Zum Inhalt

Microsoft Entra ID (Azure AD) so konfigurieren, dass Benutzer sich mit dem UPN anmelden können

Sie können Microsoft Entra ID (Azure AD) so konfigurieren, dass Benutzer sich mit ihrem User Principal Name (UPN) anmelden können, wenn dieser von ihrer E-Mail-Adresse abweicht.

Sie müssen wie folgt vorgehen:

  1. Richten Sie Microsoft Entra ID (Azure AD) im Azure-Portal ein.
  2. Fügen Sie Microsoft Entra ID (Azure AD) als Identitätsanbieter in Sophos Central hinzu.

Microsoft Entra ID (Azure AD) im Azure Portal einrichten

Um Microsoft Entra ID (Azure AD) im Azure Portal einzurichten, müssen Sie wie folgt vorgehen:

  1. Erstellen Sie eine Azure-Anwendung.
  2. Richten Sie die Authentifizierung für die Anwendung ein.
  3. Richten Sie Token-Konfiguration ein.
  4. Weisen Sie Anwendungsberechtigungen zu.

Azure-Anwendung erstellen

Gehen Sie folgendermaßen vor:

  1. Melden Sie sich bei Ihrem Azure-Portal an.
  2. Suchen Sie nach App registrations.
  3. Klicken Sie im linken Fensterbereich auf App-Registrierungen.

    Pfad zu den App-Registrierungen

  4. Klicken Sie im rechten Fensterbereich auf Neue Registrierung.

    Option „Neue Registrierung“

  5. Geben Sie einen Namen für die App ein.

  6. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Nur Standardverzeichnis – Einzelner Mandant) aus.

    Unterstützte Kontotypen

  7. Wählen Sie unter URL umleiten (optional) die Option Single-Page-Webanwendung aus und geben Sie https://federation.sophos.com/login/callback ein.

    Option „URI umleiten“

  8. Klicken Sie auf Registrieren.

Authentifizierung für die Anwendung einrichten

Gehen Sie folgendermaßen vor:

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf Authentifizierung.
  2. Wählen Sie unter Implizite Genehmigung und hybride Flows die Option ID-Token (für implizite und hybride Flows) aus.
  3. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Nur Standardverzeichnis – Einzelner Mandant) aus.
  4. Klicken Sie auf Speichern.

    Implizite Genehmigung und hybride Flows

Token-Konfiguration einrichten

Gehen Sie folgendermaßen vor:

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf Token-Konfiguration.
  2. Klicken Sie unter Optionale Ansprüche auf Optionalen Anspruch hinzufügen.
  3. Wählen Sie unter Tokentyp die Option ID und anschließend E-Mailaus.

    Optionen für Tokentyp

  4. Klicken Sie auf Hinzufügen.

  5. Klicken Sie in der Popup-Meldung auf E-Mail-Berechtigung für Microsoft Graph aktivieren.

    E-Mail-Berechtigung

  6. Klicken Sie auf Hinzufügen.

Anwendungsberechtigungen zuweisen

Gehen Sie folgendermaßen vor:

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf API-Berechtigungen.
  2. Klicken Sie unter Konfigurierte Berechtigungen auf Administratorzustimmung für <Konto> erteilen.

    Anwendungsberechtigungen

  3. Klicken Sie auf Ja.

Microsoft Entra ID (Azure AD) als Identitätsanbieter in Sophos Central hinzufügen

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in Sophos Central zu Globale Einstellungen > Verbund-Identitätsanbieter.

    Pfad zu Verbund-Identitätsanbietern

  2. Klicken Sie auf Identitätsanbieter hinzufügen.

  3. Geben Sie einen Namen und eine Beschreibung ein.
  4. Klicken Sie auf Typ und wählen Sie OpenID Connect.
  5. Klicken Sie auf Anbieter und wählen Sie Microsoft Entra ID (Azure AD).
  6. Überspringen Sie Schritt A: OpenID Connect einrichten, da Sie Microsoft Entra ID (Azure AD) bereits im Azure Portal eingerichtet haben.
  7. In Schritt B: Einstellungen für OpenID Connect konfigurieren gehen Sie wie folgt vor:

    1. Geben Sie unter Client-ID die Client-ID der Anwendung ein, die Sie in Azure erstellt haben.

      Verfahren hierzu wie folgt:

      1. Gehen Sie im Azure Portal zu App-Registrierungen.
      2. Wählen Sie die Anwendung aus, die Sie erstellt haben.
      3. Kopieren Sie die ID in Anwendungs-ID (Client) und fügen Sie sie unter Client-ID in Sophos Central ein.
    2. Geben Sie unter Aussteller die folgende URL ein:

      https://login.microsoftonline.com/<tenantId>/v2.0

      Ersetzen Sie <tenantId> durch die Mandanten-ID Ihrer Azure-Instanz.

      Verfahren hierzu wie folgt:

      1. Gehen Sie im Azure Portal zu App-Registrierungen.
      2. Wählen Sie die Anwendung aus, die Sie erstellt haben.
      3. Kopieren Sie die ID in Verzeichnis-(Mandant)-ID und ersetzen <tenantId> Sie sie in der URL.
    3. Geben Sie für Autorisierungs-Endpoint die folgende URL ein:

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      Ersetzen Sie <tenantId> durch die Mandanten-ID, die Sie in Schritt b kopiert haben.

    4. Geben Sie für JWKS-URL die folgende URL ein:

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      Ersetzen Sie <tenantId> durch die Mandanten-ID, die Sie in Schritt b kopiert haben.

    Schritt B: Einstellungen für OpenID Connect konfigurieren

  8. Klicken Sie auf Domäne auswählen und wählen Sie Ihre Domäne aus.

    Sie können eine oder mehrere Domänen hinzufügen. Sie können einen Benutzer nur einer Domäne zuordnen.

  9. Wählen Sie aus, ob Sie die vom IdP erzwungene MFA aktivieren möchten. Sie haben folgende Optionen:

    • Vom IdP erzwungene MFA
    • Keine vom IdP erzwungene MFA
  10. Klicken Sie auf Speichern.

Workflow für die Anmeldung

So melden sich Benutzer und Administratoren mit ihrem UPN an:

  1. Benutzer und Administratoren melden sich mit ihrer zugehörigen E-Mail-Adresse in Sophos Central an.

    Bildschirm der Sophos-Anmeldung

  2. Je nach Auswahl in den Sophos-Anmeldeeinstellungen wird ein Bildschirm angezeigt.

    • Wenn Sie unter Sophos-Central-Admin- oder Verbund-Anmeldeinformationen in Globale Einstellungen > Sophos-Anmeldeeinstellungen ausgewählt haben, wird ihnen ein Bildschirm angezeigt, auf dem sie sich mit einer der beiden Optionen anmelden können.

      SSO- oder Sophos Admin-E-Mail- und Kennwort-Anmeldung

      Um sich mit dem UPN anzumelden, müssen sie wie folgt vorgehen:

      1. Auf Mit SSO (Single Sign-on) anmelden klicken.

        Die Anmeldeseite von Microsoft Azure wird angezeigt.

      2. Den UPN und das Kennwort eingeben.

    • Wenn Sie unter Nur Verbund-Anmeldeinformationen in Globale Einstellungen > Sophos-Anmeldeeinstellungen ausgewählt haben, wird ihnen die Microsoft Azure-Anmeldeseite angezeigt, auf der sie UPN und Kennwort eingeben können.