跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=Entra-ID-sign-in-using-UPN

設定 Microsoft Entra ID 以允許使用者使用 UPN 登入

此頁面提供設定 Azure IDP 的替代方法。如果您需要使用者使用與其主要電子郵件地址不同的使用者主體名稱 (UPN) 進行驗證,則必須遵循此頁面上的指示。

如果您的使用者電子郵件地址與其 UPN 相同,請參閱 新增身分識別提供者 (Entra ID/Open IDC/ADFS)

主要步驟說明如下:

  1. 在 Azure 入口網站中設定 Microsoft Entra ID。
  2. 在 Sophos Central 中將 Microsoft Entra ID 新增為身分識別提供者。

在 Azure 入口網站中設定 Microsoft Entra ID

在 Azure 入口網站設定 Microsoft Entra ID 的主要步驟如下:

  1. 建立 Azure 應用程式。
  2. 為應用程式設定身分驗證。
  3. 設定權杖設定。
  4. 指派應用程式權限。

如需更多詳細資訊,請參閱下一節。

建立 Azure 應用程式

若要建立 Azure 應用程式,請依照以下步驟操作:

  1. 登入您的 Azure 入口網站。

  2. 登入您的 Azure 入口網站。

    應用程式註冊路徑。

  3. 應用程序註冊 頁面上,按一信 新註冊

    新註冊選項。

  4. 輸入應用程式名稱。

  5. 支援的帳戶類型 下,選取 僅此組織目錄中的帳戶 (僅限預設目錄 - 單一租用戶)

    支援的帳戶類型。

  6. 重新導向 URI (可選) 下,選擇 單頁應用程式 (SPA) 並輸入以下網址:https://federation.sophos.com/login/callback

    重新導向 URL 選項。

  7. 按一下 註冊

為應用程式設定身分驗證

若要設定 Azure 應用程式,請按照以下步驟操作:

  1. 在建立的應用程式中,按一下 驗證
  2. 隱式授權和混合流量 下,選取 ID 權杖 (用於隱式和混合流量)
  3. 支援的帳戶類型 下,選取 僅此組織目錄中的帳戶 (僅限預設目錄 - 單一租用戶)

  4. 按一下 儲存

    隱式授權和混合流量。

設定權杖設定

若要設定密碼金鑰,請按以下步驟操作:

  1. 在建立的應用程式中,按一下 權杖設定
  2. 可選聲明 下,按一下 新增可選聲明

  3. 權杖類型 下,選取 ID,然後選取 電子郵件

    權杖設定。

  4. 選取 新增

  5. 新增可選聲明中,選擇 開啟 Microsoft Graph電子郵件權限,然後按一下 新增

    電子郵件權限。

指派應用程式權限

若要檢查您的權限,請按以下步驟操作:

  1. 在您建立的應用程式中,按一下 API 權限

  2. 已設定權限 下,按一下 為帳戶授與 < 系統管理員同意>

    應用程式權限。

  3. 按一下

在 Sophos Central 中將 Microsoft Entra ID 新增為身分識別提供者

您可以將 Microsoft Entra ID 新增為身分識別提供者。

若要將 Microsoft Entra ID 新增為身分識別提供者,請參閱以下主題:

  1. 在 Sophos Central 中,移至一般設定 > 同盟身分識別提供者
  2. 按一下 新增身分識別提供者
  3. 輸入 名稱說明
  4. 按一下 類型 並選擇 OpenID Connect
  5. 按一下 廠商 並選擇 Microsoft Entra ID
  6. 如果您已在 Azure 入口網站中設定 Microsoft Entra ID,請跳過 步驟A: 設定 OpenID Connect

  7. 對於步驟 B: 設定 OpenID Connect 設定,請按照以下步驟操作:

    1. 用戶端 ID 中,輸入您在 Azure 中建立的應用程式的用戶端 ID,如下所示:

      1. 在 Azure 入口網站中,前往 用程式註冊
      2. 選取您建立的應用程式。
      3. 複製 應用程式 (用戶端) ID 中的 ID,並將其貼上到 Sophos Central 中的 用戶端 ID

    2. 發行者,請輸入以下 URL:

      https://login.microsoftonline.com/<tenantId>/v2.0

      將現有的租戶 ID 替換為您 Azure 執行個體的租戶 ID。

      若要尋找租戶 ID,請按照以下步驟操作:

      1. 在 Azure 入口網站中,前往 用程式註冊
      2. 選取您建立的應用程式。
      3. 目錄 (租戶) ID 的值即為您 Azure 執行個體的租戶 ID。

    3. Authz 端點,請輸入以下 URL:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      將現有的租戶 ID 替換為您先前複製的租戶 ID。

    4. JWKS URL,請輸入以下 URL:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      將現有的租戶 ID 替換為您先前複製的租戶 ID。

    步驟 B:設定 OpenID Connect 設定。

  8. 按一下 選取網域 並選擇您的網域。

    您可以新增多個網域,但每個使用者只能與一個網域關聯。

  9. 選擇是否啟用由 IDP 強制執行的多因素驗證 (MFA),方法是選擇以下選項之一:

    • IdP 強制的 MFA
    • 無 IdP 強制的 MFA

  10. 按一下 儲存

使用者如何使用 UPN 登入

以下步驟顯示您完成上述設定後,使用者如何登入。

  1. 使用者和系統管理員在 Sophos Central 中使用關聯的電子郵件地址登入。

    Sophos 登入畫面。

  2. 他們看到的畫面可能會根據您在 Sophos 登入設定 中的選擇而有所不同。

    • 如果您在 我的產品 > 一般設定 > Sophos 登入設定 中選擇了 Sophos Central 管理員或聯合認證,使用者和系統管理員可以選擇任一選項登入。

      SSO 或 Sophos Admin 郵件與密碼登入。

      若要使用 UPN 登入,他們必須按照以下步驟操作:

      1. 按一下使用 SSO 登入

        此時將顯示 Microsoft Azure 登入頁面。

      2. 輸入 UPN 和密碼。

    • 如果您在 我的產品 > 一般設定 > Sophos 登入設定 中選擇了 僅聯合認證,他們將看到 Microsoft Azure 登入頁面,以便輸入其 UPN 和密碼。