sophos Central criados durante sincronizações anteriores podem ficar fora do escopo da pesquisa. Podemos deletá-los do Sophos Central.

Agora você pode configurar a sua agenda de sincronização. Consulte Agenda de sincronização.

Dispositivos e grupos de dispositivos

Se quiser sincronizar dispositivos e grupos de dispositivos, faça o seguinte:

  1. Clique em Filtros AD.
  2. Ative Sincronizar dispositivos e Sincronizar unidades organizacionais.
  3. Você pode sincronizar suas unidades organizacionais antes de sincronizar seus dispositivos e assim configurar os grupos com antecedência. Para fazer isso, ative Sincronizar unidades organizacionais apenas.

    Recomendamos que você sincronize suas Unidades Organizacionais antes de sincronizar seus dispositivos quando usar pela primeira vez. Isso permite que você configure suas políticas e as aplique aos seus grupos. Depois você pode sincronizar os seus dispositivos e aplicaremos suas políticas aos seus dispositivos. Nós aplicamos nossas políticas padrão a seus grupos e dispositivos se você não o fizer.

    Se você sincronizar suas unidades organizacionais antes de sincronizar seus dispositivos, deverá ativar Sincronizar dispositivos e Sincronizar unidades organizacionais quando sincronizar seus dispositivos. Isso mantém a associação entre as suas unidades organizacionais e os dispositivos.

    Se quiser alterar essas configurações depois de sincronizar suas unidades organizacionais e seus dispositivos, você precisa saber o seguinte:

    • Se você desativar Sincronizar unidades organizacionais e deixar Sincronizar dispositivos ativado e sincronizar, suas unidades organizacionais são exibidas como Grupos personalizados no Sophos Central.
    • Se você desativar Sincronizar dispositivos e deixar Sincronizar unidades organizacionais ativado e então sincronizar, nós não atribuímos os seus dispositivos aos grupos no Sophos Central.

Usuários e grupos de usuários

Se quiser sincronizar usuários e grupos de usuários, faça o seguinte:

  1. Clique em Filtros AD.
  2. Ative Sincronizar usuários e grupos de usuários.

    Essa opção também sincroniza caixas de correio compartilhadas.

    Em vez disso, você pode sincronizar seus usuários e grupos de usuários usando o Azure AD. Se quiser fazer isso, você pode desativar essa opção.

    Se você desativar essa opção, não poderá sincronizar caixas de correio compartilhadas ou pastas públicas.

Pastas públicas

Se quiser sincronizar pastas públicas, faça o seguinte:

  1. Clique em Filtros AD.
  2. Ative Sincronizar usuários e grupos de usuários.

    As pastas públicas são caixas de correio, portanto, você deve ativar essa opção.

  3. Ative Sincronizar pastas públicas.

    Opções de sincronização do Active Directory

Agenda de sincronização

Para configurar sua agenda de sincronização, siga este procedimento:

  1. Na guia Agenda de sincronização, defina os horários para realizar a sincronização.

    Opções de agendamento do Active Directory

    Nota

    Um serviço em segundo plano executa uma sincronização agendada.

  2. Se quiser sincronizar manualmente e não quiser que a sincronização seja realizada automaticamente, clique em Nunca. Sincronizar apenas quando iniciado manualmente.

Agora você pode sincronizar com o AD.

Sincronizar AD

Recomendamos que você sincronize manualmente com o AD quando configurar a sincronização ou alterar suas configurações. Isso significa que você pode verificar as alterações que serão feitas durante a sincronização.

Para sincronizar, siga este procedimento:

  1. Clique em Visualizar e Sincronizar.

    • Se você estiver usando filtros de consulta LDAP, verifique se os configurou adequadamente.
  2. Revise as alterações que serão feitas durante a sincronização. Se estiver satisfeito com as alterações, clique em Aprovar alterações e Continuar. Seus usuários, dispositivos e grupos são importados do AD para o Sophos Central.

  3. Revise seus usuários, dispositivos e grupos no Sophos Central.

    • Verifique seus usuários para certificar-se de que seus dispositivos estão protegidos.
    • Verifique as políticas aplicadas a seus usuários e grupos de usuários.
    • Verifique se há dispositivos não gerenciados nos computadores e servidores. Eles são mostrados em guias separadas. Proteja todos os dispositivos não gerenciados.
    • Verifique as políticas aplicadas a seus dispositivos e grupos de dispositivos. Você pode aplicar políticas ao grupo de dispositivos do AD.

Mova os servidores de sincronização do Active Directory

Se você quiser mover o servidor que está usando para sincronizar com o AD:

  1. Pare a sincronização no servidor atual.
  2. Configure a Sincronização do Active Directory em seu novo servidor.

    Se precisar de ajuda, siga as instruções fornecidas nas seções anteriores desta página.

  3. Verifique se não há alterações necessárias nos filtros.

  4. Visualize a sincronização para verificar se suas configurações estão corretas.
  5. Sincronize e verifique se tudo está funcionando conforme o esperado.
  6. Configure o agendamento de sincronização.
  7. Remova a Sincronização do Active Directory do servidor original.
Voltar ao topo