Azure AD との同期の設定

ここにある手順に従って、Azure AD との同期を実行できます。

操作開始する前に、 Azure AD との同期に関する次の情報を把握しておく必要があります。

Sophos Central に既存のユーザーやグループがある場合、その詳細を、Azure AD を使用して追加、削除、変更するためには、Azure AD に、それと一致するユーザーやグループがあることを確認してください。

警告 場合によっては、ユーザーが重複して作衛されることがあります。これは、Azure AD と同期した UPN 識別子と、エンドポイントユーザーのログインが一致しない場合に発生します。詳細は、Azure AD 同期の一部のユーザーがエンドポイントログインユーザーにリンクされないを参照してください。

Azure AD のユーザーやグループと一致する、既存の Sophos Central のユーザーやグループが検出されると同期サービスに追加されます。その後、それを Azure AD を使用して管理し、変更を同期できます。

一致するものがないユーザーやグループは、Sophos Central で手動で管理する必要があります。

Azure AD との同期は、Sophos Central の既存のデバイスには影響を与えません。Azure AD を使用してデバイスを追加または削除した後、その変更を同期することはできません。

制約事項 ディレクトリサービスを設定または変更するには、管理者である必要があります。同期を設定するためには、Microsoft Azure サブスクリプションと Azure AD が必要です。また、Microsoft Azure で directory.readall パーミッションも必要です。

Azure AD との同期の詳細は、職場のデバイスを組織のネットワークに参加させるを参照してください。

警告 続行する前に、すべての Azure AD ユーザーにメールアドレスがあることを確認してください。多数の Sophos Central ワークフローを使用する際、ユーザーを保護するために、ユーザーのメールアドレスが登録されている必要があります。たとえば、Sophos Email を使用してユーザーを保護する場合、ユーザーに関連付けされていないメールアドレスに送信されたメールは配信されません。

Azure AD との同期を設定するには、次の手順を実行する必要があります。

  1. ディレクトリサービスとして Azure AD を選択します。
  2. Azure アプリケーションを設定します。既に設定済みの場合は、この手順をスキップできます。
  3. 同期オプションを設定します。
  4. 同期するユーザーとグループを選択します。
  5. Azure AD を同期します。

ディレクトリサービスの選択

ここでの手順は、ディレクトリサービスを設定済みでないことを想定しています。

ディレクトリサービスを変更する場合は、ディレクトリサービスの変更を参照してください。

ディレクトリサービスを選択するには、次の手順を実行します。

  1. 概要 > グローバル設定 > ディレクトリサービス」を参照します。
  2. 作業の開始」リンクをクリックします。
  3. 使用するディレクトリサービスを選択します。
    • AD Sync
    • Azure AD Sync
  4. 次へ」をクリックし、警告を確認して承認します。
  5. 次へ」をクリックします。

次に、選択したディレクトリサービスをセットアップできます。

正しい Microsoft Azure 情報があることの確認

Azure AD と同期するには、Microsoft Azure 情報が必要です。

この情報を取得するには、Azure アプリケーションをセットアップする必要があります。既にセットアップ済みの場合は、このセクションに記載されている情報が含まれていることを確認してください。

Azure アプリケーションを設定するには、Azure アプリケーションの設定の手順に従ってください。

Azure Active Directory Graph Directory.Read.All」のアクセス許可のみを使用して Azure アプリケーションをセットアップし、Azure AD 同期の設定を変更するには、「Microsoft Graph Directory.Read.All」のアクセス許可を追加する必要があります。この方法については、Azure アプリケーションの設定を参照してください。

  1. 次の情報をメモするようにしてください。
    • テナントドメイン
    • アプリケーション ID
    • クライアントシークレット。クライアントシークレットの値が必要です。
    • クライアント シークレットの有効期限
  2. 不足している情報がある場合は、「Azure アプリケーションの設定」にある手順を使用して取得します。

これで、Azure AD を設定する準備ができました。

Azure AD の設定

Azure AD を設定するには、次の手順を実行します。

  1. ステップ B: Azure AD Sync の設定」で、次の情報を入力します。
    • クライアント ID。これは、Azure アプリケーションのアプリケーション ID です。
    • テナントドメイン。これは、Azure AD インスタンスに割り当てられたプライマリドメインです。
    • アプリケーションキー。これは、Azure アプリケーションのクライアントシークレットの値です。
    • クライアントシークレットの有効期限。これは、クライアントシークレットの失効日です。
  2. 接続のテスト」をクリックして設定内容を検証します。

次に、同期するユーザーとグループを選択できます。

同期するユーザーとグループの選択

同期するユーザーとグループをフィルタリング表示できます。

フィルタを切り替えると、同期の対象になるユーザーとグループが変更されます。変更後のフィルタにないユーザーとグループは、Sophos Central から削除されます。

Sophos Central に既存のユーザーとグループがあり、Azure AD とはじめて同期する場合は、すべてのユーザーとグループを選択することを推奨します。これにより、同期サービスで一致する可能性のあるユーザーやグループの数が最大になります。

Azure AD のグループとユーザーの階層が複雑な場合は、ユーザーとグループをフィルタリング表示してから、追加することを推奨します。これには、「グループフィルタを使用してユーザーを追加」または「ユーザーフィルタを使用してユーザーを追加」を使用できます。

ユーザーとグループを選択するには、次の手順を実行します。

  1. ステップ C: 同期の対象に含めるユーザーとグループの選択」で、Azure AD と同期するユーザーとグループを選択します。フィルタを使用すると、特定のユーザーとグループを Azure AD と同期できます。以下から選択してください。
    • すべてのユーザーとグループ
    • グループ ID を使用してユーザーを追加
    • グループフィルタを使用してユーザーを追加
    • ユーザーフィルタを使用してユーザーを追加

    これらのフィルタの使用方法の詳細は、ユーザーとグループのフィルタリングを参照してください。

  2. 保存」をクリックします。

次に Azure AD との同期を実行できます。

Azure AD との同期

Azure AD との同期で変更される内容を、Sophos Central でプレビューすることはできません。

Azure AD と同期するには、次の手順を実行します。

  1. 保存して同期」をクリックします。
  2. 設定 > ディレクトリサービス」をクリックして、同期状態を確認します。
  3. ユーザー」をクリックして、ユーザーに対する変更を確認します。
  4. グループ」をクリックして、グループに対する変更を確認します。