SSID の詳細設定

セキュリティ、バックエンド認証、クライアント接続、QoS (Quality-of-Service)、ネットワークの利用範囲、キャプティブポータルを設定します。

ワイヤレス > SSID」に移動して、「詳細設定」をクリックします。

セキュリティ

ネットワークのセキュリティを強化するための設定を定義します。

Synchronized Security: 有効にして、Sophos Endpoint Protection や Sophos Mobile Protection のあるクライアントが、Sophos Central Wireless アクセスポイントと通信できるようにします。Synchronized Security が Sophos FirewallSophos Central Wireless の両方で有効化されている場合、Sophos Firewall にある設定が優先されます。

この機能を使用するには、エンドポイントで Endpoint Advanced Protection ランセンスが必要です。モバイルプロテクションでは、「モバイル > 設定 > システムセットアップ > ネットワーク アクセス コントロール」を参照し、「Sophos Wireless」を選択します。

APX 320、APX 530、APX 740 のみで利用可能です。

Security Heartbeat 緑色: エンドポイントが正常に動作しており、すべてのトラフィックが許可されていることを示します。

Security Heartbeat 黄色: 不要と思われるアプリケーション (PUA) または非アクティブなマルウェアが検出されたことを示します。すべてのトラフィックが許可されます。

Security Heartbeat 赤: アクティブなマルウェアまたはランサムウェアが検出されたこと、またはアクセスポイントが、エンドポイントの Sophos Endpoint サービスからセキュリティ ハートビート メッセージを受信できないことを示します。アクセスポイントは、インターネットのトラフィックすべてをブロックします。セキュアな閲覧環境 (ウォールドガーデンまたは安全な URL のリスト) からのトラフィックのみが許可されます。

Sophos Mobile (UEM): デフォルトでオンになっています。ソフォスの管理対象モバイルデバイスからハートビート情報を送信できます。また、このようなデバイス用のポリシーを Sophos Central で管理することもできます。

Sophos Central Endpoint Protection: Sophos Central でエンドポイントポリシーを管理するにはオンにします。なお、エンドポイントポリシーは Sophos Firewall で管理することもできます。

SSID を管理対象デバイスに制限する: 管理されていないデバイスが SSID に接続すると、認証後、デバイスが管理対象外であることが判断されます。その後、表示されるトップページでデバイスを設定する必要があります。デバイスはウォールドガーデン内に配置されます。このデバイスで許可される動作は、セキュリティハートビートの状態が「赤」である場合と同様です。デバイスは、ソフォスの Web サイト、または許可リストに登録済みの URL および IP のみにアクセスすることができます。

管理対象デバイスは、ソフォスによって保護されているモバイルデバイスまたはエンドポイントデバイスです。

これを有効にすると、トップページの設定オプションが表示されます。次の情報を入力します。

  • ページのタイトル
  • 開始テキスト
  • 表示するメッセージ
  • 会社のロゴ

許可するドメイン: 「Synchronized Security」の状態が「赤」のクライアントであっても、すべての .sophos.com ドメインと共にアクセスを許可するドメインを入力します。「SSID を管理対象デバイスに制限する」をオンにした場合、ここで指定したドメインには管理対象外デバイスからもアクセスできます。IP アドレスとドメイン名の両方がサポートされています。

SSID のステルス化: ネットワーク SSID をステルス化し、ネットワークの検索で表示されないようにします。ステルス化しても SSID は利用できる状態であり、直接接続するには SSID 名が必要になります。ステルス化した SSID でもアクセスポイントに割り当てることができます。

ステルス化はセキュリティ強度を上げる機能ではありません。ステルスにしても SSID を保護する必要があります。

クライアントの隔離: 同じ周波数帯のクライアント間の通信をブロックします。ゲストネットワークやホットスポットを設定する場合に便利です。

MAC フィルタリング: 接続可能な MAC (Media Access Control) アドレスを指定することで、最低限のセキュリティを提供します。

  • 指定なし: MAC アドレスの制限はありません。
  • ブロックリスト: ここに指定する MAC アドレスを除くすべての MAC アドレスが許可されます。
  • 許可リスト: ここに指定する MAC アドレスを除くすべての MAC アドレスがブロックされます。

クライアント接続

LAN: アクセスポイントのネットワークにワイヤレスネットワークをブリッジします。ワイヤレスのクライアントは同じ IP アドレス範囲を共有します。

VLAN: クライアントのトラフィックを特定の VLAN に転送します。VLAN パケットを受け入れるように、アップリンク スイッチを設定する必要があります。

RADIUS VLAN の割り当て: 複数の SSID を使用することなくユーザーを分離します。「WPA/WPA2 エンタープライズ」暗号化モードで使用できます。

RADIUS サーバーが提供する VLAN のタグがユーザーに割り当てられます。RADIUS サーバーで VLAN が提供されない場合、トラフィックにタグは割り当てられません。

ダイナミック VLAN が有効になっている場合、IPv6 は SSID でブロックされます。If IPv6 をブロックしないと、複数の VLAN の IPv6 アドレスやゲートウェイがデバイスに割り振られてしまう可能性があります。

ゲストネットワークを有効にする: ゲストネットワークを有効にします。社内ネットワークから切り離された制限付きのゲスト用ネットワークがクライアントに提供されます。アクセスポイントには、一度に 1つのゲストネットワークを設定することができます。次のモードを利用できます。

ブリッジモード: 同一サブネット上の DHCP サーバーを使用します。

すべてのトラフィックをフィルタリングし、ゲートウェイ、DNS サーバー、外部ネットワークへの通信のみ許可します。VLAN が設定されていない環境にゲスト用ネットワークを追加した場合でも、ネットワークを分離できます。DHCP サーバーが社内ネットワーク内に存在するため、アクセスポイント間でローミングが行われます。

ゲスト用ネットワークに対して VLAN を使用することで、ゲストネットワークに分離されたゲスト用 VLAN を追加することができます。

NAT モード: アクセスポイント上でオンボードの DHCP サーバーを使用します。これにより、ローカルの分離された IP アドレスをゲスト用ネットワークのクライアントに提供します。クライアント側には、内部の IP アドレス指定スキームは通知されません。

NAT モードでは、クライアントアドレスに対する DNS サーバーは任意です。DNS サーバーによってクライアントに DNS アドレスが割り当てられていない場合は、アクセスポイントと同じ DNS アドレスが割り当てられます。

ブリッジモードではスループットがより高まり、NAT モードではネットワークの分離性がより高まります。

ネットワークの利用範囲

一定の時間帯や曜日のみに SSID を使用できるように設定します。それ以外の間は SSID が表示されなくなります。

常時: SSID を常に利用できるようにする場合に選択します。

スケジュール済み: ネットワークを使用できる曜日や時間帯を選択します。

QoS

ネットワークを最適化するための設定を行います。

マルチキャストをユニキャストに変換する: マルチキャストのパケットをユニキャストのパケットに最適化します。アクセスポイントが、IGMP (Internet Group Management Protocol) プロトコルに基づいて、マルチキャストのパケットをユニキャストのパケットに変換して、各クライアントに個別に配信します。

複数のクライアントが 1台のアクセスポイントに接続している場合に効果を発揮します。

ユニキャストへの変換は、スループットレートが高くなることのあるメディアストリーミングに推奨されます。

プロキシ ARP: 接続されている無線クライアント宛ての ARP (Address Resolution Protocol) リクエストに、アクセスポイントが応答できるようにします。

高速ローミング: 異なるアクセスポイント間で切り替えを行う際に、ローミング時間を最適化します。WPA2 暗号化方式の SSID で IEEE 802.11r 規格の通信が行われ、ローミング時間が短縮されます (エンタープライズ認証を選択している場合)。そして、単一の SSID が、複数のアクセスポイントに割り当てられている場合にも対応できます。クライアントも IEEE 802.11r 標準をサポートする必要があります。

ブロードキャストを継続する: アクセスポイントを再起動した後、Sophos Central に再接続できない場合でも、アクセスポイントがブロードキャストを行い続けるようにします。このオプションを有効にすれば、そのような状況でも、クライアントはアクセスポイントやインターネットから切断されず、アクセスポイントは変更前の設定で動作します。

Sophos Central との接続がいかなる理由で切断した場合でも、この機能がオンになっているかどうかにかかわらず、SSID のブロードキャストは続行されます。

バンドステアリング: 2.4GHz 帯と 5GHz 帯の混雑状況とクライアントの接続機能に応じて、どちらかの周波数帯のネットワークにクライアントを誘導します。デュアルバンド対応ワイヤレスクライアントは、クライアントのパフォーマンスを向上させるため、可能な限り 5GHz 帯に誘導されます。誘導は、2.4Ghz 帯のクライアントから送信された最初の接続要求を拒否することによって実行されます。要求が拒否されると、デュアルバンド対応クライアントと 5GHz 帯で通信状態の打診が行われます。その結果、5GHz 帯に接続されなかった場合は、誘導できないデバイスとして判断され、再び誘導されることはありません。クライアントがアクセスポイントから離れすぎている場合、誘導は実行されません。これにより、通信距離が通常 2.4GHz よりも短い 5GHz にクライアントが誘導されるのを防ぎます。バンドステアリングは、アクセスポイントごとに実行され、各アクセスポイントのすべての SSID が対象となります。

キャプティブポータル

ホットスポットを有効化して設定します。

ホットスポットを有効にする: SSID をホットスポットとして設定します。カフェ、ホテル、企業などで、時間帯やトラフィックに制限を設けたインターネットアクセスをゲストユーザーに提供します。

警告 多くの国では、公共の場所で Wi-Fi ホットスポットを提供するには、国内の法規制に準拠する必要があり、違法な疑いのあるコンテンツへのアクセスが制限されています。具体的には、ファイル交換サイトや過激論者に関するサイトなどです。

ページのタイトル: 最初に表示されるページのタイトルを入力できます。ユーザーがサービス利用規約に同意する際に表示されます。

開始テキスト: 最初に表示されるページの開始テキストを入力できます。

サービス利用規約: ユーザーは認証を行う前に、サービス利用規約に同意する必要があります。

バックエンド認証: この認証タイプでは、ユーザーは RADIUS (Remote Authentication Dial-In User Service) 経由で認証できます。

バックエンド認証を実行するには、RADIUS サーバーで PAP (パスワード認証プロトコル) ポリシーを設定する必要があります。RADIUS サーバーに送信されるユーザーのアカウント情報は、すべて Sophos Central によって HTTPS で暗号化されます。

パスワードの定期更新: 設定した日時に自動的に新しいパスワードを作成できます。「毎週」または「毎月」を選択した場合は、それぞれ、曜日、および曜日と週番号も指定できます。古いパスワードは、ここに指定されているタイミングで無効になり、その時点でセッションの接続も切断されます。新しいパスワードは、指定したメールアドレスに通知として送信されます。

バウチャー: このオプションを選択すると、時間帯を指定したバウチャーを生成・印刷して、ユーザーに配布できます。ユーザーがバウチャーのコードを入力すると、直接インターネットにアクセスできるようになります。

ソーシャルネットワークのアカウントでログイン: ユーザーがソーシャルメディアのアカウントを使用して認証することを許可できます。ユーザーは、Facebook または Google アカウントを使用できます。Google 認証を設定するには、Google Developer Console にアクセスして、Google のクライアント ID とシークレットを取得します。ここにその情報を入力してください。Facebook 認証を設定するには、Facebook Developer アカウントにアクセスして、Facebook のアプリケーション ID とシークレットを取得します。ここにその情報を入力してください。

Google Developer Console から Google クライアント ID を取得するには、次の操作を行う必要があります。

  1. 新しいプロジェクトを作成します。
  2. OAuth 同意画面に移動し、アプリケーション名を入力します。このフィールドには、任意の文字列を入力できます。次に、承認済みドメインとして、必ず「myapsophos.com」を入力します。
  3. 認証情報 > 認証情報を作成 > OAuth クライアント ID」を参照します。
  4. アプリケーションタイプとして、Web アプリケーションを選択します。
  5. 制限の下に、承認済みの JavaScript 生成元、および承認済みのリダイレクト URI を次のように入力します。

    承認済みの JavaScript 生成元: https://www.myapsophos.com:8443

    承認済みのリダイレクト URI: https://www.myapsophos.com:8443/hotspot.cgi

ユーザーがソーシャルメディアのアカウントでサインインすると、証明書を受け入れて続行するように求められます。これを行うには、「Google」ボタンをクリックする必要があります。
ユーザーがソーシャルメディアのアカウントを使用して認証した場合、そのアカウントの個人情報がソフォスによって保存されることはありません。

セッションタイムアウト: ユーザのインターネットアクセス時間を制限します。

再ログインのタイムアウト: これを有効にすると、ユーザーはソーシャルログインに最初に接続してから 24時間以内は、ネットワークに再ログインできなくなります。

最大 8台のデバイスが同じメール ID を使用して接続できます。

転送 URL: トップページを表示した後の転送先 URL を定義できます。モバイルデバイスのデフォルト Web サイトや特定の Web サイトなどに転送することができます。たとえば、自社の Web サイトを指定できます。