コンテンツにスキップ

ディレクトリサービスの設定

ユーザーグループを管理するには、ディレクトリサービスが必要です。

Microsoft Azure AD または Active Directory を使用できます。どちらを使用するかを決定するには、次の点を考慮してください。

  • Azure AD を使用する場合は、それを IdP としても使用できます。

  • Active Directory を使用する場合は、Okta など、別の IdP が必要になります。

この手順では、Microsoft Azure AD を設定する方法について説明します。

Azure AD を使用してユーザーを管理するには、Azure AD テナントを作成し、ZTNA アプリケーションを登録し、ユーザーグループを設定する必要があります。

既に Azure AD アカウントを持っている必要があります。

最新の情報は、Microsoft の Azure AD のドキュメントを確認することを推奨します。

Azure AD テナントの作成

  1. Azure ポータルにサインインします。
  2. Azure Active Directory」を選択します。

    Azure ポータル

  3. Azure AD の「概要」で、「テナントの作成」をクリックします。

    Azure AD の概要

  4. 基本」タブで、「Azure Active Directory」を選択します。そして、「次: 構成」をクリックします。

    Azure AD テナントの「基本」タブ

  5. 構成」タブで、組織名とドメイン名を入力します。「次: 確認および作成」をクリックします。

    Azure AD テナントの「構成」タブ

  6. 次のページで、設定を確認して「作成」をクリックします。

    Azure AD テナント作成の最終画面

ZTNA アプリの登録

  1. 管理 > アプリの登録」を選択し、「新規登録」をクリックします。

    Azure AD の「アプリの登録」ページ

  2. アプリケーションの登録」ページで、次の手順を実行します。

    1. 名前を入力します。
    2. サポートされているアカウントの種類のデフォルトをそのまま使用します。
    3. リダイレクト URI」を設定します。これは、認証応答の送信先アドレスです。ZTNA ゲートウェイのドメイン名 (FQDN) を含める必要があります。URI の例: gw.mycompany.net/oauth2/callback

      複数のゲートウェイ FQDN を追加できます。また、いつでも FQDN をさらに追加できます。

    4. 登録」をクリックします。

      Azure AD の「アプリケーションの登録」ページ

  3. 管理 > API のアクセス許可」を選択します。そして、「アクセス許可の追加」をクリックします。

    Azure AD の 「API のアクセス許可」ページ

  4. API アクセス許可の要求」で、ユーザーグループの読み取りに必要なアクセス許可を Sophos Central に付与します。次のように、Microsoft Graph API のアクセス許可を追加する必要があります。

    委任されたアクセス許可」を選択し、次を追加します。

    • Directory.Read.All
    • Group.Read.All
    • openID
    • profile (profile は OpenID のアクセス許可のセットに含まれています)
    • User.Read
    • User.Read.All

    アプリケーションのアクセス許可」を選択し、次を追加します。

    • Directory.Read.All

    委任済みのアクセス許可は、サインインしたユーザーが実行するアプリ用です。アプリケーションのアクセス許可は、ユーザーのサインインなしでサービスを実行することを許可します。

    「API アクセス許可の要求」ページ

  5. また現在、別のページから取得できる Azure AD Graph API のアクセス許可も 1つ必要です。このアクセス許可を検索して追加するには、次の手順を実行します。

    1. API を選択します」で、「所属する組織で使用している API」を参照します。
    2. Windows Azure Active Directory」を検索します。

      API のアクセス許可の検索

    3. 検索結果をクリックして、「Azure Active Directory Graph」のアクセス許可の一覧を表示します。

    4. アプリケーションのアクセス許可」を選択します。
    5. アクセス許可の追加」をクリックして、Directory.ReadWrite.Allを追加します。

    このアクセス許可は、Sophos Central が Microsoft Graph API に完全に切り替わるまで必要です。

  6. API のアクセス許可」ページで、追加したアクセス許可が表示されるようになりました。「[アカウント名] に管理者の同意を与えます」をクリックして、アクセス許可を付与します。

    API アクセス許可の完了

  7. アプリの「概要」ページで、次の詳細をメモします。これは、後で必要になります。

    • クライアント ID
    • テナント ID

    Azure AD のアプリの詳細

  8. 証明書とシークレット」をクリックします。「クライアントシークレット」を作成し、その「」をメモして、安全に保管します。

    警告

    クライアントシークレットは、再表示されません。後で復元することはできません。

    Azure AD の新しいクライアントシークレット

Azure AD ユーザーグループの作成

このセクションでは、新しいユーザーグループを作成することを想定しています。既存のグループを使用することできますが、セキュリティが有効になっている必要があります。Azure AD で作成されたグループは、セキュリティが自動的に有効になりますが、Microsoft 365 ポータルで作成されたグループや AD からインポートされたグループは、自動的に有効になりません。

Azure AD でユーザーグループを作成するには、次の手順を実行します。

  1. ディレクトリのグローバル管理者アカウントを使用して、「Azure ポータル」にサインインします。
  2. Azure Active Directory」を選択します。
  3. Active Directory」ページで、「グループ」を選択します。「新しいグループ」をクリックします。

    Azure AD の「グループ」ページのスクリーンショット

  4. 新しいグループ」ダイアログで、フィールドに入力します。

    1. グループの種類」を選択します。この例では、Microsoft 365 です。
    2. グループ名」を入力します。
    3. グループのメールアドレス」を入力するか、表示されているデフォルトのアドレスをそのまま使用します。
    4. メンバーシップの種類」を選択します。「割り当て済み」を選択し、特定のユーザーを選択して、固有のアクセス許可を付与できるようにします。
    5. 作成」をクリックします。

      グループが作成されます。

    Azure AD の「新しいグループ」ダイアログのスクリーンショット

  5. 新しいグループのページで、「メンバー」をクリックします。そして、次の手順を実行します。

    1. メンバーの追加」をクリックします。
    2. 対象とするユーザーを検索してクリックします。
    3. 終了したら、「選択」をクリックします。

    Azure AD の「メンバー」タブのスクリーンショット

    次に、Sophos Central にアクセスして、ユーザーグループを Azure AD と同期します。