IPsec-Gruppenauthentifizierung für Fernzugriff

Der Sophos Connect-Client unterstützt lokale Benutzer und Gruppen sowie Active Directory (AD)- und Microsoft Entra ID-Benutzer und -Gruppen.

Wenn Sie den Remotezugriff über IPsec VPN nicht konfiguriert haben, ist er standardmäßig für alle Gruppen deaktiviert.

Wenn Sie IPsec für den Remotezugriff konfiguriert haben, ist dieser für AD-Gruppen, die Sie in die Sophos Firewall importieren, standardmäßig deaktiviert. Er ist auch für Gruppen deaktiviert, die Sie migrieren, beispielsweise von einer früheren Version der Sophos Firewall. Wenn Sie jedoch eine neue lokale Gruppe in der Sophos Firewall erstellen, ist der IPsec-Remotezugriff standardmäßig aktiviert.

Diese Einstellung können Sie unter Authentifizierung > Gruppen.

Das folgende Bild zeigt eine Gruppe, bei der der Remotezugriff über IPsec deaktiviert ist.

Der Remotezugriff über IPsec VPN erfolgt über den Sophos Connect-Client. Wenn sich ein Remote-Benutzer, beispielsweise ein AD-Benutzer, zum ersten Mal beim Sophos Connect-Client anmelden möchte, muss er sich zunächst bei einem anderen Authentifizierungsclient, wie z. B. dem Benutzerportal, anmelden.

Ist ein Benutzer Mitglied mehrerer Gruppen, wird die Richtlinie der Gruppe angewendet, die ganz oben in der Liste steht.

Wenn Sie die Einstellungen für eine Gruppe ändern, werden die IPsec-Einstellungen für den Remotezugriff überschrieben.

Wenn Sie den IPsec-Fernzugriff für eine Gruppe deaktivieren, werden alle Benutzer getrennt. Sie können sich nicht wieder verbinden und erhalten eine Authentifizierungsfehlermeldung.

Benutzerrichtlinien haben immer Vorrang vor Gruppenrichtlinien. Wenn Sie beispielsweise den IPsec-Remotezugriff für eine AD-Gruppe deaktivieren und ihn anschließend für einen Benutzer dieser Gruppe aktivieren, kann sich der Benutzer anmelden.