跳至內容

設定與 Azure AD 進行同步

您可以將使用者和群組從 Microsoft Azure AD (Azure AD) 同步處理至 Sophos Central。您可以從多個 Azure AD 網域進行同步處理。

這些說明將向您示範如何設定 Azure AD 目錄來源。有關管理您的目錄來源的說明,請參見 管理您的來源

您需要閱讀以下部分並完成所有必要的工作才能安裝 Azure AD 同步處理:

  • 要求
  • 限制

如果您已執行此操作,請轉至 新增 Azure AD

要求

開始之前,您需要檢查以下內容:

  • 檢查您是否具有正確的管理員角色。您必須是管理員才能設定目錄來源。

  • 請檢查您是否有正確的 Microsoft Azure 設定和權限。您需要以下:

  • 確保 Sophos Central 中任何現有使用者或群組都有 Azure AD 比對。

    如果任何使用者或群組都沒有相符項目,則需要在 Sophos Central 中手動管理他們。

  • 確保所有 Azure AD 使用者都具有電子郵件地址。

    使用許多 Sophos Central 工作流程時,您需要使用者擁有電子郵件地址以保護他們。

    例如,如果您使用 Sophos Email 來保護您的使用者,則傳送到未與使用者關聯的電子郵件地址的電子郵件不會被傳送。

則警告

在某些情況下,您可能會獲得重複的使用者。這是因為從 Azure AD 同步處理的 UPN 辨識碼與端點使用者登入不相符。如欲瞭解更多詳情,請參閱為什麼我的一些 Azure AD 同步化使用者未連結至端點登入使用者?

有關與 Azure AD 同步的更多資訊,請參見 將您的工作裝置加入組織的網路

限制

設定同步之前,您需要瞭解以下內容:

  • 您無法同步同一網域的多個 Azure AD 來源。
  • 您無法使用 Active Directory (AD) 和 Azure AD 同步來自同一網域的使用者。
  • 您無法使用 Azure AD 新增或移除裝置,然後同步處理變更。

請檢查您是否有正確的 Microsoft Azure 資訊

若要與 Azure AD 同步,您需要一些 Microsoft Azure 資訊。

若要取得此資訊,您需要設定 Azure 應用程式。如果您設定了一個,請檢查您是否有本節所列的資訊。

若要設定 Azure 應用程式,請依照 設定 Azure 應用程式 中的說明操作。

則警告

您必須嚴格遵循這些說明。

如果您只使用 Azure Active Directory Graph Directory.Read.All 權限設定 Azure 應用程式,且想要變更 Azure AD 同步處理設定,則必須新增 Microsoft Graph Directory.Read.All 權限。您可以在「設定 Azure 應用程式」中找到如何執行此動作的說明。

  1. 請確保您記下了以下資訊。

    • 承租戶網域
    • 應用程式 ID
    • 用戶端密碼。您需要您的用戶端密碼。
    • 用戶端密碼到期
  2. 如果您遺漏了任何資訊,您可以使用「設定 Azure 應用程式」中的說明來取得。

您現在已準備好設定 Azure AD 設定。

新增 Azure AD

如欲新增 Azure AD 目錄來源,請依照以下動作執行:

  1. 轉至概述 > 全局設定 > 目錄服務
  2. 按一下新增 Azure AD
  3. 輸入來源的名稱
  4. 輸入描述。
  5. 輸入來源的網域
  6. 按一下 下一步

現在您可以新增 Azure 應用程式資訊。

設定 Azure AD 設定

要設定 Azure AD 設定,請執行以下動作:

  1. 設定 Azure Sync 設定中,輸入以下資訊:

    • 用戶端 ID:這是您 Azure 應用程式的應用程式 ID 。
    • 網域:這是指派給您 Azure AD 執行個體的主要網域。
    • 用戶端密碼:這是您 Azure 應用程式的用戶端密碼。
    • 用戶端密碼到期:這是您用戶端密碼的到期日。

    Azure AD 同步設定

  2. 點選 測試連線 來驗證您的設定。

現在,您可以選擇要同步的使用者和群組。

選取要同步的使用者和群組

您可以篩選同步處理的使用者和群組。

如果切換篩選器,則要變更正在同步的使用者和群組。新篩選器中未包含的使用者和群組都將從 Sophos Central 中移除。

如果您在 Sophos Central 中有現有的使用者和群組,並且您是第一次與 Azure AD 同步,建議您選取所有使用者和群組。這爲同步服務提供了最大的使用者和群組集合以進行匹配。

如果您在 Azure AD 中擁有複雜的群組和使用者階層,建議您在篩選使用者和群組之後新增使用者和群組。您可以使用透過群組篩選器新增使用者透過使用者篩選器新增使用者

要選取使用者和群組,請執行以下動作:

  1. 選取要包括在同步中的使用者和群組中,選擇要與 Azure AD 同步處理的使用者和群組。使用篩選功能可讓您同步處理 Azure AD 的特定使用者與群組。

    Azure AD 使用者和群組設定

    有關使用這些篩選器的更多資訊,請參閱 篩選使用者和群組

  2. 按一下儲存

現在您可以設定同步排程。

設定您的同步排程。

您可以選擇同步使用者和群組的頻率。

如欲設定排程,請依照以下動作執行:

  1. 移至同步排程
  2. 從以下選項中選取您的排程:

    • 每小時:我們會根據小時倍數和您選擇的當地開始時間同步您的資料。例如,從凌晨 02:00 開始,每 6 小時一次。
    • 每日:我們每天會在您所選的當地時間同步處理您的資料。
    • 每週:我們會在您所選的日期和當地時間同步處理您的資料。
    • 每月:我們會在您所選的日期同步處理您的資料。您最多可以選擇兩個日期。按一下新增一個日期即可新增第二個日期。
    • :當您每次都要手動同步時,請選擇此選項。

    Azure AD 同步排程

  3. 按一下儲存

您現在可以與 Azure AD 同步。

與 Azure AD 同步

注意

您無法預覽與 Azure AD 進行同步處理時在 Sophos Central 中所做的變更。

要與 Azure AD 進行同步,請執行以下步驟:

  1. 按一下開啟
  2. 按一下同步

    同步狀態將更新。

  3. 按一下 使用者 以檢閱對使用者所做的變更。

  4. 按一下 群組 以檢閱對群組所做的變更。
回到頁首