Azure アプリケーションの設定
Azure AD と同期するには、Microsoft Azure 情報が必要です。
この情報を取得するには、Azure アプリケーションを設定する必要があります。設定済みの場合は、このセクションをスキップできます。
注
最新の情報は、エンタープライズアプリケーションを追加するおよびAzure Active Directory レポート API にアクセスするための前提条件を確認することを推奨します。また、アプリケーションの登録に関する Microsoft のクイックスタートガイドが役立つ場合もあります。詳細は、クイックスタート: Microsoft ID プラットフォームにアプリケーションを登録するを参照してください。ソフォスの手順と Microsoft の手順が異なる場合は、Microsoft の手順を使用するようにしてください。
この Azure アプリケーションは、Sophos Central のみで使用できます。他のソフォス製品では使用できません。
Sophos Central ですべての Azure AD 同期オプションを使用できるように、Azure ポータルでアプリケーションのアクセス許可を設定する必要があります。次のアクセス許可を設定する必要があります。
Microsoft Graph Directory.Read.All
Azure アプリケーションを設定するには、次の手順を実行します。
- Azure アプリケーションの作成。
- クライアントシークレットの作成。
- アプリケーションのアクセス許可の設定。
- テナントドメイン情報の参照。
警告
ここにある手順は、正確に行うようにしてください。
Azure アプリケーションの作成
アプリケーションを作成するには、次の手順を実行します。
- Azure ポータルにサインインします。
- 「Azure Active Directory」をクリックします。
- 「Azure Active Directory」ページで、「エンタープライズアプリケーション」をクリックします。
-
上部のメニューで、「新しいアプリケーション」をクリックします。
-
「独自のアプリケーションの作成」をクリックします。
「独自のアプリケーションの作成」が開きます。
-
たとえば、
Sophos Azure AD Sync
など、アプリケーションの名前を入力します。 -
「アプリケーションを登録して Azure AD と統合する (開発中のアプリ)」を選択します。
-
「作成」をクリックします。
「アプリケーションの登録」が開きます。
-
「サポートされているアカウントの種類」で、「この組織のディレクトリ内のアカウントのみ (シングルテナント)」を選択します。
-
「リダイレクト URI (オプション)」で、「Web」を選択し、
https://central.sophos.com
と入力します。 -
「登録」をクリックします。
次に、クライアントシークレットを作成する必要があります。
クライアントシークレットの作成
クライアントシークレットを作成するには、次の手順を実行します。
-
「Azure Active Directory」を参照して、「アプリ登録」をクリックします。
Azure ポータルの最上位レベルを参照して、「Azure Active Directory」を選択する必要があります。その後、「アプリ登録」を選択できます。
-
新しく追加したアプリケーション (この例では Sophos Azure AD Sync) を選択します。
-
アプリケーション ID をメモします。Sophos Central で Azure AD Sync を設定する際に、この情報が必要になり ます。
-
左側の「証明書とシークレット」をクリックし、「新しいクライアントシークレット」をクリックします。
-
クライアントシークレットの作成。
-
クライアントシークレットとクライアントシークレットの有効期限をメモします。安全に保管してください。
クライアントシークレットの「値」フィールドにある情報が必要です。
注
クライアントシークレットは、再表示されません。後で復元することはできません。
次に、アプリケーションのアクセス許可を設定する必要があります。
アプリケーションのアクセス許可の設定
警告
このセクションにある手順は、正確に行うようにしてください。
アクセス許可を設定するには、次の手順を実行します。
-
アクセス許可は、「アプリ登録」で設定する必要があります。「Azure Active Directory」を参照して、「アプリ登録」をクリックします。
Azure ポータルの最上位レベルを参照して、「Azure Active Directory」を選択する必要があります。その後、「アプリ登録」を選択できます。
-
新しく追加したアプリケーション (この例では Sophos Azure AD Sync) を選択します。
-
左側の「API のアクセス許可」をクリックして、「アクセス許可を追加する」をクリックします。
-
「組織が使用する API」をクリックして、「Windows Azure Active Directory」をクリックします。
-
Microsoft Graph のアクセス許可を追加する必要があります。これには、次の手順を実行します。
- 「アクセス許可の追加」をクリックします。
- 「API アクセス許可のリクエスト」で、「Microsoft Graph」をクリックします。
-
「アプリケーションに必要なアクセス許可の種類」で、「アプリケーションのアクセス許可」をクリックします。
-
リストから「ディレクトリ」を選択します。
-
「ディレクトリ」で、「Directory.Read.All」をクリックします。
-
「同意する」で、そのアカウントに対する 「管理者の同意の付与」をクリックして、「はい」をクリックします。
同意したことを示すメッセージが表示されます。
次に、テナントドメイン情報を参照し、Sophos Central で Azure AD 同期を設定するために必要な情報がすべてあることを確認する必要があります。
テナントドメイン情報の参照
テナントドメイン情報をメモして、必要な Azure 情報がすべて揃っていることを確認する必要があります。これには、次の手順を実行します。
-
Azure AD の設定を参照して、「カスタム ドメイン名」を開きます。テナントのドメインをメモします。
これは、Azure AD インスタンスに割り当てられたプライマリドメインです。これは、Sophos Central の「ドメイン」に入力する必要があります。
-
次の情報をメモしてあることを確認します。
- アプリケーション ID。これは、Sophos Central の「クライアント ID」に入力する必要があります。
- クライアントシークレットの値。これは、Sophos Central の「クライアントシークレット」に入力する必要があります。
- クライアント シークレットの有効期限。これは、Sophos Central の「クライアントシークレットの有効期限」に入力する必要があります。
これで、Azure AD を設定する準備ができました。この方法については、Azure AD との同期の設定を参照してください。