設定與 Microsoft Entra ID 的整合

若要讓您組織中的使用者使用 Microsoft Entra ID 帳戶憑證登入卡巴斯基安全管理中心雲端主控台，您必須設定與 Microsoft Entra ID 的整合。

與 Microsoft Entra ID 的整合僅適用於主管理伺服器。您無法為從屬管理伺服器或虛擬管理伺服器設定整合。

若要設定與 Microsoft Entra ID 的整合：

1. 在主功能表中，按一下管理伺服器名稱旁邊的設定圖示（）。

   管理伺服器內容視窗將開啟。

2. 在一般頁籤，選取 Microsoft Entra ID 區段。
3. 開啟 Microsoft Entra ID 整合切換按鈕。
4. 複製以下欄位中的連結：
   • 回撥 URL
   • 前段登出 URL

     您將需要使用這些 URL，在 Microsoft Entra ID 租用戶中註冊卡巴斯基安全管理中心雲端主控台。

   • 登入 URL

     在與 Microsoft Entra ID 的整合完成後，您將需要使用此 URL，供使用者使用自己的 Microsoft Entra ID 憑證登入卡巴斯基安全管理中心雲端主控台工作區。

5. 登入 Microsoft Entra 管理中心，然後選取您組織所屬的租用戶。

   您在該租用戶必須具有「全域系統管理員」或「應用程式管理員」角色。

6. 在主功能表中，前往 Identity → Applications → App registrations，然後點擊 New registration 按鈕。
7. 在開啟的視窗中，執行以下操作：
   • 為卡巴斯基安全管理中心雲端主控台應用程式指定名稱。
   • 在 Supported account types 區段，選取 Accounts in this organizational directory only (<tenant_name> only - Single tenant) 選項。
   • 在 Redirect URI 區段，從下拉清單中選取 Web，然後輸入您在步驟 4 從卡巴斯基安全管理中心雲端主控台複製的回撥 URL。
8. 點擊 Register 按鈕。

   卡巴斯基安全管理中心雲端主控台應用程式即已註冊到 Microsoft Entra ID 中，且應用程式總覽頁面會開啟。

9. 如有必要，將卡巴斯基安全管理中心雲端主控台新增至應用程式清單。

   使用者將能夠透過點擊我的應用程式和 Office 365 啟動器中應用程式清單中的應用程式名稱，來開啟卡巴斯基安全管理中心雲端主控台，不必使用登入 URL。

10. 複製 Application (client) ID 和 Directory (tenant) ID，然後儲存成任何對您方便的格式。

    您在步驟 14 將需要使用這些 ID， 在卡巴斯基安全管理中心雲端主控台中填寫必填欄位。

11. 在卡巴斯基安全管理中心雲端主控台應用程式的功能表中，前往 Authentication 區段，然後輸入您在步驟 4 從卡巴斯基安全管理中心雲端主控台複製的 URL：
    • 在 Web 區段，點擊 Add URI 按鈕，然後輸入登入 URL。
    • 在 Front-channel logout URL 區段，輸入前段登出 URL。
12. 在卡巴斯基安全管理中心雲端主控台應用程式的功能表中，前往 Certificates & secrets 區段，然後執行以下操作：
    1. 前往 Client secrets 頁籤，然後點擊 New client secret 按鈕。
    2. 在開啟的視窗中，為用戶端秘密指定任何說明，然後選取秘密的效期長短。

    我們建議您將秘密的到期日複製成任何對您方便的格式，以利及時輪換祕密。

    1. 點擊“新增”按鈕。

       建立的祕密即會顯示在 Client secrets 頁籤上。

    2. 複製 Value 欄中的資訊。

       我們強烈建議您在建立用戶端秘密後，立即複製這些資訊。

13. 在卡巴斯基安全管理中心雲端主控台應用程式的功能表中，前往 Token configuration 區段，然後執行以下操作：
    • 新增 onprem_sid 選填聲明：
      1. 點擊 Add optional claim 按鈕。
      2. 在開啟的視窗中，選取 ID 權杖類型，然後在 Claim 欄中，選取 onprem_sid 旁邊的核取方塊。
      3. 點擊“新增”按鈕。

      onprem_sid 選填聲明即會顯示在 Optional claims 頁面上。

    • 新增 Preferred_username 選填聲明：
      1. 點擊 Add optional claim 按鈕。
      2. 在開啟的視窗中，選取 Access 權杖類型，然後在 Claim 欄中，選取 preferred_username 旁邊的核取方塊。
      3. 點擊“新增”按鈕。

      preferred_username 選填聲明即會顯示在 Optional claims 頁面上。

14. 在卡巴斯基安全管理中心雲端主控台應用程式的功能表中，前往 API permissions 區段，然後新增以下權限：
    • User.Read.All
    • User.Export.All
    • GroupMember.Read.All
    • Directory.Read.All

    若要新增權限，請執行以下操作：

    1. 點擊 Add a permission 按鈕，然後選取 Microsoft APIs 頁籤。
    2. 選取 Microsoft Graph → Application permissions，然後選取要新增的權限。
    3. 點擊 Add permission 按鈕。

       這四項權限即已新增並顯示在 Configured permissions 頁面上。

    4. 點擊 Grant admin consent for <tenant_name> 按鈕，然後在開啟的視窗中點擊 Yes 以確認同意授予所新增的權限。
15. 返回卡巴斯基安全管理中心雲端主控台，然後在一般頁籤填寫以下必填欄位：
    • 租戶 ID。您在步驟 10 複製的 Directory (tenant) ID。
    • 用戶端 ID。您在步驟 10 複製的 Application (client) ID。
    • 用戶端密碼。您在步驟 12 中複製的值。
16. 點擊偵測連線按鈕檢查設定是否正確，並在顯示已連線狀態後，點擊儲存按鈕。

整合設定即已儲存，而與 Microsoft Entra ID 的整合即已設定完成。

設定與 Microsoft Entra ID 的整合後，您必須執行以下操作：

1. 在卡巴斯基安全管理中心主功能表中，前往使用者和角色 → 使用者和群組，確定 Microsoft Entra ID 中的使用者和群組已新增至卡巴斯基安全管理中心雲端主控台中。

   如果您 Microsoft Entra ID 租用戶中的使用者和群組是從您組織的 Active Directory 同步而來，且 Active Directory 輪詢已設定好，則使用者和群組會已隨 Active Directory 輪詢結果新增至卡巴斯基安全管理中心雲端主控台中。

   否則，您必須啟用並執行 Microsoft Entra ID 輪詢，以將 Microsoft Entra ID 租用戶中的使用者和群組新增至卡巴斯基安全管理中心雲端主控台中。

2. 為使用者和群組分配必要的角色。

   當指派角色給虛擬管理伺服器上的使用者時，在主功能表中，轉至使用者和角色 → 使用者和群組，然後選擇使用者頁簽。如果您選擇群組頁簽，然後將角色指派給使用者所屬的群組，則該使用者將無法登入卡巴斯基安全管理中心雲端主控台。

3. 將您在步驟 4 複製的登入 URL 傳送給使用者。他們要輸入此 URL，以便使用自己的 Microsoft Entra ID 憑證登入卡巴斯基安全管理中心雲端主控台工作區。

   當使用者登出用於在卡巴斯基安全管理中心雲端主控台中進行身分驗證的 Microsoft Entra ID 帳戶，並且卡巴斯基安全管理中心雲端主控台在同一瀏覽器的不同頁面或視窗中開啟時，卡巴斯基安全管理中心雲端主控台的工作階段也會結束，使用者會自動退出主控台。

   如果卡巴斯基安全管理中心雲端主控台在不同瀏覽器或不同裝置上打開，則當使用者登出 Microsoft Entra ID 帳戶時工作階段會繼續。

若要使用 Microsoft Entra ID 帳戶憑證登入卡巴斯基安全管理中心雲端主控台，使用者必須能夠登入其 Microsoft Entra ID 帳戶。

頁頂