Support-Portal
keyboard_arrow_right keyboard_arrow_left

Einrichtung der Active Directory-Synchronisierung

Folgen Sie dieser Anleitung, um die Synchronisierung mit Active Directory einzurichten:

Bevor Sie die Synchronisierung einrichten, stellen Sie sicher, dass .NET Framework 4.5.2 auf dem Computer, auf dem Sie „Active Directory Synchronization Setup“ ausführen möchten, installiert ist.

Sie müssen Sophos-API-Anmeldeinformationen für die Synchronisierung mit Active Directory verwenden. Sie müssen diese einrichten, bevor Sie die Synchronisierung mit Active Directory einrichten, Ihre vorhandene Konfiguration ändern oder mit Active Directory synchronisieren können. Siehe API-Zugangsdaten.

Warnung Bevor Sie fortfahren, stellen Sie sicher, dass alle Ihre Active Directory-Benutzer über eine E-Mail-Adresse verfügen. Sie benötigen eine E-Mail-Adresse für Ihre Benutzer, um sie bei der Verwendung vieler Sophos Central-Workflows zu schützen. Wenn Sie beispielsweise Sophos Email zum Schutz Ihrer Benutzer verwenden, wird eine E-Mail an eine E-Mail-Adresse, die nicht mit einem Benutzer verknüpft ist, nicht zugestellt.

Für eine Synchronisierung mit Active Directory müssen Sie „Active Directory Synchronization Setup“ herunterladen und installieren.

Die Einrichtung der Active Directory-Synchronisierung funktioniert wie folgt:

  • Es werden aktive Benutzer oder Benutzergruppen synchronisiert.
  • Es werden keine vorhandenen Benutzer oder Gruppen dupliziert, wenn diese mit vorhandenen Sophos Central-Benutzern oder -Gruppen übereinstimmen. So kann beispielsweise eine E-Mail-Adresse aus Active Directory zu einem vorhandenen Benutzer in Sophos Central hinzugefügt werden.

Sie können festlegen, dass die Funktion zu festgelegten Zeiten automatisch ausgeführt wird.

Nur der Active Directory-Dienst wird unterstützt.

Es hilft Ihnen nicht, die Sophos Agent-Software auf den Geräten Ihrer Benutzer zu installieren. Verwenden Sie andere Bereitstellungsmethoden mit Active Directory.

Einschränkung Sie müssen ein Administrator sein, um Verzeichnisdienste einzurichten oder zu ändern.

Um die Synchronisierung mit Active Directory einzurichten, müssen Sie wie folgt vorgehen:

  1. Wählen Sie die den gewünschten Verzeichnisdienst.
  2. Laden Sie „Active Directory Synchronization Setup“ herunter und validieren Sie Ihre Anmeldeinformationen.
  3. Geben Sie Ihre Active Directory-Konfiguration ein.
  4. Richten Sie die Synchronisierungsoptionen ein.
  5. Synchronisieren Sie mit Active Directory.
Einschränkung Diese Funktionen sind unter Umständen noch nicht für alle Kunden verfügbar.

Verzeichnisdienst auswählen

Im Folgenden wird davon ausgegangen, dass Sie derzeit keinen Verzeichnisdienst eingerichtet haben.

Anweisungen zum Wechseln von Verzeichnisdiensten finden Sie unter Ändern des Verzeichnisdienstes.

Um Ihren Verzeichnisdienst auszuwählen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Übersicht > Globale Einstellungen > Verzeichnisdienst.
  2. Klicken Sie auf den Link Erste Schritte.
  3. Wählen Sie die den gewünschten Verzeichnisdienst.
    • AD-Synchronisierung
    • Azure-AD-Synchronisierung
  4. Klicken auf Weiter und überprüfen und bestätigen Sie den Warnhinweis.
  5. Klicken Sie auf Weiter.

Sie können nun den ausgewählten Verzeichnisdienst einrichten.

Herunterladen der Setup-Software und Überprüfen der Anmeldeinformationen

Sie müssen „Active Directory Synchronization Setup“ herunterladen und Ihre API-Anmeldeinformationen validieren, bevor Sie die Active Directory-Synchronisierung einrichten. Wenn Sie einen Proxy verwenden, müssen Sie auch Ihre Proxy-Server-Einstellungen validieren.

Gehen Sie wie folgt vor, um Ihre Anmeldedaten zu validieren:

  1. Klicken Sie auf den Link, um „Active Directory Synchronization Setup“ herunterzuladen. Führen Sie es aus.
    Das Active Directory Synchronization Setup wird gestartet.
  2. Geben Sie Client-ID und Geheimer Clientschlüssel ein und klicken Sie auf Anmeldeinformationen validieren.
  3. Aktivieren Sie Proxy manuell konfigurieren, wenn Sie einen Proxy verwenden möchten, und geben Sie Ihre Proxy-Adresse ein.
  4. Wenn Sie einen Proxy verwenden, können Sie zusätzliche Authentifizierung aktivieren. Aktivieren Sie die Option Proxy-Authentifizierung aktivieren und geben Sie die folgenden Informationen ein.
    • Proxy-Benutzer
    • Proxy-Kennwort
  5. Klicken Sie auf Anmeldeinformationen validieren, um Ihre Proxy-Einstellungen zu validieren.

Eingabe Ihrer Active Directory-Konfiguration

Verfahren Sie zur Eingabe der Konfiguration wie folgt.

  1. Geben Sie auf der Seite AD-Konfiguration die Details für Ihren Active Directory-LDAP-Server und Ihre Anmeldeinformationen ein.

    Sie müssen die Anmeldeinformationen für ein Benutzerkonto verwenden, das Lesezugriff auf die gesamte Active Directory-Gesamtstruktur hat, die Sie synchronisieren möchten. Aus Sicherheitsgründen empfiehlt sich ein Konto mit eingeschränkten Rechten.

    Wir empfehlen Ihnen, eine sichere, über SSL verschlüsselte LDAP-Verbindung zu verwenden und die Option LDAP über SSL-Verbindung verwenden (empfohlen) aktiviert zu lassen.

  2. Wenn Ihre LDAP-Umgebung SSL nicht unterstützt, deaktivieren Sie die Option LDAP über SSL-Verbindung verwenden und ändern Sie die Portnummer. Normalerweise lautet die Portnummer 636 für SSL-Verbindungen und 389 für unsichere Verbindungen.

Einrichten der Synchronisierungsoptionen

Gehen Sie zum Einrichten der Synchronisierungsoptionen folgendermaßen vor:

  1. Klicken Sie auf Weiter und richten Sie die Synchronisierung mithilfe der verbleibenden Registerkarten ein. Wenn Sie die Einrichtung abgeschlossen haben können Sie auf einer der Registerkarten auf Fertig stellen klicken.
  2. Geben Sie auf der Registerkarte AD-Filter an, welche Domänen in die Synchronisierung einbezogen werden sollen. Sie können auch zusätzliche Suchoptionen (Suchbasis und LDAP-Abfragefilter) für jede Domain eingeben. Sie können unterschiedliche Optionen für Benutzer und Benutzergruppen festlegen.
    Anmerkung Bei der Synchronisierung werden unabhängig von den Gruppenfiltereinstellungen nur Gruppen mit erkannten Benutzern oder Geräten erstellt.
    OptionBezeichnung

    Suchbasis

    Sie können eine Suchbasis (auch „Base Distinguished Names“ genannt) festlegen. Wenn Sie z. B. nach Organizational Units (OUs) filtern möchten, können Sie eine Suchbasis in folgendem Format angeben:

    OU=Finance,DC=myCompany,DC=com

    LDAP-Abfragefilter

    Um Benutzer zu filtern, z. B. nach Gruppenzugehörigkeit, können Sie einen Benutzer-Abfragefilter in folgendem Format verwenden:

    memberOf=CN=testGroup, DC=myCompany, DC=com

    Mit dieser Abfrage wird die Benutzererkennung auf Benutzer beschränkt, die zu „testGroup“ gehören. Beachten Sie, dass die Synchronisierung alle Gruppen erkennt, zu denen diese erkannten Benutzer gehören, wenn Sie keinen Gruppen-Abfragefilter angeben. Wenn Sie die Erkennung von Gruppen ebenfalls auf „testGroup“ beschränken möchten, können Sie folgenden Gruppen-Abfragefilter festlegen:

    CN=testGroup

    Deaktivierte Benutzerkonten ausschließen

    Standardmäßig werden bei der Synchronisierung deaktivierte Benutzerkonten ausgeschlossen. Um sie einzuschließen, deaktivieren Sie diese Option.
    Warnung Wenn Sie Base Distinguished Names in Ihren Suchoptionen verwenden oder Ihre Filtereinstellungen ändern, kann es sein, dass einige Sophos Central-Benutzer und -Gruppen, die bei früheren Synchronisierungen angelegt wurden, aus dem Suchbereich herausfallen und aus Sophos Central gelöscht werden.
  3. Legen Sie auf der Registerkarte Synchronisierungsplan die Zeiten fest, zu denen die Synchronisierung durchgeführt werden soll.
    Anmerkung Ein Hintergrunddienst führt eine geplante Synchronisierung durch.
  4. Wenn Sie die Synchronisierung manuell und nicht automatisch auf regelmäßiger Basis durchführen möchten, klicken Sie auf Niemals. Nur synchronisieren, wenn manuell eingeleitet.

Synchronisierung mit Active Directory

Wir empfehlen, die Synchronisierung manuell mit Active Directory durchzuführen, wenn Sie die Synchronisierung einrichten oder Änderungen an Ihren Einstellungen vornehmen. So können Sie die Änderungen überprüfen, die während der Synchronisierung vorgenommen werden.

Verfahren Sie zur Synchronisierung wie folgt:

  1. Klicken Sie auf Preview and Sync.
  2. Überprüfen Sie die Änderungen, die während der Synchronisierung vorgenommen werden. Wenn Sie mit den Änderungen einverstanden sind, klicken Sie auf Approve Changes and Continue.
    Die Active Directory-Benutzer und -Gruppen werden aus Active Directory in Sophos Central importiert.