設定從 Active Directory 進行同步處理

部分功能可能尚未適用於所有客戶。

您可以同步處理使用者、裝置和群組。您也可以同步處理公共資料夾和信箱。

您可以同步處理同一樹系中的不同網域。您可在單一樹系中選取多個子網域。

您還可以將多個樹係與一個 Sophos Central Admin 帳戶同步。您需要了解以下資訊：

建議您將一個樹系與一個 Sophos Central Admin 帳戶同步。如果您將一個樹系與多個帳戶同步，可能會導致 Sophos Central Admin 中出現無法預測的行為。
每個樹係中的使用者和電子郵件地址必須是唯一的。如果您有重複的物件，我們會在同步期間使用每個樹系的資訊來更新它們。同步不會合併資料。這表示我們可能為 Sophos Central Admin 中重複的樹系物件顯示不一致的資訊。

您還可以執行以下動作：

針對同一網域，從 Active Directory (AD) 同步裝置和裝置群組以及從 Microsoft Entra ID 同步使用者和使用者群組。

警告

如果要同步處理共用信箱和公共資料夾，若使用者和使用者群組與您的共用信箱和公共資料夾位於同一網域，則您還必須使用 AD 同步處理這些使用者和使用者群組。
從不同網域的 AD 和 Microsoft Entra ID 同步。

Active Directory 同步設定

若要與 AD 同步，您需要下載並安裝 Active Directory 同步設定（我們將在稍後說明如何下載並安裝它）。Active Directory 同步設定的工作方式如下：

它同步使用中的使用者和使用者群組。

如果用戶與現有Sophos Central用戶匹配，則只有在Sophos Central中手動創建現有用戶時，Active Directory同步安裝程序纔會創建新用戶。如果現有用戶從另一個目錄服務同步，則不會創建新用戶。這同樣適用於組。
範例
- 您可以將AD中的電子郵件地址添加到Sophos Central中使用其他目錄服務添加的現有用戶。
- 當您在" 人員 "頁面上手動創建名爲"Bob"的用戶，然後從AD添加名爲"Bob"的另一個用戶時，Sophos Central中將有兩個"Bob"用戶。
它可以同步裝置和裝置群組。您可以在裝置群組探索常見問題中找到有關如何匹配裝置和群組的資訊以及其他有用資訊。
它會同步共用信箱和公共資料夾。

如果要同步共用信箱，設定同步選項時，必須確保排除停用的使用者帳戶已開啟。如果關閉此選項，您將會在 Sophos Central 中取得重複的共用信箱。

您可以將其設定為在設定的時間自動執行。僅支援 AD 同步處理服務。其不能幫助您在使用者的裝置上安裝 Sophos 代理程式軟體。使用其他部署方法。

您需要閱讀以下部分並完成所有必要的工作才能設定與 AD 進行同步處理：

要求
限制
移除非使用中的使用者和裝置

如果您已執行此操作，請轉至下載安裝軟體並驗證憑證。

要求

您需要檢查以下內容才能設定同步處理：

您必須是管理員才能設定目錄來源。
您必須在執行 Active Directory 同步設定的電腦上安裝 .NET Framework 4.5.2。
您必須擁有 Sophos API 憑證才能與 AD 同步。您需要擁有以下內容，才可設定同步、變更現有設定，或進行同步處理。

您必須使用服務主體 Active Directory 同步 API 角色。您應始終確保存取權限盡可能明確。

請參閱API 憑證管理。
您必須檢查並確保您所有的 Active Directory 使用者都具有電子郵件地址。

使用許多 Sophos Central 工作流程時，您需要使用者擁有電子郵件地址以保護他們。

例如，如果您使用 Sophos Email 來保護您的使用者，則傳送到未與使用者關聯的電子郵件地址的電子郵件不會被傳送。
您必須設定防火牆或 Proxy 以允許部分網域。請參閱要允許的網域和連接埠。

限制

您不可以執行以下操作：

使用 AD 和 Microsoft Entra ID 從同一網域同步使用者和使用者群組。
將使用者或電子郵件地址同步到多個 Sophos Central Admin 帳戶。每個 Sophos Central Admin 帳戶中的使用者和電子郵件地址必須是唯一的。
將使用者與多個網域中的群組同步。我們只會同步群組所屬網域的使用者。預覽和同步顯示所有群組成員，但我們不會將其他網域中的使用者新增到該群組中。

例如，您有兩個域名為 domainX.com 和 sub.domainX.com 的網域。您的其中一個域 domainX.com 有一個群組 g1。群組 g1 包含兩個網域中的成員。我們將同步您的使用者並將其與群組 g1 相關聯。我們只會針對群組所關聯的網域執行此動作。這意味着我們將同步 domainX.com 使用者並將其新增到 g1 群組。預覽和同步顯示所有群組成員，但我們不會新增第二個網域的使用者。
為目錄物件設定 1000 多個篩選器。使用篩選器可選取要同步的使用者和裝置。
設定長度超過 5000 個字元的其他 LDAP 篩選器。
使用名稱中任意部分長度超過 63 個字元的網域，或以 '-' 或 '_' 字元開頭或結尾的網域。
分別同步使用者與使用者群組。您必須同步兩者或都不同步。
分別同步裝置與裝置群組。您必須同步兩者或都不同步。
同步 Microsoft 365 群組（共用）信箱。您必須使用 Microsoft Entra ID 同步。
同步單個網域或子網域的多個 AD 用戶端。

移除非使用中的使用者和裝置

建議從 AD 網域中移除非使用中的使用者及裝置。非使用中的使用者帳戶和裝置都具有安全性風險。這也可減少從 AD 傳送至 Sophos Central 的檔案大小，從而提高同步處理的速度。

您可以找到有關查找和移除非使用中使用者的說明，如下所示：

您可使用 AD 篩選器，阻止非使用中的使用者與 Sophos Central 同步。這可以減小傳送到 Sophos Central 的同步檔案的大小，但不會降低與 AD 域中非使用中的使用者相關的安全風險。

請參閱篩選非使用中的 AD 使用者。

下載安裝軟體並驗證憑證

若要開始設定與 AD 的同步處理，您必須下載 Active Directory 同步設定並驗證您的憑證。

這些說明將向您示範如何設定與 AD 的同步處理。這將新增 AD 目錄來源。有關管理您的目錄來源的說明，請參見管理您的來源。

若要開始設定，請執行下列動作：

轉至我的產品 > 一般設定，然後按一下目錄服務。
按一下連結以下載 Active Directory 同步設定。然後執行它。Active Directory 同步安裝程式啓動。
輸入您的 用戶端 ID 和 用戶端密碼，然後按一下驗證憑證。
如果您要使用 Proxy，開啟手動設定 Proxy，然後輸入 Proxy 位址。
如果您正在使用 Proxy，則可以開啟其他驗證。開啟啓用 Proxy 驗證並輸入以下資訊。
- Proxy 使用者
- Proxy 密碼
按一下驗證憑證以檢查您的 Proxy 設定。

接下來，您需要輸入 AD 設定詳細資料。

輸入您的 AD 設定

現在，您可以輸入 AD 設定詳細資料。您必須使用對要同步的整個 Active Directory 樹系具有讀取存取權限的使用者賬戶的憑證。為確保安全，請使用有限權限的帳戶。

如需輸入設定，請進行以下操作：

在 AD 設定頁面上，輸入 Active Directory LDAP 伺服器和憑證的詳細資料。

我們建議您使用安全 LDAP 連線，透過 SSL 進行加密，並且開啟透過 SSL 連接使用 LDAP（推薦）。
如果您的 LDAP 環境不支援 SSL，請關閉透過 SSL 連接使用 LDAP（建議），然後變更連接埠號碼。通常，SSL 的連接埠號碼為 636，不安全連接的連接埠號碼為 389。

Microsoft 發佈了一個安全性更新，該更新變更了 Active Directory 的 LDAP 通道繫結和 LDAP 簽章。連接埠 389 上的不安全連線無法使用 Microsoft 安全性更新。請參閱 2020 LDAP 通道繫結和 LDAP 簽章要求（適用於 Windows）。

接下來，您需要設定同步選項。要進行此項操作，請按一下下一步，然後使用剩餘索引標籤設定同步。

如果您已完成設定，可以按一下任何索引標籤上的完成。

設定您的同步選項

現在，您可以設定要用於將 AD 資訊同步到 Sophos Central 的篩選器。

部分功能可能尚未適用於所有客戶。

AD 篩選器

您可以使用 Active Directory 同步設定選擇需要同步的資料類型。

您可以透過設定 LDAP 篩選器來選擇要同步的資料類型。

有關同步不同資料類型的特定說明，請參閱：

裝置和裝置群組
使用者和使用者群組
公共資料夾

要篩選資料，請執行以下動作：

在 AD 篩選器索引標籤上，設定 LDAP 篩選器以選取要同步的使用者、裝置和群組。

您可為每個網域輸入其他搜尋選項（搜尋基準和 LDAP 查詢篩選器）。您還可爲使用者和使用者群組指定不同的選項。

注意

同步僅會建立包含已發現使用者或裝置的群組，無論群組篩選器設定如何。

選項說明

搜尋基準

您可以指定搜尋基準（也稱為「基準辨別名稱」）。例如，如果要按組織單位 (OU) 進行篩選，則可以使用此格式指定搜尋基準：

OU=Finance,DC=myCompany,DC=com

LDAP 查詢篩選器

若要篩選使用者，例如按照群組成員篩選使用者，可以按此格式定義使用者查詢篩選器：

memberOf=CN=testGroup, DC=myCompany, DC=com

此查詢將使用者發現限制為屬於「testGroup」的使用者。請注意，如果未指定群組查詢篩選器，同步將會發現已發現使用者所屬的所有群組。如果希望群組探索也限制為「testGroup」，則可以定義以下群組查詢篩選器：

CN=testGroup

您也可以使用這些篩選器來停止非使用中的使用者與 Sophos Central 同步。

排除停用的使用者帳戶

預設情況下，同步會排除停用的使用者帳戶。如需將其包括在內，請關閉此選項。

如果要同步共用信箱，必須確保此選項已開啟。如果未開啟，您將會在 Sophos Central 中取得重複的共用信箱。

警告

如果在搜尋選項中包括基準分辨名稱或變更篩選器設定，則先前同步期間建立的某些 Sophos Central 使用者和群組可能會超出搜尋範圍。我們可能會將其從 Sophos Central 中刪除。

現在您可以設定同步排程。請參閱同步排程。

裝置和裝置群組

如果要同步裝置和裝置群組，請執行以下操作：

按一下 AD 篩選器。
打開同步裝置和同步組織單位。
在同步裝置之前，您可能需要同步組織單位，以便提前設定群組。爲此，請僅打開同步組織單位。

建議您在第一次同步裝置之前同步組織單元。這可讓您設定策略並將其套用至您的群組。然後，您可以同步裝置，我們會將您的策略套用至您的裝置。如果您未這麼做，我們會將預設原則套用至您的群組和裝置。

如果在同步裝置之前同步組織單位，則在同步裝置時必須打開同步裝置和同步組織單位。這會維護組織單位與裝置之間的關聯。

如果要變更這些設定，在同步組織單位和裝置後，您需了解以下內容：
- 如果關閉同步組織單位並保持同步裝置打開，然後同步，則您的組織單位將在 Sophos Central 中顯示為自訂群組。
- 如果關閉同步裝置並保持同步組織單位打開，然後同步，我們不會將您的裝置指派給 Sophos Central 中的群組。

使用者和使用者群組

如需同步使用者與使用者群組，請執行以下操作：

按一下 AD 篩選器。
打開同步使用者與使用者群組。

此選項也會同步處理共用信箱。

您可以改用 Microsoft Entra ID 來同步使用者和使用者群組。如果要執行此操作，可以關閉此選項。

如果關閉此選項，則無法同步共用信箱或公共資料夾。

公共資料夾

如需同步公用資料夾，請進行以下步驟。

按一下 AD 篩選器。
打開同步使用者與使用者群組。

公用資料夾是郵箱，因此您必須打開此選項。
打開同步公用資料夾。

同步排程

若要設定同步排程，請執行以下動作：

在同步排程索引標籤中定義同步的時間。

注意

背景服務執行排程同步。
如需手動同步，並且不希望自動執行同步，請按一下從不。僅在手動啟動時同步。

現在，您可以與 AD 同步。

同步 AD

建議您在設定同步處理或變更設定時，手動與 AD 同步。這意味着您可以檢查同步期間將進行的變更。

手動同步最多可能需要 15 分鐘。

若要同步，請執行以下操作：

按一下預覽和同步。
- 如果您使用的是 LDAP 查詢篩選器，請檢查是否已正確設定。
檢閱在同步期間將進行的變更。如果您對變更感到滿意，請點選批准變更並繼續。您的使用者、裝置和群組從 AD 匯入 Sophos Central。
在 Sophos Central 中檢閱您的使用者、裝置和群組。
- 檢查您的使用者以確保他們的裝置受到保護。
- 檢查套用至使用者和使用者群組的原則。
- 檢查您的電腦和伺服器是否有未受管理的裝置。這些內容顯示在單獨的索引標籤上。保護所有未受管理的裝置。
- 檢查套用至裝置和裝置群組的原則。您可以將原則套用至 AD 裝置群組。

移動 Active Directory 同步伺服器

如果要移動用於與 AD 同步的伺服器，請執行以下動作：

停止在目前伺服器上同步。
安裝新伺服器的 Active Directory 同步處理。

如果您需要有關此方面的協助，請按照本頁前面各節中的說明進行操作。
檢查是否需要對篩選器進行變更。
預覽同步處理以檢查設定是否正確。
同步並檢查所有項目是否如預期運作。
設定同步處理排程。
從原始伺服器中移除 Active Directory 同步處理。