コンテンツにスキップ

ディレクトリサービスの設定

ユーザーグループを管理するには、ディレクトリサービスが必要です。

Microsoft Entra ID (Azure AD) または Active Directory を使用できます。どちらを使用するかを決定するには、次の点を考慮してください。

  • Microsoft Entra ID (Azure AD) を使用する場合は、それを IdP としても使用できます。

  • Active Directory を使用する場合は、Okta など、別の IdP が必要になります。

この手順では、Microsoft Entra ID (Azure AD) を設定する方法について説明します。

Microsoft Entra ID (Azure AD) を使用してユーザーを管理するには、Microsoft Entra ID (Azure AD) テナントを作成し、ZTNA アプリケーションを登録し、ユーザーグループを設定する必要があります。

既に Microsoft Entra ID (Azure AD) アカウントを持っている必要があります。

マイクロソフトの最新ドキュメントを確認することを推奨します。Microsoft Entra ID (Azure AD) のドキュメントを参照してください。

Microsoft Entra ID (Azure AD) テナントを作成する

  1. Azure ポータルにサインインします。

  2. Azure Active Directory」を選択します。

    Azure ポータル。

  3. Microsoft Entra ID (Azure AD) の「概要」で、「テナントの作成」をクリックします。

    Microsoft Entra ID (Azure AD) の「概要」。

  4. 基本」タブで、「Azure Active Directory」を選択します。そして、次をクリックします: 「次へ: 構成」。

    Microsoft Entra ID (Azure AD) テナントの「基本」タブ。

  5. 構成」タブで、組織名とドメイン名を入力します。次をクリックします: 「次へ: 確認と作成」。

    Microsoft Entra ID (Azure AD) テナントの「構成」タブ。

  6. 次のページで、設定を確認して「作成」をクリックします。

    Microsoft Entra ID (Azure AD) テナント作成の最終画面。

ZTNA アプリの登録

  1. 管理 > アプリの登録」を選択し、「新規登録」をクリックします。

    。Microsoft Entra ID (Azure AD) の「アプリの登録」ページ。

  2. アプリケーションの登録」ページで、次の手順を実行します。

    1. 名前を入力します。
    2. サポートされているアカウントの種類のデフォルトをそのまま使用します。

    3. リダイレクト URI」を設定します。これは、認証応答の送信先アドレスです。ZTNA ゲートウェイのドメイン名 (FQDN) を含める必要があります。次に URI の例を示します: gw.mycompany.net/oauth2/callback

      Sophos Firewall でゲートウェイを設定する場合は、次の形式で新しいリダイレクト URI を追加する必要があります。https://<gateway’s external FQDN>/ztna-oauth2/callback

      複数のゲートウェイ FQDN を追加できます。また、いつでも FQDN をさらに追加できます。

    4. 登録」をクリックします。

      Microsoft Entra ID (Azure AD) の「アプリケーションの登録」ページ。

  3. 管理 > API のアクセス許可」を選択します。そして、「アクセス許可の追加」をクリックします。

    Microsoft Entra ID (Azure AD) の「API のアクセス許可」ページ。

  4. API アクセス許可の要求」で、ユーザーグループの読み取りに必要なアクセス許可を Sophos Central に付与します。次のように、Microsoft Graph API のアクセス許可を追加する必要があります。

    委任されたアクセス許可」を選択し、次を追加します。

    • Directory.Read.All
    • Group.Read.All
    • openID
    • profile (profile は OpenID のアクセス許可のセットに含まれています)
    • User.Read
    • User.Read.All

    アプリケーションのアクセス許可」を選択し、次を追加します。

    • Directory.Read.All

    委任済みのアクセス許可は、サインインしたユーザーが実行するアプリ用です。アプリケーションのアクセス許可は、ユーザーのサインインなしでサービスを実行することを許可します。

    「API アクセス許可の要求」ページ。

  5. API のアクセス許可」ページで、追加したアクセス許可が表示されるようになりました。「[アカウント名] に管理者の同意を与えます」をクリックして、アクセス許可を付与します。

    API アクセス許可の完了。

  6. アプリの「概要」ページで、次の詳細をメモします。これは、後で必要になります。

    • クライアント ID
    • テナント ID

    Microsoft Entra ID (Azure AD) のアプリの詳細。

  7. 証明書とシークレット」をクリックします。「クライアントシークレット」を作成し、その「」をメモして、安全に保管します。

    警告

    クライアントシークレットは、再表示されません。後で復元することはできません。

    Microsoft Entra ID (Azure AD) の新しいクライアントシークレット。

Microsoft Entra ID (Azure AD) ユーザーグループを作成する

警告

このセクションでは、新しいユーザーグループを作成することを想定しています。Microsoft O365 ポータルからユーザーグループをインポートする場合は、セキュリティが有効になっていることを確認する必要があります。Microsoft Entra ID (Azure AD) で作成されたグループは、セキュリティが自動的に有効になります。

Microsoft Entra ID (Azure AD) でユーザーグループを作成するには、次の手順を実行します。

  1. ディレクトリのグローバル管理者アカウントを使用して、「Azure ポータル」にサインインします。
  2. Azure Active Directory」を選択します。

  3. Active Directory」ページで、「グループ」を選択します。「新しいグループ」をクリックします。

    Microsoft Entra ID (Azure AD) の「グループ」ページ。

  4. 新しいグループ」ダイアログで、次のフィールドに入力します。

    1. グループの種類」を選択します。この例では、Microsoft 365 です。
    2. グループ名」を入力します。
    3. グループのメールアドレス」を入力するか、表示されているデフォルトのアドレスをそのまま使用します。
    4. メンバーシップの種類」を選択します。「割り当て済み」を選択し、特定のユーザーを選択して、固有のアクセス許可を付与できるようにします。

    5. 作成」をクリックします。

      グループが作成されます。

    Microsoft Entra ID (Azure AD) の「新しいグループ」ダイアログ。

  5. 作成されたユーザーグループにセキュリテ対策が有効に設定されていることを確認するには、次の手順を実行します。

    1. Manage view (ビューの管理) > Edit columns (列の編集)」の順に移動します。

    2. Columns」(列) で「Security enabled」(セキュリティ有効) を選択し、 「Save」(保存) をクリックします。

      「security enabled」列を選択します。

    3. Security Enabled」(セキュリティ有効) 列の下に、 ステータスが「Yes」(はい) と表示されます。

  6. 新しいグループのページで、「メンバー」をクリックします。そして、次の手順を実行します。

    1. メンバーの追加」をクリックします。
    2. 対象とするユーザーを検索してクリックします。
    3. 終了したら、「選択」をクリックします。

    Microsoft Entra ID (Azure AD) の「メンバー」タブ。

    次に、Sophos Central にアクセスして、ユーザーグループを Microsoft Entra ID (Azure AD) と同期します。