設定 Microsoft Entra ID (Azure AD) 以允許使用者使用 UPN 登入

您可以將 Microsoft Entra ID (Azure AD) 設定為允許使用者在其使用者主體名稱 (UPN) 與其電子郵件地址不同時，使用使用者主體名稱 (UPN) 登入。

您必須執行以下動作：

1. 在 Azure 入口網站中設定 Microsoft Entra ID (Azure AD)。
2. 在 Sophos Central 中將 Microsoft Entra ID (Azure AD) 新增為身分識別提供者。

在 Azure 入口網站中設定 Microsoft Entra ID (Azure AD)

要在 Azure 入口網站中設定 Microsoft Entra ID (Azure AD)，您必須執行以下操作：

1. 建立 Azure 應用程式。
2. 為應用程式設定身分驗證。
3. 設定權杖設定。
4. 指派應用程式權限。

建立 Azure 應用程式

請依照以下步驟操作：

1. 登入您的 Azure 入口網站。
2. 搜尋 App registrations。

3. 在左側窗格中，按一下 App registrations（應用程式註冊）。

   

4. 在右側窗格中，按一下 New registration（新建註冊）。

   

5. 輸入應用程式名稱。

6. 在 Supported account types（支援的帳戶類型）下，選取 Accounts in this organizational directory only (Default Directory only - Single tenant)（僅此組織目錄中的帳戶（僅限預設目錄 - 單一租用戶））。

   

7. 在 Redirect URI (optional)（重新導向 URL（可選））下，選取 Single-page application (SPA)（單頁應用程式 (SPA)）並輸入 https://federation.sophos.com/login/callback。

   

8. 按一下註冊。

為應用程式設定身分驗證

請依照以下步驟操作：

1. 在建立的應用程式中，按一下 Authentication（身分驗證）。
2. 在 Implicit grant and hybrid flows（隱式授與和混合流）下，選取 ID tokens (used for implicit and hybrid flows)（ID 權杖（用於隱式和混合流））。
3. 在 Supported account types（支援的帳戶類型）下，選取 Accounts in this organizational directory only (Default Directory only - Single tenant)（僅此組織目錄中的帳戶（僅限預設目錄 - 單一租用戶））。

4. 按一下儲存。

   

設定權杖設定

請依照以下步驟操作：

1. 在建立的應用程式中，按一下 Token configuration（權杖設定）。
2. 在 Optional claims（可選聲明）下，按一下 Add optional claim（新增可選聲明）。

3. 在 Token type（權杖類型）下，選取 ID，然後選取 email（電子郵件）。

   

4. 按一下 Add（新增）。

5. 在彈出訊息中，按一下 Turn on the Microsoft Graph email permission（開啟 Microsoft Graph 電子郵件權限）。

   

6. 按一下 Add（新增）。

指派應用程式權限

請依照以下步驟操作：

1. 在您建立的應用程式中，按一下 API permissions（API 權限）。

2. 在 Configured permissions（已設定權限）下，按一下 Grant admin consent for <account>（為帳戶授與管理員同意）。

   

3. 按一下是。

在 Sophos Central 中將 Microsoft Entra ID (Azure AD) 新增為身分識別提供者

請依照以下步驟操作：

1. 在 Sophos Central 中，移至全域設定 > 同盟身分識別提供者。

   

2. 按一下新增身分識別提供者。

3. 輸入名稱和說明。
4. 按一下類型並選擇 OpenID Connect。
5. 按一下廠商並選擇 Microsoft Entra ID (Azure AD)。
6. 跳過步驟 A：設定 OpenID Connect，因為您已在 Azure 入口網站中設定 Microsoft Entra ID (Azure AD)。

7. 對於步驟 B：設定 OpenID Connect 設定，請執行以下操作：

   1. 對於 用戶端 ID，輸入您在 Azure 中建立的應用程式的用戶端 ID。

      若要找到它，請依照以下步驟操作：

      1. 在 Azure 入口網站中，移至 App registrations（應用程式註冊）。
      2. 選取您建立的應用程式。
      3. 複製 應用程式（用戶端） ID 中的 ID，並將其貼到 Sophos Central 的用戶端 ID 中。

   2. 對於發行者，請輸入以下 URL：

      https://login.microsoftonline.com/<tenantId>/v2.0

      將 <tenantId> 替換為 Azure 執行個體的租用戶 ID。

      若要找到它，請依照以下步驟操作：

      1. 在 Azure 入口網站中，移至 App registrations（應用程式註冊）。
      2. 選取您建立的應用程式。
      3. 複製目錄（租用戶） ID 中的 ID，並將 URL 中的 <tenantId> 替換為該 ID。

   3. 對於 Authz 端點，請輸入以下 URL：

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      將 <tenantId> 替換為您在步驟 B 中複製的租用戶 ID。

   4. 對於 JWKS URL，請輸入以下 URL：

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      將 <tenantId> 替換為您在步驟 B 中複製的租用戶 ID。

   

8. 按一下選取網域並選擇您的網域。

   您可以新增多個網域。您只能將使用者與一個網域相關聯。

9. 選取是否要開啟 IDP 強制的 MFA。選取以下之一：

   • IdP 強制的 MFA
   • 無 IdP 強制的 MFA

10. 按一下儲存。

登入工作流程

以下是使用者和管理員使用 UPN 登入的方式：

1. 使用者和管理員使用其在 Sophos Central 中的關聯電子郵件地址登入。

   

2. 他們會根據在 Sophos 登入設定中選取的內容看到螢幕畫面。

   • 如果您在全局設定 > Sophos 登入設定中選擇了 Sophos Central Admin 或同盟認證，則會顯示一個螢幕，允許他們使用任何一個選項登入。

     

     要使用 UPN 登入，他們必須執行以下操作：

     1. 按一下使用 SSO 登入。

        將顯示 Microsoft Azure 登入頁面。

     2. 輸入 UPN 和密碼。

   • 如果您在全域設定 > Sophos 登入設定中選擇了僅限同盟認證，將顯示 Microsoft Azure 登入頁面，他們可以在該頁面中輸入 UPN 和密碼。