跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=directory-service-Azure-AD

設定與 Microsoft Entra ID 進行同步

您可以將使用者和群組從 Microsoft Entra ID 同步至 Sophos Central。您可以從多個 Microsoft Entra ID 網域進行同步。

警告

如果您使用的是 Office 365 GCC High 方案,則無法將 Sophos Central 與 Microsoft Entra ID 同步。

這些說明將向您示範如何設定 Microsoft Entra ID 目錄來源。有關管理您的目錄來源的說明,請參見 管理您的來源

您可以預覽正在同步的資訊。您必須先完成設定過程。

您需要閱讀以下部分並完成所有必要的工作才能設定與 Microsoft Entra ID 進行同步:

  • 要求
  • 限制

如果您已執行此操作,請轉至 新增 Microsoft Entra ID

需求

開始之前,您需要檢查以下內容:

  • 檢查您是否具有正確的管理員角色。您必須是管理員才能設定目錄來源。

  • 請檢查您是否有正確的 Microsoft Azure 設定和權限。您需要以下:

  • 確保 Sophos Central 中任何現有使用者或群組都有 Microsoft Entra ID 比對。

    如果任何使用者或群組都沒有相符項目,則需要在 Sophos Central 中手動管理他們。

  • 確保所有 Microsoft Entra ID 使用者都具有電子郵件地址。

    使用許多 Sophos Central 工作流程時,您需要使用者擁有電子郵件地址以保護他們。

    例如,如果您使用 Sophos Email 來保護您的使用者,則傳送到未與使用者關聯的電子郵件地址的電子郵件不會被傳送。

警告

在某些情況下,用戶可能會重複。這是因為從 Microsoft Entra ID 同步處理的 UPN 辨識碼與端點使用者登入不相符。如欲瞭解更多詳情,請參閱為什麼我的一些 Microsoft Entra ID 同步使用者未連結至 Endpoint 登入使用者?

有關與 Microsoft Entra ID 同步的更多資訊,請參見將您的工作裝置加入組織的網路

限制

設定同步之前,您需要瞭解以下內容:

  • 您無法同步同一網域的多個 Microsoft Entra ID 來源。
  • 您無法將使用者或電子郵件地址同步到多個 Sophos Central Admin 帳戶。每個 Sophos Central Admin 帳戶中的使用者和電子郵件地址必須是唯一的。
  • 您無法使用 Active Directory (AD) 和 Microsoft Entra ID 同步來自同一網域的使用者。
  • 您無法同步處理使用者、群組和共用信箱的委派詳細資料。
  • 您無法使用 Microsoft Entra ID 新增或移除裝置,然後同步處理變更。

請檢查您是否有正確的 Microsoft Azure 資訊

若要與 Microsoft Entra ID 同步,您需要一些 Microsoft Azure 資訊。

若要取得此資訊,您需要設定 Azure 應用程式。如果您設定了一個,請檢查您是否有本節所列的資訊。

若要設定 Azure 應用程式,請依照 設定 Azure 應用程式 中的說明操作。

警告

您必須嚴格遵循這些說明。

如果您只使用 Microsoft Entra ID Graph Directory.Read.All 權限設定 Azure 應用程式,且想要變更 Microsoft Entra ID 同步設定,則需要新增 Microsoft Graph Directory.Read.All 權限。有關設定黃金映像的更多資訊,請參見 設定 Azure 應用程式

  1. 請確保您記下了以下資訊。

    • 承租戶網域
    • 應用程式 ID
    • 用戶端密碼。您需要您的用戶端密碼。
    • 用戶端密碼到期

  2. 如果您遺漏了任何資訊,您可以使用「設定 Azure 應用程式」中的說明來取得。

您現在已準備好設定 Microsoft Entra ID 設定。

新增 Microsoft Entra ID

如欲新增 Microsoft Entra ID 目錄來源,請依照以下動作執行:

  1. 轉至我的產品 > 一般設定,然後按一下目錄服務
  2. 按一下新增 Microsoft Entra ID
  3. 輸入來源的名稱
  4. 輸入描述。
  5. 輸入來源的網域
  6. 按一下下一步

現在您可以新增 Azure 應用程式資訊。

設定 Microsoft Entra ID 同步設定

如需進行 Microsoft Entra ID 同步設定,請執行以下步驟:

  1. 設定 Azure Sync 設定中,輸入以下資訊:

    • 用戶端 ID:這是您 Azure 應用程式的應用程式 ID 。
    • 網域:這是指派給您 Microsoft Entra ID 執行個體的主要網域。
    • 用戶端密碼:這是您 Azure 應用程式的用戶端密碼。建立用戶端密碼時,可以從欄位取得用戶端密碼值。請參閱設定 Azure 應用程式
    • 用戶端密碼到期:這是您用戶端密碼的到期日。

    Microsoft Entra ID 同步排程。

  2. 點選 測試連線 來驗證您的設定。

  3. 按一下儲存以儲存設定。

  4. 按一下測試連線以驗證儲存的認證。

    Microsoft Entra ID 測試連線。

現在,您可以選擇要同步的使用者和群組。

選取要同步的使用者和群組

您可以篩選同步處理的使用者和群組。

如果切換篩選器,則要變更正在同步的使用者和群組。新篩選器中未包含的使用者和群組都將從 Sophos Central 中移除。

如果您在 Sophos Central 中有現有的使用者和群組,並且是第一次與 Microsoft Entra ID 同步,建議您選取所有使用者和群組。這爲同步服務提供了最大的使用者和群組集合以進行匹配。

如果您在 Microsoft Entra ID 中擁有複雜的群組和使用者階層,建議您在篩選使用者和群組之後再新增使用者和群組。您可以使用透過群組篩選器新增使用者透過使用者篩選器新增使用者

要選取使用者和群組,請執行以下動作:

  1. 選取要包括在同步中的使用者和群組中,選擇要與 Microsoft Entra ID 同步的使用者和群組。使用篩選功能可讓您同步 Microsoft Entra ID 的特定使用者與群組。

    Microsoft Entra ID 使用者和群組設定。

    有關使用這些篩選器的更多資訊,請參閱 篩選使用者和群組

  2. 按一下儲存

現在您可以設定同步排程。

設定您的同步排程。

您可以選擇同步使用者和群組的頻率。

如欲設定排程,請依照以下動作執行:

  1. 移至同步排程

  2. 從以下選項中選取您的排程:

    • 每小時:我們會根據小時倍數和您選擇的當地開始時間同步您的資料。例如,從凌晨 02:00 開始,每 6 小時一次。
    • 每日:我們每天會在您所選的當地時間同步處理您的資料。
    • 每週:我們會在您所選的日期和當地時間同步處理您的資料。
    • 每月:我們會在您所選的日期同步處理您的資料。您最多可以選擇兩個日期。按一下新增一個日期即可新增第二個日期。
    • :當您每次都要手動同步時,請選擇此選項。

    Microsoft Entra ID 同步排程。

  3. 按一下儲存

現在您可以與 Microsoft Entra ID 同步。

與 Microsoft Entra ID 同步

您可以預覽正在同步的資訊。請參閱同步預覽

要與 Microsoft Entra ID 同步,請執行以下操作:

  1. 按一下開啟

  2. 按一下同步

    同步狀態將更新。

  3. 按一下 使用者 以檢閱對使用者所做的變更。

  4. 按一下 群組 以檢閱對群組所做的變更。

同步預覽

您可以預覽正在同步的資訊。

如果已設定同步,則必須先將其關閉,然後才能產生預覽。預覽結果的有效期為七天,或直到下一次同步。

要產生預覽,請執行以下操作:

  1. 轉至我的產品 > 一般設定,然後按一下目錄服務
  2. 選取要預覽的 Microsoft Entra ID 來源。

  3. 如果來源已開啟,請按一下關閉

    Microsoft Entra ID 同步關閉。

    等待狀態變更。

    您會看到預覽按鈕和預覽索引標籤。

  4. 按一下預覽按鈕以產生預覽。

    Microsoft Entra ID 同步產生預覽按鈕。

    產生預覽時會出現橫幅。等待直至其消失。

  5. 按一下預覽標籤以查看結果。

    Microsoft Entra ID 同步預覽索引標籤。

    您可以匯出 JSON 格式的預覽結果。

    如果預覽結果包含 20,000 條以上的記錄,則無法在預覽索引標籤中顯示預覽。您需要匯出它們。