Azure アプリケーションの設定

Azure AD と同期するには、Microsoft Azure 情報が必要です。

この情報を取得するには、Azure アプリケーションを設定する必要があります。設定済みの場合は、このセクションをスキップできます。

最新の情報は、エンタープライズアプリケーションを追加するおよびAzure Active Directory レポート API にアクセスするための前提条件を確認することを推奨します。また、アプリケーションの登録に関する Microsoft のクイックスタートガイドが役立つ場合もあります。クイックスタート: Microsoft ID プラットフォームにアプリケーションを登録するを参照してください。ソフォスの手順と Microsoft の手順が異なる場合は、Microsoft の手順を使用するようにしてください。

Sophos Central ですべての Azure AD 同期オプションを使用できるように、Azure ポータルで 2種類のアプリケーションのアクセス許可を設定する必要があります。次のアクセス許可を設定する必要があります。

  • Azure Active Directory Graph Directory.Read.All
  • Microsoft Graph Directory.Read.All

Azure Active Directory Graph Directory.Read.All」のアクセス許可のみを使用して Azure アプリケーションをセットアップし、Azure AD 同期の設定を変更するには、「Microsoft Graph Directory.Read.All」のアクセス許可を追加する必要があります。この方法については、アプリケーションのアクセス許可の設定を参照してください。

Azure アプリケーションを設定するには、次の手順を実行します。

  1. Azure アプリケーションの作成。
  2. クライアントシークレットの作成。
  3. アプリケーションのアクセス許可の設定。
  4. テナントドメイン情報の参照。

Azure アプリケーションの作成

アプリケーションを作成するには、次の手順を実行します。

  1. Azure ポータルにサインインします。
  2. Azure Active Directory」をクリックします。
  3. Azure Active Directory」ページで、「エンタープライズアプリケーション」をクリックします。
  4. 上部のメニューで、「新しいアプリケーション」をクリックします。

    新しい Azure アプリケーションの追加
  5. 独自のアプリケーションの作成」をクリックします。

    独自のアプリケーションの作成」が開きます。

  6. たとえば、Sophos Azure AD Sync など、アプリケーションの名前を入力します。
  7. アプリケーションを登録して Azure AD と統合する (開発中のアプリ)」を選択します。

    新しい Azure アプリの例を示すスクリーンショット
  8. 作成」をクリックします。

    アプリケーションの登録」が開きます。

  9. サポートされているアカウントの種類」で、「この組織のディレクトリ内のアカウントのみ (シングルテナント)」を選択します。

    選択したシングルテナントアプリの種類を示すスクリーンショット。
  10. リダイレクト URI (オプション)」で、「Web」を選択し、https://central.sophos.com と入力します。

    リダイレクト URL を示すスクリーンショット
  11. 登録」をクリックします。

次に、クライアントシークレットを作成する必要があります。

クライアントシークレットの作成

クライアントシークレットを作成するには、次の手順を実行します。

  1. Azure Active Directory」を参照して、「アプリ登録」をクリックします。

    Azure ポータルの最上位レベルを参照して、「Azure Active Directory」を選択する必要があります。 その後、「アプリ登録」を選択できます。


    Azure Active Directory とアプリ登録を示すスクリーンショット。
  2. 新しく追加したアプリケーション (この例では Sophos Azure AD Sync) を選択します。
  3. アプリケーション ID をメモします。Sophos Central で Azure AD Sync を設定する際に、この情報が必要になり ます。
  4. 左側の「証明書とシークレット」をクリックし、「新しいクライアントシークレット」をクリックします。

    証明書とシークレットを示すスクリーンショット
  5. クライアントシークレットの作成。

    クライアントシークレットの設定を示すスクリーンショット。
  6. クライアントシークレットとクライアントシークレットの有効期限をメモします。安全に保管してください。

    クライアントシークレットの「」フィールドにある情報が必要です。

    クライアントシークレットは、再表示されません。後で復元することはできません。

次に、アプリケーションのアクセス許可を設定する必要があります。

アプリケーションのアクセス許可の設定

アクセス許可を設定するには、次の手順を実行します。

  1. オプション アクセス許可は、「アプリ登録」で設定する必要があります。「Azure Active Directory」を参照して、「アプリ登録」をクリックします。

    Azure ポータルの最上位レベルを参照して、「Azure Active Directory」を選択する必要があります。 その後、「アプリ登録」を選択できます。


    Azure Active Directory とアプリ登録を示すスクリーンショット。
  2. 左側の「API のアクセス許可」をクリックして、「アクセス許可を追加する」をクリックします。

    「アクセス許可を追加する」オプションを示すスクリーンショット。
  3. 組織が使用する API」をクリックして、「Windows Azure Active Directory」をクリックします。

    Azure API のアクセス許可
  4. 「(legacy) Azure Active Directory Graph > Directory.Read.All」のアクセス許可を選択します。
  5. アプリケーションのアクセス許可」をクリックし、次の手順を実行します。
    1. ディレクトリ」で、「Directory.Read.All」をクリックします。
    2. アクセス許可の追加」をクリックします。

    Azure API のアクセス許可のリクエスト
  6. 次に、Microsoft Graph のアクセス許可を追加する必要があります。これには、次の手順を実行します。
    1. アクセス許可の追加」をクリックします。
    2. API アクセス許可のリクエスト」で、「Microsoft Graph」をクリックします。
    3. アプリケーションに必要なアクセス許可の種類」で、「アプリケーションのアクセス許可」をクリックします。
      Microsoft Graph アプリケーションのアクセス許可
    4. リストから「ディレクトリ」を選択します。
    5. ディレクトリ」で、「Directory.Read.All」をクリックします。
      Microsoft Graph ディレクトリの読み取りのアクセス許可
  7. アクセス許可の各セットについて、「同意する」で、そのアカウントに対する 「管理者の同意の付与」をクリックして、「はい」をクリックします。

    アクセス許可ごとに、同意を付与したことを示すメッセージが表示されます。

    アクセス許可が付与された Azure アプリケーション

次に、テナントドメイン情報を参照し、Sophos Central で Azure AD 同期を設定するために必要な情報がすべてあることを確認する必要があります。

テナントドメイン情報の参照

テナントドメイン情報をメモして、必要な Azure 情報がすべて揃っていることを確認する必要があります。これには、次の手順を実行します。

  1. テナントのドメインが必要です。これは、Azure AD インスタンスに割り当てられたプライマリドメインです。Azure AD の設定を参照して、「カスタム ドメイン名」を開きます。テナントのドメインをメモします。
  2. 必要な情報がすべて揃っていることを確認する必要があります。次の情報をメモしてあることを確認します。
    • テナントドメイン。これは、Sophos Central の「テナントドメイン」に入力する必要があります。
    • アプリケーション ID。これは、Sophos Central の「クライアント ID」に入力する必要があります。
    • クライアントシークレットの値。これは、Sophos Central の「アプリケーションキー」に入力する必要があります。
    • クライアント シークレットの有効期限。これは、Sophos Central の「クライアントシークレットの有効期限」に入力する必要があります。

これで、Azure AD を設定する準備ができました。この方法については、Azure AD との同期の設定を参照してください。