Pular para o conteúdo

Configurar a sincronização com o Microsoft Entra ID (Azure AD)

Você pode sincronizar usuários e grupos do Microsoft Entra ID (Azure AD) com o Sophos Central. Você pode sincronizar de vários domínios do Microsoft Entra ID (Azure AD).

Alerta

Você não pode sincronizar o Sophos Central com o Microsoft Entra ID (Azure AD) se estiver usando um plano do Office 365 GCC High.

Essas instruções informam como configurar uma origem de diretório do Microsoft Entra ID (Azure AD). Para obter ajuda sobre como gerenciar suas origens de diretório, consulte Gerenciar suas fontes.

Você pode visualizar as informações que está sincronizando. Você deve concluir o processo de configuração primeiro.

Leia as seções a seguir e conclua as tarefas necessárias antes de configurar a sincronização com o Microsoft Entra ID (Azure AD):

  • Requisitos
  • Restrições

Se você já fez isso, vá para Adicionar o Microsoft Entra ID (Azure AD).

Requisitos

Antes de começar, você precisa verificar o seguinte:

  • Verifique se você tem a função de administrador correta. Você deve ser um Admin para configurar a origem dos diretórios.

  • Verifique se você tem as permissões e configurações corretas do Microsoft Azure. Você precisa do seguinte:

  • Certifique-se de que todos os usuários ou grupos existentes no Sophos Central tenham uma correspondência com o Microsoft Entra ID (Azure AD).

    Se um usuário ou grupo não tiver uma correspondência, será necessário gerenciá-lo manualmente no Sophos Central.

  • Confirme que todos os seus usuários do Microsoft Entra ID (Azure AD) têm um endereço de e-mail.

    Você precisa de um endereço de e-mail para que seus usuários se protejam ao usar muitos fluxos de trabalho do Sophos Central.

    Por exemplo, se você estiver usando o Sophos Email para proteger seus usuários, o e-mail que for para um endereço de e-mail não associado a um usuário não será entregue.

Alerta

Você pode acabar com usuários duplicados em algumas circunstâncias. Isso porque os identificadores UPN sincronizados a partir do Microsoft Entra ID (Azure AD) e o login de usuário do endpoint não correspondem. Para obter mais informações, consulte Por que alguns dos meus usuários sincronizados do Microsoft Entra ID (Azure AD) não estão vinculados a um usuário de login do endpoint?.

Para obter mais informações sobre como sincronizar com o Microsoft Entra ID (Azure AD), consulte Integre o seu dispositivo de trabalho à rede da sua organização.

Restrições

Antes de começar a sincronização, você precisa saber do seguinte:

  • Não é possível sincronizar várias origens do Microsoft Entra ID (Azure AD) do mesmo domínio.
  • Não é possível sincronizar usuários ou endereços de e-mail a várias contas do Sophos Central Admin. Os usuários e endereços de e-mail devem ser exclusivos em cada conta do Sophos Central Admin.
  • Você não pode sincronizar usuários do mesmo domínio usando o Active Directory (AD) e o Microsoft Entra ID (Azure AD).
  • Não é possível sincronizar os detalhes da delegação para usuários, grupos e caixas de correio compartilhadas.
  • Não é possível adicionar ou remover dispositivos usando o Microsoft Entra ID (Azure AD) e depois sincronizar as alterações.

Verifique se você tem as informações corretas do Microsoft Azure

Para sincronizar com o Microsoft Entra ID (Azure AD), são necessárias algumas informações do Microsoft Azure.

Para obter essas informações, você precisa configurar um Aplicativo Azure. Se você tiver uma configuração, verifique se tem as informações listadas nesta seção.

Para configurar um Aplicativo Azure, siga as instruções em Instalar um Aplicativo Azure.

Alerta

Você deve seguir essas instruções exatamente.

Se você configurou seu aplicativo Azure usando apenas a permissão Microsoft Entra ID Graph Directory.Read.All e deseja fazer alterações nas configurações de sincronização do Microsoft Entra ID (Azure AD), será necessário adicionar a permissão Microsoft Graph Directory.Read.All. Você pode encontrar ajuda sobre como fazer isso em "Configurar um Aplicativo Azure".

  1. Tome nota das seguintes informações importantes.

    • Domínio do locatário
    • ID do aplicativo
    • Segredo do cliente: client secret. Você precisa do valor do segredo do seu cliente.
    • Expiração do segredo do cliente
  2. Se você não tiver alguma das informações, poderá usar as instruções em "Configurar um Aplicativo Azure" para obtê-la.

Agora você está pronto para definir suas configurações do Microsoft Entra ID (Azure AD).

Adicionar o Microsoft Entra ID (Azure AD)

Para adicionar uma origem de diretório do Microsoft Entra ID (Azure AD), faça o seguinte:

  1. Vá para Meus produtos > Configurações gerais e clique em Serviço de diretório.
  2. Clique em Adicionar Microsoft Entra ID (Azure AD).
  3. Insira um Nome para a origem.
  4. Insira uma descrição.
  5. Insira o Domínio para a origem.
  6. Clique em Avançar.

Agora você pode adicionar as informações do seu aplicativo Azure.

Configurar os parâmetros de sincronização do Microsoft Entra ID (Azure AD)

Para configurar os parâmetros de sincronização do Microsoft Entra ID (Azure AD), faça o seguinte:

  1. Em Configurar os parâmetros do Azure Sync, insira as seguintes informações:

    • ID do cliente: Este é o ID do aplicativo do seu Aplicativo Azure.
    • Domínio: Este é o domínio primário atribuído à sua instância do Microsoft Entra ID (Azure AD).
    • Segredo do cliente: Este é o valor do segredo do cliente do seu Aplicativo Azure. Você pode obter o valor do segredo do seu cliente no campo Valor ao criar um segredo de cliente. Consulte Instalar um Aplicativo Azure.
    • Expiração do Client secret: Esta é a data de expiração do segredo do cliente.

    Configurações de sincronização do Microsoft Entra ID (Azure AD).

  2. Clique em Testar conexão para validar suas configurações.

  3. Clique em Salvar para salvar as configurações.
  4. Clique em Testar conexão para validar as credenciais salvas.

    Teste de conexão do Microsoft Entra ID (Azure AD).

Agora você pode escolher os usuários e grupos que deseja sincronizar.

Selecionar usuários e grupos para sincronizar

Você pode filtrar os usuários e grupos que sincroniza.

Se você trocar de filtros, os usuários e os grupos que estão sincronizando serão alterados. Todos os usuários e grupos não incluídos no novo filtro são removidos do Sophos Central.

Se você tiver usuários e grupos existentes no Sophos Central e estiver sincronizando com o Microsoft Entra ID (Azure AD) pela primeira vez, recomendamos selecionar todos os usuários e grupos. Isso fornece um maior conjunto de usuários e grupos para que o serviço de sincronização faça a correspondência.

Se você tiver uma hierarquia complexa de grupos e usuários no Microsoft Entra ID (Azure AD), recomendamos que adicione usuários e grupos depois de filtrá-los. Você pode usar Adicionar usuários por filtro de grupo ou Adicionar usuários por filtro de usuário.

Para selecionar seus usuários e grupos, faça o seguinte:

  1. Em Selecionar usuários e grupos para incluir na sincronização, escolha quais usuários e grupos deseja sincronizar com o Microsoft Entra ID (Azure AD). O uso de filtros permite sincronizar usuários e grupos específicos do Microsoft Entra ID (Azure AD).

    Configurações de usuários e grupos do Microsoft Entra ID (Azure AD).

    Para obter mais informações sobre como usar esses filtros, consulte Filtrar usuários e grupos.

  2. Clique em Salvar.

Agora você pode configurar a sua agenda de sincronização.

Configurar seu agendamento de sincronização

Você pode escolher a frequência na qual a sincronização de usuários e grupos deve ocorrer.

Para configurar uma agenda, siga este procedimento:

  1. Vá para Agenda de sincronização.
  2. Selecione sua agenda entre as seguintes opções:

    • A Cada Hora: Sincronizamos seus dados com base no múltiplo de horas e na hora de início local escolhida. Por exemplo, a cada 6 horas, começando às 2h.
    • Diário: Sincronizamos seus dados diariamente no horário local selecionado.
    • Semanal: Sincronizamos seus dados nos dias selecionados no horário local selecionado.
    • Mensal: Sincronizamos seus dados nas datas escolhidas. Você pode optar por duas datas. Clique em Adicionar outro dia para adicionar uma segunda data.
    • Nenhuma: Escolha esta opção quando quiser sincronizar manualmente sempre.

    Agendamento de sincronização do Microsoft Entra ID (Azure AD).

  3. Clique em Salvar.

Agora você pode sincronizar com o Microsoft Entra ID (Azure AD).

Sincronizar com o Microsoft Entra ID (Azure AD)

Você pode visualizar as informações que está sincronizando. Consulte Visualização da sincronização.

Para sincronizar com o Microsoft Entra ID (Azure AD), faça o seguinte:

  1. Clique em Ativar.
  2. Clique em Sincronizar.

    Seu status de sincronização é atualizado.

  3. Clique em Usuários para ver as alterações aos seus usuários.

  4. Clique em Grupos para ver as alterações aos seus grupos.

Visualização da sincronização

Você pode visualizar as informações que está sincronizando.

Se você já tiver configurado a sincronização, deverá desativá-la antes de gerar uma visualização. Os resultados da visualização são válidos por sete dias ou até a próxima sincronização.

Para gerar uma visualização, faça o seguinte:

  1. Vá para Meus produtos > Configurações gerais e clique em Serviço de diretório.
  2. Selecione a origem do Microsoft Entra ID (Azure AD) que deseja visualizar.
  3. Se a origem estiver ativada, clique em Desativar.

    Sincronização do Microsoft Entra ID (Azure AD) desativada.

    Aguarde até que o status mude.

    Você verá um botão Visualizar e uma guia Visualizar.

  4. Clique no botão Visualizar para gerar a visualização.

    Botão para gerar a visualização da sincronização do Microsoft Entra ID (Azure AD).

    Uma barra de notificação é exibida enquanto a visualização é gerada. Aguarde até que desapareça.

  5. Clique na guia Visualizar para ver os resultados.

    Guia Visualização de sincronização do Microsoft Entra ID (Azure AD).

    Você pode exportar os resultados da visualização em JSON.

    Se os resultados da visualização contiverem mais de 20.000 registros, não poderemos exibi-los na guia Visualização. Você precisará exportá-los.