Zur Startseite gehen
0,00 €*

Hinzufügen eines Microsoft Entra ID (Azure AD)-Servers

Fügen Sie einen Microsoft Entra ID (Azure AD)-Server hinzu, um Administratoren und Benutzer zu authentifizieren, die sich bei den folgenden Diensten anmelden:

  • Web-Admin-Konsole
  • Captive Portal
  • VPN-Portal
  • Remote-Zugriff auf IPsec-VPN und Remote-Zugriff auf SSL-VPN über den Sophos Connect-Client

Fügen Sie einen Microsoft Entra ID-Server hinzu

Bevor Sie einen Microsoft Entra ID-Server in der Firewall hinzufügen, müssen Sie die Authentifizierungsinfrastruktur im Azure-Portal konfigurieren. Siehe Konfigurieren der Microsoft Entra ID (Azure AD) im Azure-Portal.

Um einen Microsoft Entra ID-Server in der Firewall hinzuzufügen, gehen Sie wie folgt vor:

  1. Gehe zu Authentifizierung > Server und klicken Sie auf Hinzufügen.
  2. Von der Servertyp Liste, wählen Sie Azure AD SSO.
  3. In ServernameGeben Sie einen Namen für den Server ein.

  4. Für die IDs gehen Sie wie folgt vor:

    1. Gehen Sie in Azure zu Azure Active Directory > App-Registrierungen und klicken Sie auf die Anwendung, die Sie für die Firewall erstellt haben.
    2. Kopie Anwendungs-ID (Client-ID) und fügen Sie es ein Anwendungs-ID (Client-ID) auf der Firewall.
    3. Kopie Verzeichnis-ID (Mandant) und fügen Sie es ein Verzeichnis-ID (Mandant) auf der Firewall.

  5. Erstellen Sie in Azure ein Clientgeheimnis und fügen Sie es ein Clientgeheimnis.

    Sehen Erstellen eines Clientgeheimnisses.

  6. In Umleitungs-URIGeben Sie den FQDN oder die IP-Adresse ein, von der aus auf die Firewall zugegriffen werden kann. Sie können auch auf Aktuelle Browser-URL verwenden um es automatisch auszufüllen. Die Umleitungs-URI ist für jede Firewall eindeutig.

    Wenn Sie die Microsoft Entra ID über die Firewall-Verwaltung von Sophos Central konfigurieren, verwenden Sie nicht die Reverse-SSO-URL von Sophos Central.

    Wenn Sie Microsoft Entra ID über die Gruppen-Firewallverwaltung von Sophos Central konfigurieren, wird die Umleitungs-URI Einstellung. Die Konfiguration erfolgt wie folgt:

    • In 20.0 MR1 und höher ist die Umleitungs-URI wird automatisch auf den Hostnamen der Firewall eingestellt, sofern dieser konfiguriert ist.

    • In 20.0 GA und früher, oder wenn kein Hostname konfiguriert ist, Umleitungs-URI verwendet automatisch den Text defaultHostname. Nach der Erstkonfiguration müssen Sie die Firewall-Einstellungen jeder Firewall manuell aktualisieren. Umleitungs-URI mit der IP-Adresse oder dem Hostnamen, von dem aus die Firewall erreichbar ist.

      Sophos Central redirect URI.

  7. Kopieren Sie die URL der Webadministrationskonsole, URL des Captive-Portals, oder VPN-Portal und Remote-Zugriffs-URL.

  8. Fügen Sie die URL in die Anwendung ein, die Sie für die Firewall in Azure erstellt haben. Siehe Fügen Sie die Umleitungs-URI in Azure ein.
  9. Benutzerattribute unter Benutzerattributzuordnung werden aus dem Azure-Token abgerufen, um Benutzer in der Firewall zu erstellen.

  10. Von der Fallback-Benutzergruppe Wählen Sie in der Liste eine Benutzergruppe aus.

    Wenn die Microsoft Entra ID-Gruppe eines Benutzers in der Firewall vorhanden ist, wird der Benutzer dieser Gruppe zugewiesen. Ist sie nicht vorhanden, wird der Benutzer der hier ausgewählten Gruppe zugewiesen.

    Notiz

    Wenn Sie den Microsoft Entra ID-Server in Authentifizierung > Leistungen unter Firewall-Authentifizierungsmethoden, Die Fallback-Benutzergruppe gilt weiterhin anstelle der Standardgruppe.

  11. Wählen Sie die Kriterien für die Rollenzuordnung wie folgt aus:

    1. Benutzertyp:

      • Benutzer: Wählen Sie diese Option, wenn Sie Benutzer authentifizieren möchten, die sich beim Captive Portal, VPN-Portal, Remote Access IPsec VPN und Remote Access SSL VPN anmelden.
      • Administrator: Wählen Sie diese Option, wenn Sie Administratoren und Benutzer der Webadministrationskonsole authentifizieren möchten, die sich beim Captive Portal, VPN-Portal, Remote-Access-IPsec-VPN und Remote-Access-SSL-VPN anmelden.

    2. Kennungstyp und Profil:

      • Kennungstyp: Wählen Sie den Typ aus, den Sie in Azure konfiguriert haben:

        • Rollen
        • Gruppen

        Sehen Erstellen einer Anwendungsrolle.

      • Wert: Geben Sie den Wert ein, den Sie in Azure für den Bezeichnertyp konfiguriert haben.

      • Profil: Wählen Sie ein Administratorprofil aus.

        Sie können diese sehen auf Profile > Gerätezugriff auf der Firewall.

      Um mehrere Kennungstypen hinzuzufügen, klicken Sie auf Expandieren Expand button..

      Role identifier type.

  12. Klicken Verbindung testen um die Benutzeranmeldeinformationen zu validieren und die Verbindung zum Server zu überprüfen.

  13. Klicken Speichern.

Einrichten von Authentifizierungsmethoden

Die Firewall lässt für jede Authentifizierungsmethode nur einen Microsoft Entra ID-Server zu.

Um die Microsoft Entra ID zur Authentifizierung zu verwenden, gehen Sie wie folgt vor:

  1. Gehe zu Authentifizierung > Leistungen.

  2. Wählen Sie den Microsoft Entra ID-Server als Authentifizierungsmethode für die gewünschten Dienste aus:

    • Firewall-Authentifizierungsmethoden: Für das Captive Portal.
    • Administrator-Authentifizierungsmethoden: Für die Webadministratorkonsole.
    • Authentifizierungsmethoden für VPN-Portale: Für das VPN-Portal.
    • VPN (IPsec/Dial-In/L2TP/PPTP)-Authentifizierungsmethoden: Für den Remote-Zugriff auf IPsec VPN.
    • SSL-VPN-Authentifizierungsmethoden: Für den Fernzugriff SSL VPN.

    Notiz

    Überprüfen Sie die Anforderungen für VPN-Portal, Remote-Access-IPsec-VPN und Remote-Access-SSL-VPN. Siehe Anforderungen.

  3. Klicken Anwenden für jeden Dienst, dem Sie den Microsoft Entra ID-Server hinzugefügt haben.

Notiz

Sie müssen auswählen Übereinstimmung mit bekannten Benutzern Und Verwenden Sie die Webauthentifizierung für unbekannte Benutzer in den entsprechenden Firewall-Regeln, um die Microsoft Entra ID zur Authentifizierung zu verwenden.

Zusätzliche Konfigurationen

Gehen Sie für das Captive Portal wie folgt vor:

  1. Gehe zu Authentifizierung > Web-Authentifizierung.

  2. Unter Captive-Portal-Verhalten, wählen In einem neuen Browserfenster.

    Benutzer müssen sich explizit abmelden, um ihre Sitzungen zu beenden, oder auf das Ablaufdatum des Microsoft Entra ID (Azure AD)-Tokens warten. Wir empfehlen, das Captive-Portal-Fenster für die Abmeldung geöffnet zu lassen.

  3. Klar Verwenden Sie unsicheres HTTP anstelle von HTTPS.

    Microsoft Entra ID SSO wird nicht unterstützt, wenn Sie diese Option auswählen.

  4. Klicken Anwenden.

Notiz

Microsoft Entra ID (ehemals Azure AD) verwendet tokenbasierte Authentifizierung über OAuth 2.0 und OpenID Connect (OIDC). Daher können lokale und Remote-Benutzer nicht Anmeldeinformationen und melden Sie sich mit Benutzername und Passwort an.

Umsetzen Anmeldeinformationenkönnen Sie Verzeichnisdienste wie Active Directory (AD) oder LDAP verwenden.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung