コンテンツにスキップ

ユーザーが UPN を使用してサインインできるように Microsoft Entra ID を設定する

このページでは、Azure IDP を設定するための代替方法を説明します。エンドユーザーにプライマリメールアドレスとは異なるユーザープリンシパル名 (UPN) を使用して認証するように要求する場合は、このページの手順に従う必要があります。

ユーザーのメールアドレスと UPN が同じ場合は、IDプロバイダの追加 (Entra ID/Open IDC/ADFS)を参照してください。

主なステップは次のとおりです。

  1. Azure ポータルで Microsoft Entra ID をセットアップする。
  2. Sophos Central で Microsoft Entra ID を IdP として追加する。

Azure ポータルで Microsoft Entra ID をセットアップする

Azure ポータルで Microsoft Entra ID を設定するには、以下の主要な手順を実行する必要があります。

  1. Azure アプリケーションの作成。
  2. アプリケーションの認証を設定します。
  3. トークン構成を設定します。
  4. アプリケーションのアクセス許可を割り当てます。

詳細については、以下のセクションを参照してください。

Azure アプリケーションの作成

Azure アプリケーションを作成するには、次の手順を実行します。

  1. Azure ポータルにサインインします。
  2. 管理」で「アプリ登録」をクリックします。

    アプリ登録のパス。

  3. アプリ登録」ページで、「新規登録」をクリックします。

    新規登録オプション。

  4. アプリの名前を入力します。

  5. サポートされているアカウントの種類」で、「この組織ディレクトリのみに含まれるアカウント (既定のディレクトリのみ - シングル テナント)」を選択します。

    サポートされているアカウントの種類。

  6. リダイレクト URI (オプション)」で、「シングル ページ アプリケーション (SPA)]を選択 し、 次の URL を入力します。https://federation.sophos.com/login/callback

    リダイレクト URI オプション。

  7. 登録」をクリックします。

アプリケーションの認証の設定

アプリケーションの認証を設定するには、次の手順を実行します。

  1. 作成したアプリケーションで、「認証」をクリックします。
  2. 暗黙的な許可およびハイブリッド フロー」で、「ID トークン (暗黙的およびハイブリッド フローに使用)]を選択します。
  3. サポートされているアカウントの種類」で、「この組織ディレクトリのみに含まれるアカウント (既定のディレクトリのみ - シングル テナント)」を選択します。
  4. 保存」をクリックします。

    暗黙的な許可およびハイブリッドフロー。

トークン構成のセットアップ

トークンを構成するには、次の手順を実行します。

  1. 作成したアプリケーションで、[トークン構成」をクリックします。
  2. 省略可能な要求」で、 「省略可能な要求を追加」をクリックします。
  3. トークンの種類」で「ID」を選択し、 メール]を選択します。

    トークンの構成。

  4. 追加」を選択します。

  5. 省略可能な要求を追加加」で、「Turn on the Microsoft Graph email permission」(Microsoft Graph のアクセス許可をオン) を選択して、「追加」をクリックします。

    メールのアクセス許可。

アプリケーションのアクセス許可の割り当て

アプリケーションのアクセス許可を割り当てるには、次の手順を実行します。

  1. 作成したアプリケーションで、「API のアクセス許可」をクリックします。
  2. 構成されたアクセス許可」で、「管理者の同意を<アカウント>に与えます」をクリックします。

    アプリケーションのアクセス許可。

  3. はい」をクリックします。

Sophos Central で Microsoft Entra ID を IdP として追加

Microsoft Entra ID を IdP として追加できます。

Sophos Central で Microsoft Entra ID を IdP として追加するには、次の手順を実行してください。

  1. Sophos Central で「グローバル設定 > フェデレーション IdP」の順に選択します。
  2. IdP の追加」をクリックします。
  3. 名前」と「説明」を入力します。
  4. 種類」をクリックし、「OpenID Connect」を選択します。
  5. ベンダー」をクリックし、「Microsoft Entra ID」 を選択します。
  6. Azure ポータルで Microsoft Entra ID を既に設定している場合は、 ステップA: OpenID Connect のセットアップをスキップします。
  7. ステップ B: OpenID Connect の設定 については、以下の手順に従います。

    1. クライアントID」には、以下の手順で Azure で作成したアプリケーションのクライアント ID を入力します。

      1. Azure ポータルで、「アプリの登録」に移動します。
      2. 作成したアプリケーションを選択します
      3. アプリケーション (クライアント) IDの ID をコピー し、 Sophos Central のクライアント ID に貼り付けます。
    2. 発行者 (発行元) には、次の URL を入力します。

      https://login.microsoftonline.com/<tenantId>/v2.0

      既存のテナント ID を Azure インスタンスのテナント ID に置き換えます。

      テナント ID を見つけるには、次の手順を実行します。

      1. Azure ポータルで、「アプリの登録」に移動します。
      2. 作成したアプリケーションを選択します
      3. ディレクトリ (テナント) ID」の値は、Azure インスタンスのテナント ID です。
    3. Authz エンドポイントには、次の URL を入力します。

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      既存のテナント ID を、先にコピーしたテナント ID に置き換えます。

    4. JWKS URL には、次の URL を入力します。

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      既存のテナント ID を、先にコピーしたテナント ID に置き換えます。

    ステップ B: OpenID Connect の設定。

  8. ドメインの選択」をクリックし、ドメインを選択します。

    複数のドメインを追加できますが、ユーザーを関連付けることができるのは 1つのドメインのみです。

  9. 次のいずれかのオプションを選択して、IdP によって MFA を有効にするかどうかを選択します。

    • IdP によって MFA を適用する。
    • IdP によって MFA を適用しない。
  10. 保存」をクリックします。

ユーザーが UPN を使用してサインインする方法

次の手順では、上記の設定が完了した後、エンドユーザーがサインインする方法を示します。

  1. ユーザーと管理者は、Sophos Central で関連付けられたメールアドレスを使用してサインインします。

    ソフォス サインインの画面。

  2. ソフォス サインインの設定」での選択に応じて、表示される画面が異なる可能性があります。

    • マイプロダクト > 全般設定 > ソフォス サインインの設定」で「Sophos Central Admin またはフェデレーション認証情報」を選択した場合、ユーザーと管理者はどちらのオプションでもサインインできます。

      SSO または Sophos Central Admin のメールとパスワードを使用したサインイン。

      UPN を使用してサインインするには、次の手順を実行する必要があります。

      1. SSO でサインイン」をクリックします。

        Microsoft Azure のサインインページが表示されます。

      2. UPN とパスワードを入力します。

    • マイプロダクト > 全般設定 > ソフォスサインインの設定」で「フェデレーション認証情報のみ」を選択した場合は、Microsoft Azureサインインのページが表示され、UPN とパスワードを入力できます。