設定 Microsoft Entra ID (Azure AD) 以允許使用者使用 UPN 登入
您可以將 Microsoft Entra ID (Azure AD) 設定為允許使用者在其使用者主體名稱 (UPN) 與其電子郵件地址不同時,使用使用者主體名稱 (UPN) 登入。
您必須執行以下動作:
- 在 Azure 入口網站中設定 Microsoft Entra ID (Azure AD)。
- 在 Sophos Central 中將 Microsoft Entra ID (Azure AD) 新增為身分識別提供者。
在 Azure 入口網站中設定 Microsoft Entra ID (Azure AD)
要在 Azure 入口網站中設定 Microsoft Entra ID (Azure AD),您必須執行以下操作:
- 建立 Azure 應用程式。
- 為應用程式設定身分驗證。
- 設定權杖設定。
- 指派應用程式權限。
建立 Azure 應用程式
請依照以下步驟操作:
- 登入您的 Azure 入口網站。
- 搜尋
App registrations
。 -
在左側窗格中,按一下 App registrations(應用程式註冊)。
-
在右側窗格中,按一下 New registration(新建註冊)。
-
輸入應用程式名稱。
-
在 Supported account types(支援的帳戶類型)下,選取 Accounts in this organizational directory only (Default Directory only - Single tenant)(僅此組織目錄中的帳戶(僅限預設目錄 - 單一租用戶))。
-
在 Redirect URI (optional)(重新導向 URL(可選))下,選取 Single-page application (SPA)(單頁應用程式 (SPA))並輸入
https://federation.sophos.com/login/callback
。 -
按一下註冊。
為應用程式設定身分驗證
請依照以下步驟操作:
- 在建立的應用程式中,按一下 Authentication(身分驗證)。
- 在 Implicit grant and hybrid flows(隱式授與和混合流)下,選取 ID tokens (used for implicit and hybrid flows)(ID 權杖(用於隱式和混合流))。
- 在 Supported account types(支援的帳戶類型)下,選取 Accounts in this organizational directory only (Default Directory only - Single tenant)(僅此組織目錄中的帳戶(僅限預設目錄 - 單一租用戶))。
-
按一下儲存。
設定權杖設定
請依照以下步驟操作:
- 在建立的應用程式中,按一下 Token configuration(權杖設定)。
- 在 Optional claims(可選聲明)下,按一下 Add optional claim(新增可選聲明)。
-
在 Token type(權杖類型)下,選取 ID,然後選取 email(電子郵件)。
-
按一下 Add(新增)。
-
在彈出訊息中,按一下 Turn on the Microsoft Graph email permission(開啟 Microsoft Graph 電子郵件權限)。
-
按一下 Add(新增)。
指派應用程式權限
請依照以下步驟操作:
- 在您建立的應用程式中,按一下 API permissions(API 權限)。
-
在 Configured permissions(已設定權限)下,按一下 Grant admin consent for <account>(為帳戶授與管理員同意)。
-
按一下是。
在 Sophos Central 中將 Microsoft Entra ID (Azure AD) 新增為身分識別提供者
請依照以下步驟操作:
-
在 Sophos Central 中,移至全域設定 > 同盟身分識別提供者。
-
按一下新增身分識別提供者。
- 輸入名稱和說明。
- 按一下類型並選擇 OpenID Connect。
- 按一下廠商並選擇 Microsoft Entra ID (Azure AD)。
- 跳過步驟 A:設定 OpenID Connect,因為您已在 Azure 入口網站中設定 Microsoft Entra ID (Azure AD)。
-
對於步驟 B:設定 OpenID Connect 設定,請執行以下操作:
-
對於 用戶端 ID,輸入您在 Azure 中建立的應用程式的用戶端 ID。
若要找到它,請依照以下步驟操作:
- 在 Azure 入口網站中,移至 App registrations(應用程式註冊)。
- 選取您建立的應用程式。
- 複製 應用程式(用戶端) ID 中的 ID,並將其貼到 Sophos Central 的用戶端 ID 中。
-
對於發行者,請輸入以下 URL:
https://login.microsoftonline.com/<tenantId>/v2.0
將
<tenantId>
替換為 Azure 執行個體的租用戶 ID。若要找到它,請依照以下步驟操作:
- 在 Azure 入口網站中,移至 App registrations(應用程式註冊)。
- 選取您建立的應用程式。
- 複製目錄(租用戶) ID 中的 ID,並將 URL 中的
<tenantId>
替換為該 ID。
-
對於 Authz 端點,請輸入以下 URL:
https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize
將
<tenantId>
替換為您在步驟 B 中複製的租用戶 ID。 -
對於 JWKS URL,請輸入以下 URL:
https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys
將
<tenantId>
替換為您在步驟 B 中複製的租用戶 ID。
-
-
按一下選取網域並選擇您的網域。
您可以新增多個網域。您只能將使用者與一個網域相關聯。
-
選取是否要開啟 IDP 強制的 MFA。選取以下之一:
- IdP 強制的 MFA
- 無 IdP 強制的 MFA
-
按一下儲存。
登入工作流程
以下是使用者和管理員使用 UPN 登入的方式:
-
使用者和管理員使用其在 Sophos Central 中的關聯電子郵件地址登入。
-
他們會根據在 Sophos 登入設定中選取的內容看到螢幕畫面。
-
如果您在全局設定 > Sophos 登入設定中選擇了 Sophos Central Admin 或同盟認證,則會顯示一個螢幕,允許他們使用任何一個選項登入。
要使用 UPN 登入,他們必須執行以下操作:
-
按一下使用 SSO 登入。
將顯示 Microsoft Azure 登入頁面。
-
輸入 UPN 和密碼。
-
-
如果您在全域設定 > Sophos 登入設定中選擇了僅限同盟認證,將顯示 Microsoft Azure 登入頁面,他們可以在該頁面中輸入 UPN 和密碼。
-