SSID の詳細設定
セキュリティ、バックエンド認証、クライアント接続、QoS (Quality-of-Service)、ネットワークの利用範囲、キャプティブポータルを設定します。
「マイプロダクト > Wireless > SSID」に移動して、「詳細設定」をクリックします。
セキュリティ
ネットワークのセキュリティを強化するための設定を定義します。
Synchronized Security
制限事項
APX 320、APX 530、APX 740 のみで利用可能です。
Synchronized Security を有効にして、Sophos Endpoint Protection や Sophos Mobile Protection のあるクライアントが、Sophos Central Wireless アクセスポイントと通信できるようにします。Synchronized Security が Sophos Firewall と Sophos Central Wireless の両方で有効化されている場合、Sophos Firewall にある設定が優先されます。
Synchronized Security は、セキュリティ状態に基づいて各デバイスを分類します。デバイスは、適宜、Sophos Endpoint Protection または Sophos Mobile によって保護される必要があります。管理者は、デバイスを管理するためのルールを設定できます。デバイスがこれらのルールに違反すると、ソフトウェアは脅威を報告し、デバイスのセキュリティハートビートステータスにこれが反映されます。Security Heartbeat で、各デバイスは次のカテゴリの 1つに基づいて表示されます。
- 保護済み (緑):デバイスが正常に動作しており、すべてのトラフィックが許可されています。
- クライアントにリスクの可能性あり (黄): 不要と思われるアプリケーション (PUA) または非アクティブなマルウェアが検出されました。すべてのトラフィックが許可されます。
- クライアントにリスクあり (赤): デバイスにアクティブなマルウェアまたはランサムウェアが含まれています。すべてのインターネットトラフィックがブロックされます。セキュアな閲覧環境 (ウォールドガーデンまたは安全な URL のリスト) からのトラフィックのみが許可されます。
- セキュリティハートビートなし: これはエンドポイントコンピュータにのみ該当します。デバイスは接続されているものの、エンドポイントから 90秒間セキュリティハートビートが送信されていません。
- 表示する内容はありません: 一覧にあるデバイスに Sophos Endpoint または Sophos Mobile Control がインストールされていません。
デバイスには、次の Synchronized Security オプションを選択できます。
-
Sophos Mobile (UEM): デフォルトでオンになっています。ソフォスが管理するモバイルデバイスがハートビート情報を送信できるようにします。また、このようなデバイス用のポリシーを Sophos Central で管理することもできます。
注
赤色のセキュリティ状態のデバイスがネットワークにアクセスできないようにするには、モバイルデバイスのネットワークアクセスコントロールを Sophos Wireless に設定する必要があります。「モバイル > セットアップ > システムセットアップ > ネットワーク アクセス コントロール」を参照し、「Sophos Wireless」を選択します。
-
Sophos Central Endpoint Protection: Sophos Central でエンドポイントポリシーを管理するにはオンにします。なお、エンドポイントポリシーは Sophos Firewall で管理することもできます。
-
SSID を管理対象デバイスに制限する: 管理されていないデバイスが SSID に接続すると、認証後、デバイスが管理対象外であることが判断され、デバイスとウォールドガーデンの後ろに配置します。その後、表示されるトップページでデバイスを設定する必要があります。このデバイスで許可される動作は、セキュリティハートビートの状態が「赤」である場合と同様です。デバイスは、ソフォスの Web サイト、または許可リストに登録済みの URL および IP のみにアクセスすることができます。
管理対象デバイスは、ソフォスによって保護されているモバイルデバイスまたはエンドポイントデバイスです。
このオプションをオンにすると、ランディングページの設定が表示されます。次の情報を入力します。
- ページのタイトル
- 開始テキスト
- 表示するメッセージ
SSID のステルス化
ネットワーク SSID をステルス化し、ネットワークの検索で表示されないようにします。SSIDはステルス化されている場合でも使用できますが、直接接続するには SSID 名が必要になります。ステルス化した SSID でもアクセスポイントに割り当てることができます。
注
SSID をステルス化することはセキュリティ機能ではありません。ステルスにしても SSID を保護する必要があります。
クライアントの隔離
同じ周波数帯のクライアント間の通信をブロックします。ゲストネットワークやホットスポットを設定する場合に便利です。
MAC フィルタリング
接続可能な MAC (Media Access Control) アドレスを指定することで、最低限のセキュリティを提供します。
- なし: MAC アドレスの制限はありません。
- ブロックリスト: ここで入力したすべての MAC アドレスはブロックされます。
- 許可リスト: ここで入力したすべての MAC アドレスは許可されます。
Walled Garden
「Synchronized Security」の状態が「赤」のクライアントであっても、すべての ..sophos.com
ドメインと共にアクセスを許可するドメインをここに入力します。「SSID を管理対象デバイスに制限する」をオンにした場合、ここで指定したドメインには管理対象外デバイスからもアクセスできます。IP アドレスとドメイン名の両方がサポートされています。
クライアント接続
LAN
無線ネットワークトラフィックを LAN にブリッジします。ワイヤレスのデバイスは同じ IP アドレス範囲を共有します。
VLAN
ワイヤレスデバイスからのトラフィックを特定の VLAN に転送します。VLAN パケットを受け入れるようにダウンストリーム ネットワーク デバイスを設定する必要があります。
RADIUS VLAN の割り当て
複数の SSID を使用することなくユーザーを分離します。エンタープライズ暗号化モードで使用できます。
アクセスポイントは、RADIUS サーバによって提供される VLAN にユーザーをタグ付けします。RADIUS サーバーで VLAN が提供されない場合、トラフィックにタグは割り当てられません。
注
SSID に対してダイナミック VLAN をオンにすると、IPv6 はブロックされます。IPv6 をブロックしないと、複数の VLAN の IPv6 アドレスやゲートウェイがワイヤレスデバイスに割り振られてしまう可能性があります。
ゲストネットワークを有効にする
制限事項
AP および APX シリーズのアクセスポイントでのみ使用できます。
ゲストネットワークを有効にします。社内ネットワークから切り離された制限付きのゲスト用ネットワークがワイヤレスっデバイスに提供されます。アクセスポイントには、一度に 1つのゲストネットワークを設定することができます。次のモードを利用できます。
ブリッジモード
同一サブネット上の DHCP サーバーを使用します。
すべてのトラフィックをフィルタリングし、ゲートウェイ、DNS サーバー、外部ネットワークへの通信のみ許可します。VLAN が設定されていない環境にゲスト用ネットワークを追加した場合でも、クライアントを分離できます。DHCP サーバーが社内ネットワーク内に存在するため、アクセスポイント間でローミングが行われます。
注
ゲストネットワークに VLAN を使用して、個別のゲストネットワークを設定できます。
NAT モード
アクセスポイント上でオンボードの DHCP サーバーを使用します。これにより、ゲストネットワーク上のワイヤレスデバイスに、ローカルで分離された IP が提供されます。デバイスは内部 IP スキームを認識しません。
NAT モードでは、無線デバイスが IP アドレスを取得するための DNS サーバーはオプションです。DNS サーバーがワイヤレスデバイスにアドレスを割り当てない場合、アクセスポイントと同じ DNS アドレスが割り当てられます。
ブリッジモードではスループットがより高まり、NAT モードではネットワークの分離性がより高まります。
ネットワークの利用範囲
一定の時間帯や曜日のみに SSID を使用できるように設定します。その間、SSID は表示されません。
- 常時: SSID を常に利用できるようにする場合に選択します。
- スケジュール済み: ネットワークを利用可能にする日時を選択します。
QoS
ネットワークを最適化するための設定を行います。
マルチキャストをユニキャストに変換する
マルチキャストのパケットをユニキャストのパケットに最適化します。アクセスポイントは、IGMP に基づいて、各ワイヤレスデバイスのマルチキャストパケットを個別にユニキャストパケットに変換します。
1つのアクセスポイントに接続するワイヤレスデバイスの数が少ない場合に効果を発揮します。
ユニキャストへの変換は、スループットレートが高くなることのあるメディアストリーミングに推奨されます。
プロキシ ARP
1つのアクセスポイントに接続するワイヤレスデバイスの数が少ない場合に効果を発揮します
高速ローミング
異なるアクセスポイント間で切り替えを行う際に、ローミング時間を最適化します。WPA2 暗号化方式の SSID で IEEE 802.11r 規格の通信が行われ、ローミング時間が短縮されます (エンタープライズ認証を選択している場合)。同じ SSID を異なるアクセスポイントに割り当てる場合に適用されます。ワイヤレスデバイスも IEEE 802.11r 標準をサポートする必要があります。
ブロードキャストを継続する
アクセスポイントが Sophos Central に接続できない場合、再起動すると設定された SSID のブロードキャストを停止します。「ブロードキャストを継続する」を選択すると、再起動後にアクセスポイントが Sophos Central に接続できない場合でも、設定された SSID のブロードキャストを続行できます。アクセスポイントは、Sophos Central への接続が復元されるまで、最後の既知の設定で動作します。ワイヤレスデバイスは、設定されているすべての内部および外部リソースに接続してアクセスできます。
注
この機能は、AP6 シリーズのアクセスポイントで常時使用できます。この機能を無効にすることはできません。
帯域幅の選択
帯域幅の選択では、5GHz 動作可能なワイヤレスデバイスを検出し、その周波数に接続します。これにより、接続のみが可能なワイヤレスデバイスで、より混雑した 2.4 GHz周波数帯域を利用できるようになります。アクセスポイントは、2.4 GHz帯域で送信された最初の接続要求をを拒否します。要求が拒否されると、デュアルバンド対応ワイヤレスデバイスと 5GHz 帯で通信状態の打診が行われます。その結果、5GHz 帯に接続されなかった場合は、誘導できないデバイスとして判断され、再び誘導されることはありません。ワイヤレスデバイスが遠すぎると、アクセスポイントは帯域幅の選択を試みません。これにより、ワイヤレスデバイスが通信範囲内にない場合に 5GHz へのルーティングが阻止されます。帯域幅の選択は、アクセスポイントごとに実行され、各アクセスポイントのすべての SSID が対象となります。
注
バンドステアリングを使用するには、2.4 GHz および 5 GHz の周波数帯域を設定する必要があります。
キャプティブポータル
キャプティブポータルは、デバイスがインターネットにアクセスする前に認証を強制します。
ホットスポットを有効にする
SSID のキャプティブポータルをオンにするには、「ホットスポットを有効にする」を選択します。
警告
多くの国では、公共の場所で Wi‑Fi ホットスポットを提供するには、国内の法規制に準拠する必要があり、違法な疑いのあるコンテンツ (例: ファイル交換サイトや過激論者に関するサイトなど) へのアクセスが制限されています。ホットスポットを国の規制機関に登録することが義務付けられる可能性があります。
キャプティブポータルをオンにすると、次のキャプティブポータルオプションを設定できます。
ランディングページ
「ホットスポットを有効にする」が選択されているアクセスポイントは、HTTP トラフィックを傍受し、事前定義されたページであるキャプティブポータルにユーザーをリダイレクトします。ユーザーはインターネットなどの許可されたネットワークにアクセスする前に、設定された認証方法を使用する必要があります。トップページは、ユーザーがホットスポットに接続後、最初に表示されるページです。
タイトルとようこそテキストを使用してランディングページをカスタマイズできます。ユーザーがネットワークにアクセスする同意する必要があるカスタムサービス利用規約も作成できます。
認証タイプ
ワイヤレスデバイスは、インターネットにアクセスする前に、キャプティブポータルで認証する必要があります。次の認証オプションから選択します。
- なし: 認証なし。
-
バックエンド認証:RADIUS サーバーでのパスワード認証プロトコル (PAP) による認証を許可します。
注
バックエンド認証を実行するには、RADIUS サーバーで PAP (パスワード認証プロトコル) ポリシーを設定する必要があります。アクセスポイントは、HTTPS を使用して RADIUS サーバーでに送信されるすべてのユーザー認証情報を暗号化します。
-
パスワードの更新間隔: 毎日、毎週、または毎月のスケジュールで新しいパスワードを自動的に作成します。パスワードが期限切れになると、アクセスポイントは現在のすべてのセッションを終了し、ユーザーは新しいパスワードで認証する必要があります。「すべての管理者に通知する」を選択すると、Sophos Central は、すべての Sophos Central 管理者および「その他のユーザー」で指定されているメールアドレスに通知として新しいパスワードを送信します。
-
ソーシャルログイン: ソーシャルメディアのアカウントを使用した認証を許可します。アカウントからの情報は保存されません。次のプロバイダーから選択できます。
-
Google: 「有効にする」を選択する と、ユーザーは Google 認証情報でサインインできます。
組織の Google クライアント ID とクライアントシークレットが必要です。この情報を取得するには、次の手順を実行します。
- Google Developer Consoleにサインインします。
- 「認証情報」をクリックし て、新しいプロジェクトを作成します。
- 「OAuth同意画面」をクリックし、「User Type」を選択し て「作成」をクリックします。
- 「OAuth 同意画面」で必須フィールドに入力し、「ドメインの追加」をクリックし て、 「承認済みドメイン」として
myapsophos.com
と入力します。 - 変更内容を保存します。
- 「認証情報をクリックし、「認証情報を作成」をクリックして、「OAuth クライアント ID」をクリックします。
- アプリケーションの種類tとして「Web アプリケーション」を選択し、名前を入力して、使用している一連のアクセスポイントについて次の情報を入力します。
- 承認済みの JavaScript 生成元:
https://www.myapsophos.com:8443
- 承認済みのリダイレクト URI:
https://www.myapsophos.com:8443/hotspot.cgi
- 承認済みの JavaScript 生成元:
https://www.myapsophos.com
- 承認済みのリダイレクト URI:
https://www.myapsophos.com
変更を保存すると、 「OAuth クライアントを作成」ウィンドウにクライアント ID とクライアントシークレットが表示されます。
-
Facebook: ユーザーが Facebook 認証情報でサインインできるようにするには、 「有効にする」を選択します。
Facebook 開発者アカウントからの Facebook アプリ ID とアプリシークレットが必要です。この情報を取得するには、次の手順を実行します。
- Facebook 開発者サイトにサインインします。
- 「マイアプリ]をクリックし、「新規アプリを追加」クリックします。
- アプリの種類を選択し、「次へ」をクリックします。
- 必要な詳細情報を入力し、「アプリを作成]」をクリックします。
- 「設定」をクリックし、 「ベーシック」をクリックします。お客様のアプリ ID を確認できます。
- 「表示」をクリックし て、 「アプリシークレット」(App Secret) を表示します。
-
許可されたドメイン: Google と Facebook の認証ドメインを設定できます。
- セッションタイムアウト: セッションタイムアウトは、1時間~24時間の範囲で指定できます。
- 再ログインのタイムアウト: ユーザーが初めて認証してから 24時間が経過するまで、再度ネットワークにサインインする必要をなくすには「有効にする」を選択します。
注
ユーザーがソーシャルメディアのアカウントでサインインすると、証明書を受け入れて続行するように求められます。これを行うには、「Google」ボタンをクリックする必要があります。
-
-
バウチャー: 印刷できる有効期限付きバウチャーを使用して認証します。新しいバウチャーを作成するには、「バウチャーの作成」をクリックします。
リダイレクト URL
ユーザー認証後にキャプティブポータルの動作を設定できます。認証されたユーザーを、最初に要求したページまたはカスタム URL に送信できます。以下のオプションを選択できます:
-
リダイレクト URL: 次のオプションから選択します。
- 元の URL へのリダイレクト: 認証後、ユーザーはアクセスしようとしていた Web サイトにリダイレクトされます。
- カスタム URL: 認証後、特定の Web サイトにリダイレクトされます。「カスタム URL」フィールドに URL を入力します。
詳細情報