跳至內容

設定從 Active Directory 進行同步處理

您可以同步處理使用者、裝置和群組。您也可以同步處理公共資料夾和信箱。

您可以同步處理同一樹系中的不同網域。您可在單一樹系中選取多個子網域。

您還可以執行以下動作:

  • 針對同一網域,從 Active Directory (AD) 同步裝置和裝置群組以及從 Microsoft Azure AD (Azure AD) 同步使用者和使用者群組。

    則警告

    如果要同步處理共用信箱和公共資料夾,若使用者和使用者群組與您的共用信箱和公共資料夾位於同一網域,則您還必須使用 AD 同步處理這些使用者和使用者群組。

  • 同步不同網域的 AD 和 Azure AD。

Active Directory 同步設定

若要與 AD 同步,您需要下載並安裝 Active Directory 同步設定(我們將在稍後說明如何下載並安裝它)。Active Directory 同步設定的工作方式如下:

  • 它同步使用中的使用者和使用者群組。

    當它們與現有的 Sophos Central 使用者或群組匹配時,它不會重複現有的使用者或群組。例如,它可以將 AD 中的電子郵件位址添加到 Sophos Central 中的現有使用者。

  • 它可以同步裝置和裝置群組。您可以在 裝置群組探索常見問題 中找到有關如何匹配裝置和群組的資訊以及其他有用資訊。

  • 它會同步共用信箱和公共資料夾。

您可以將其設定為在設定的時間自動執行。僅支援 AD 同步處理服務。其不能幫助您在使用者的裝置上安裝 Sophos 代理程式軟體。使用其他部署方法。

您需要閱讀以下部分並完成所有必要的工作才能設定與 AD 進行同步處理:

  • 要求
  • 限制
  • 移除非使用中的使用者和裝置

如果您已執行此操作,請轉至 下載安裝軟體並驗證憑證

要求

您需要檢查以下內容才能設定同步處理:

  • 您必須是管理員才能設定目錄來源。
  • 您必須在執行 Active Directory 同步設定的電腦上安裝 .NET Framework 4.5.2。
  • 您必須擁有 Sophos API 憑證才能與 AD 同步。您需要擁有以下內容,才可設定同步、變更現有設定,或進行同步處理。

    您必須使用服務主體 Active Directory 同步 API 角色。您應始終確保存取權限盡可能明確。

    請參閱API 憑證管理

  • 您必須檢查並確保您所有的 Active Directory 使用者都具有電子郵件地址。

    使用許多 Sophos Central 工作流程時,您需要使用者擁有電子郵件地址以保護他們。

    例如,如果您使用 Sophos Email 來保護您的使用者,則傳送到未與使用者關聯的電子郵件地址的電子郵件不會被傳送。

  • 您必須設定防火牆或 Proxy 以允許部分網域。請參閱要允許的網域和連接埠

限制

您不能執行以下動作:

  • 使用 AD 和 Azure AD 同步同一網域的使用者和使用者群組。
  • 將多個 AD 樹系與 Sophos Central Admin 帳戶同步。
  • 將多個 Active Directory 同步設定複本用於 Sophos Central Admin 帳戶。
  • 爲 Sophos Central Admin 帳戶設定多組 AD 同步選項。

移除非使用中的使用者和裝置

建議從 AD 網域中移除非使用中的使用者及裝置。非使用中的使用者帳戶和裝置都具有安全性風險。這也可減少從 AD 傳送至 Sophos Central 的檔案大小,從而提高同步處理的速度。

您可以找到有關查找和移除非使用中使用者的說明,如下所示:

您可使用 AD 篩選器,阻止非使用中的使用者與 Sophos Central 同步。這可以減小傳送到 Sophos Central 的同步檔案的大小,但不會降低與 AD 域中非使用中的使用者相關的安全風險。

請參閱篩選非使用中的 AD 使用者

下載安裝軟體並驗證憑證

若要開始設定與 AD 的同步處理,您必須下載 Active Directory 同步設定並驗證您的憑證。

這些說明將向您示範如何設定與 AD 的同步處理。這將新增 AD 目錄來源。有關管理您的目錄來源的說明,請參見 管理您的來源

若要開始設定,請執行下列動作:

  1. 轉至概述 > 全局設定 > 目錄服務
  2. 按一下連結以下載 Active Directory 同步設定。然後執行它。Active Directory 同步安裝程式啓動。
  3. 輸入您的 用戶端 ID用戶端密碼,然後按一下驗證憑證
  4. 如果您要使用 Proxy,開啟手動設定 Proxy,然後輸入 Proxy 位址
  5. 如果您正在使用 Proxy,則可以開啟其他驗證。開啟啓用 Proxy 驗證並輸入以下資訊。

    • Proxy 使用者
    • Proxy 密碼
  6. 按一下驗證憑證以檢查您的 Proxy 設定。

接下來,您需要輸入 AD 設定詳細資料。

現在,您可以輸入 AD 設定詳細資料。您必須使用對要同步的整個 Active Directory 樹系具有讀取存取權限的使用者賬戶的憑證。為確保安全,請使用有限權限的帳戶。

如需輸入設定,請進行以下操作:

  1. AD 設定頁面上,輸入 Active Directory LDAP 伺服器和憑證的詳細資料。

    我們建議您使用安全 LDAP 連線,透過 SSL 進行加密,並且開啟透過 SSL 連接使用 LDAP(推薦)

  2. 如果您的 LDAP 環境不支援 SSL,請關閉透過 SSL 連接使用 LDAP(建議),然後變更連接埠號碼。通常,SSL 的連接埠號碼為 636,不安全連接的連接埠號碼為 389。

    Microsoft 發佈了一個安全性更新,該更新變更了 Active Directory 的 LDAP 通道繫結和 LDAP 簽章。連接埠 389 上的不安全連線無法使用 Microsoft 安全性更新。請參閱 2020 LDAP 通道繫結和 LDAP 簽章要求(適用於 Windows)

接下來,您需要設定同步選項。要進行此項操作,請按一下下一步,然後使用剩餘索引標籤設定同步。

如果您已完成設定,可以按一下任何索引標籤上的完成

設定您的同步選項

現在,您可以設定要用於將 AD 資訊同步到 Sophos Central 的篩選器。

限制

部分功能可能尚未適用於所有客戶。

您可以使用 Active Directory 同步設定選擇需要同步的資料類型。

您可以透過設定 LDAP 篩選器來選擇要同步的資料類型。

有關同步不同資料類型的特定說明,請參閱:

  • 裝置和裝置群組
  • 使用者和使用者群組
  • 公共資料夾 要篩選資料,請執行以下動作:
  • AD 篩選器索引標籤上,設定 LDAP 篩選器以選取要同步的使用者、裝置和群組。

    您可為每個網域輸入其他搜尋選項(搜尋基準和 LDAP 查詢篩選器)。您還可爲使用者和使用者群組指定不同的選項。

    注意

    同步僅會建立包含已發現使用者或裝置的群組,無論群組篩選器設定如何。

    選項 說明
    搜尋基準 您可以指定搜尋基準(也稱為「基準辨別名稱」)。例如,如果要按組織單位 (OU) 進行篩選,則可以使用此格式指定搜尋基準:

    OU=Finance,DC=myCompany,DC=com

    LDAP 查詢篩選器 若要篩選使用者,例如按照群組成員篩選使用者,可以按此格式定義使用者查詢篩選器:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    此查詢將使用者發現限制為屬於「testGroup」的使用者。請注意,如果未指定群組查詢篩選器,同步將會發現已發現使用者所屬的所有群組。如果希望群組探索也限制為「testGroup」,則可以定義以下群組查詢篩選器:

    CN=testGroup

    您也可以使用這些篩選器來停止非使用中的使用者與 Sophos Central 同步。

    排除停用的使用者帳戶 預設情況下,同步會排除停用的使用者帳戶。如需將其包括在內,請關閉此選項。

    則警告

    如果在搜尋選項中包括基準分辨名稱或變更篩選器設定,則先前同步期間建立的某些 Sophos Central 使用者和群組可能會超出搜尋範圍。我們可能會將其從 Sophos Central 中刪除。

現在您可以設定同步排程。請參閱同步排程

裝置和裝置群組

如果要同步裝置和裝置群組,請執行以下操作:

  1. 按一下 AD 篩選器
  2. 打開同步裝置同步組織單位
  3. 在同步裝置之前,您可能需要同步組織單位,以便提前設定群組。爲此,請僅打開同步組織單位

    建議您在第一次同步裝置之前同步組織單元。這可讓您設定策略並將其套用至您的群組。然後,您可以同步裝置,我們會將您的策略套用至您的裝置。如果您未這麼做,我們會將預設原則套用至您的群組和裝置。

    如果在同步裝置之前同步組織單位,則在同步裝置時必須打開同步裝置同步組織單位。這會維護組織單位與裝置之間的關聯。

    如果要變更這些設定,在同步組織單位和裝置後,您需了解以下內容:

    • 如果關閉同步組織單位並保持同步裝置打開,然後同步,則您的組織單位將在 Sophos Central 中顯示為自訂群組。
    • 如果關閉同步裝置並保持同步組織單位打開,然後同步,我們不會將您的裝置指派給 Sophos Central 中的群組。

使用者和使用者群組

如需同步使用者與使用者群組,請執行以下操作:

  1. 按一下 AD 篩選器
  2. 打開同步使用者與使用者群組

    此選項也會同步處理共用信箱。

    您可以改用 Azure AD 來同步處理使用者和使用者群組。如果要執行此操作,可以關閉此選項。

    如果關閉此選項,則無法同步共用信箱或公共資料夾。

公共資料夾

如需同步公用資料夾,請進行以下步驟。

  1. 按一下 AD 篩選器
  2. 打開同步使用者與使用者群組

    公用資料夾是郵箱,因此您必須打開此選項。

  3. 打開同步公用資料夾

    Active Directory 同步選項

同步排程

若要設定同步排程,請執行以下動作:

  1. 同步排程索引標籤中定義同步的時間。

    Active Directory 排程選項

    注意

    背景服務執行排程同步。

  2. 如需手動同步,並且不希望自動執行同步,請按一下從不。僅在手動啟動時同步。

現在,您可以與 AD 同步。

建議您在設定同步處理或變更設定時,手動與 AD 同步。這意味着您可以檢查同步期間將進行的變更。

若要同步,請執行以下操作:

  1. 按一下預覽和同步

    • 如果您使用的是 LDAP 查詢篩選器,請檢查是否已正確設定。
  2. 檢閱在同步期間將進行的變更。如果您對變更感到滿意,請點選批准變更並繼續。您的使用者、裝置和群組從 AD 匯入 Sophos Central。

  3. 在 Sophos Central 中檢閱您的使用者、裝置和群組。

    • 檢查您的使用者以確保他們的裝置受到保護。
    • 檢查套用至使用者和使用者群組的原則。
    • 檢查您的電腦和伺服器是否有未受管理的裝置。這些內容顯示在單獨的索引標籤上。保護所有未受管理的裝置。
    • 檢查套用至裝置和裝置群組的原則。您可以將原則套用至 AD 裝置群組。

移動 Active Directory 同步伺服器

如果要移動用於與 AD 同步的伺服器,請執行以下動作:

  1. 停止在目前伺服器上同步。
  2. 安裝新伺服器的 Active Directory 同步處理。

    如果您需要有關此方面的協助,請按照本頁前面各節中的說明進行操作。

  3. 檢查是否需要對篩選器進行變更。

  4. 預覽同步處理以檢查設定是否正確。
  5. 同步並檢查所有項目是否如預期運作。
  6. 設定同步處理排程。
  7. 從原始伺服器中移除 Active Directory 同步處理。
回到頁首