跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=SSO-Azure-AD

將 Microsoft Entra ID 用作身分識別提供者

您可以使用 Microsoft Entra ID 執行個體在管理員和使用者登入 Sophos Central 產品時驗證他們的身分。您需要將 Microsoft Entra ID 新增為身分識別提供者才能執行此動作。

如果您要將 Microsoft Entra ID 用作身分識別提供者,請尋找 Microsoft Entra ID 執行個體的租用戶 ID。我們需要驗證您的使用者和管理員。

要求

您必須先驗證網域。請參閱驗證同盟網域

您必須是超級系統管理員身分。

警告

如果您要使用同盟登入做為登入選項,您必須確保所有管理員和使用者都已指派到網域,並且擁有身分識別提供者。

您必須先執行下列動作,才能將 Microsoft Entra ID 新增為身分識別提供者:

  • 確保您擁有 Microsoft 的 Microsoft Entra ID 帳戶。Microsoft Entra ID 是 Microsoft 基於雲端的身分和存取管理服務。
  • 獲得您的 Microsoft Entra ID 管理員的同意和授權,以將組織的 Microsoft Entra ID 與 Sophos Central 一起使用。
  • 確保您擁有與 Microsoft Entra ID 帳戶匹配的 Sophos Central 帳戶(電子郵件必須相符)。

在 Azure 入口網站中設定 Microsoft Entra ID

要在 Azure 入口網站中設定 Microsoft Entra ID,您必須執行以下操作:

  1. 建立 Azure 應用程式。
  2. 為應用程式設定身分驗證。
  3. 設定權杖設定。
  4. 指派應用程式權限。

建立 Azure 應用程式

若要建立 Azure 應用程式,請執行以下操作:

  1. 登入您的 Azure 入口網站。
  2. 搜尋 App registrations

  3. 在左側窗格中,按一下 App registrations(應用程式註冊)。

    應用程式註冊路徑。

  4. 在右側窗格中,按一下 New registration(新建註冊)。

    新建註冊選項。

  5. 輸入應用程式名稱。

  6. Supported account types(支援的帳戶類型)下,選取 Accounts in this organizational directory only (Default Directory only - Single tenant)(僅此組織目錄中的帳戶(僅限預設目錄 - 單一租用戶))。

    支援的帳戶類型。

  7. Redirect URI (optional)(重新導向 URL(可選))下,選取 Single-page application (SPA)(單頁應用程式 (SPA))並輸入 https://federation.sophos.com/login/callback

    重新導向 URL 選項。

  8. 按一下註冊

為應用程式設定身分驗證

若要設定 Azure 應用程式,請執行以下動作:

  1. 在建立的應用程式中,按一下 Authentication(身分驗證)。
  2. Implicit grant and hybrid flows(隱式授與和混合流)下,選取 ID tokens (used for implicit and hybrid flows)(ID 權杖(用於隱式和混合流))。
  3. Supported account types(支援的帳戶類型)下,選取 Accounts in this organizational directory only (Default Directory only - Single tenant)(僅此組織目錄中的帳戶(僅限預設目錄 - 單一租用戶))。

  4. 按一下儲存

    隱式授與和混合流。

設定權杖設定

要設定Firewall Management,請執行以下操作:

  1. 在建立的應用程式中,按一下 Token configuration(權杖設定)。
  2. Optional claims(可選聲明)下,按一下 Add optional claim(新增可選聲明)。

  3. Token type(權杖類型)下,選取 ID,然後選取 email(電子郵件)。

    權杖類型選項。

  4. 按一下 新增

  5. 在彈出訊息中,按一下 Turn on the Microsoft Graph email permission(開啟 Microsoft Graph 電子郵件權限)。

    電子郵件權限。

  6. 按一下 新增

指派應用程式權限

要檢查您的權限,請執行以下動作:

  1. 在您建立的應用程式中,按一下 API permissions(API 權限)。

  2. Configured permissions(已設定權限)下,按一下 Grant admin consent for <account>(為帳戶授與管理員同意)。

    應用程式權限。

  3. 按一下

Microsoft Entra ID 同步

Microsoft Entra ID 管理員必須同意(授與權限)才能使用儲存在您組織的 Microsoft Entra ID 租用戶中的憑證登入 Sophos Central。

此同意適用於所有 Sophos Central 產品。

Microsoft Entra ID 管理員同意之後,即表示您的 Microsoft Entra ID 租用戶信任 Sophos Central,且您可將 Microsoft Entra ID 新增為身分識別提供者。

有關在 Microsoft Entra ID 中授與同意的說明,請參閱瞭解 Microsoft Entra ID 應用程式同意體驗

尋找您的租用戶識別碼

您需要知道租用戶 ID,才能將 Microsoft Entra ID 新增為身分識別提供者。

若要尋找租用戶 ID,請依照以下步驟操作:

  1. 從 Microsoft Azure 入口網站功能表中,選取 Microsoft Entra ID概覽頁面隨即顯示。

  2. 基本資訊部分,找到您的租用戶 ID。這是您租用戶網域的 ID。

    將 Microsoft Entra ID 設定為身分識別提供者時,需要輸入此內容。

要將 Microsoft Entra ID 新增為身分識別提供者,請參閱以下主題:

將 Microsoft Entra ID 設定為身分識別提供者

您可以將 Microsoft Entra ID 用作身分識別提供者。

若要執行此操作,請依照以下步驟操作。

  1. 在 Sophos Central 中,移至全域設定 > 同盟身分識別提供者

    同盟身分識別提供者路徑。

  2. 按一下新增身分識別提供者

  3. 輸入名稱說明
  4. 按一下類型並選擇 OpenID Connect
  5. 按一下廠商並選擇 Microsoft Entra ID
  6. 跳過步驟 A:設定 OpenID Connect,因為您已在 Azure 入口網站中設定 Microsoft Entra ID。

  7. 對於步驟 B:設定 OpenID Connect 設定,請執行以下操作:

    1. 對於 用戶端 ID,輸入您在 Azure 中建立的應用程式的用戶端 ID。

      若要找到它,請依照以下步驟操作:

      1. 在 Azure 入口網站中,移至 App registrations(應用程式註冊)。
      2. 選取您建立的應用程式。
      3. 複製 應用程式(用戶端) ID 中的 ID,並將其貼到 Sophos Central 的用戶端 ID 中。

    2. 對於發行者,請輸入以下 URL:

      https://login.microsoftonline.com/<tenantId>/v2.0

      <tenantId> 替換為 Azure 執行個體的租用戶 ID。

      若要找到它,請依照以下步驟操作:

      1. 在 Azure 入口網站中,移至 App registrations(應用程式註冊)。
      2. 選取您建立的應用程式。
      3. 複製目錄(租用戶) ID 中的 ID,並將 URL 中的 <tenantId> 替換為該 ID。

    3. 對於 Authz 端點,請輸入以下 URL:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      <tenantId> 替換為您在步驟 B 中複製的租用戶 ID。

    4. 對於 JWKS URL,請輸入以下 URL:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      <tenantId> 替換為您在步驟 B 中複製的租用戶 ID。

    步驟 B:設定 OpenID Connect 設定。

  8. 按一下選取網域並選擇您的網域。

    您可以新增多個網域。您只能將使用者與一個網域相關聯。

  9. 選取是否要開啟 IDP 強制的 MFA。選取以下之一:

    • IdP 強制的 MFA
    • 無 IdP 強制的 MFA

  10. 按一下儲存

您現在可以將 Microsoft Entra ID 新增為身分識別提供者。請參閱添加身份提供者(Entra ID/Open IDC/ADFS)

設定 Microsoft Entra ID 以允許使用者使用 UPN 登入

您可以將 Microsoft Entra ID 設定為允許使用者在其使用者主體名稱 (UPN) 與其電子郵件地址不同時,使用使用者主體名稱 (UPN) 登入。

要使用 UPN 登入,他們必須執行以下操作:

  1. 使用者和管理員使用其在 Sophos Central 中的關聯電子郵件地址登入。

    Sophos 登入畫面。

  2. 他們會根據在 Sophos 登入設定中選取的內容看到螢幕畫面。

    • 如果您 * 在 *我的產品 > 常規設定 > Sophos登入設定中選擇了Sophos Central Admin或聯盟憑據,用戶和管理員可以使用任一選項登入。

      SSO 或 Sophos Admin 郵件與密碼登入。

      要使用 UPN 登入,他們必須執行以下操作:

      1. 按一下使用 SSO 登入

        將顯示 Microsoft Azure 登入頁面。

      2. 輸入 UPN 和密碼。

    • 如果您在我的產品 > 一般設定 > Sophos 登入設定中選擇了僅限同盟認證,將顯示 Microsoft Azure 登入頁面,他們可以在該頁面中輸入 UPN 和密碼。