Azure アプリケーションの設定

Microsoft Entra ID と同期するには、Microsoft Azure 情報が必要です。

この情報を取得するには、Azure アプリケーションをセットアップする必要があります。既に設定済みの場合は、このセクションをスキップしてください。

注

最新の情報は、エンタープライズアプリケーションを追加するおよびAzure Active Directory レポート API にアクセスするための前提条件を確認することを推奨します。また、アプリケーションの登録に関する Microsoft のクイックスタートガイドが役立つ場合もあります。詳細は、次を参照してください: クイックスタート: Microsoft ID プラットフォームにアプリケーションを登録する。ソフォスの手順と Microsoft の手順が異なる場合は、Microsoft の手順を使用するようにしてください。

この Azure アプリケーションは、Sophos Central のみで使用できます。他のソフォス製品では使用できません。

Sophos Central ですべての Microsoft Entra ID 同期オプションを使用できるように、Azure ポータルでアプリケーションのアクセス許可を設定する必要があります。次のアクセス許可を設定する必要があります。

Microsoft Graph Directory.Read.All

Azure アプリケーションを設定するには、次の手順を実行します。

Azure アプリケーションの作成。
クライアントシークレットの作成。
アプリケーションのアクセス許可の設定。
テナントドメイン情報の参照。

警告

ここにある手順は、正確に行うようにしてください。

Azure アプリケーションの作成

アプリケーションを作成するには、次の手順を実行します。

Azure ポータルにサインインします。
「Manage Microsoft Entra ID」(Microsoft Entra ID の管理) の下の「View」(表示) をクリックするか、ポータルメニューをクリックしてから、「Microsoft Entra ID」をクリックします。
「Microsoft Entra ID」ページで、「Enterprise applications」をクリックします。
上部のメニューで、「新しいアプリケーション」をクリックします。
「独自のアプリケーションの作成」をクリックします。

「独自のアプリケーションの作成」が開きます。
たとえば、Sophos Microsoft Entra ID Sync など、アプリケーションの名前を入力します。
「アプリケーションを登録して Microsoft Entra ID と統合する (開発中のアプリ)」を選択します。
「作成」をクリックします。

「アプリケーションの登録」が開きます。
「サポートされているアカウントの種類」で、「この組織のディレクトリ内のアカウントのみ (シングルテナント)」を選択します。
「リダイレクト URI (オプション)」で、「Web」を選択し、https://central.sophos.com と入力します。
「登録」をクリックします。

次に、クライアントシークレットを作成する必要があります。

クライアントシークレットの作成

クライアントシークレットを作成するには、次の手順を実行します。

Azure ポータルにサインインします。
「Manage Microsoft Entra ID」(Microsoft Entra ID の管理) の下の「View」(表示) をクリックするか、ポータルメニューをクリックしてから、「Microsoft Entra ID」をクリックします。
「App registrations」(アプリの登録) をクリックします。
新しく追加したアプリケーションを選択します。この例では、Sophos Microsoft Entra ID 同期です。
アプリケーション (クライアント) ID をメモします。

Microsoft Entra ID Sync を設定する際に、これをクライアント ID として入力する必要があります。
「Certificates & secrets」(証明書とシークレット) をクリックし、「 New client secret」(新しいクライアントシークレット) をクリックします。
クライアントシークレットの作成。
「値」フィールドと「有効期限」フィールドの情報をメモします。

「値」フィールドにはクライアントシークレットが、「有効期限」フィールドにはクライアントシークレットの有効期限が表示されます。

Sophos Central で Microsoft Entra ID 同期を設定する場合は、クライアントシークレットの「値」と「有効期限」フィールドの値、およびクライアントシークレットの有効期限フィールドをそれぞれ使用します。詳細は、Microsoft Entra ID との同期を設定するを参照してください。

注

クライアントシークレットは、再表示されません。後で復元することはできません。

次に、アプリケーションのアクセス許可を設定する必要があります。

アプリケーションのアクセス許可の設定

警告

このセクションにある手順は、正確に行うようにしてください。

アクセス許可を設定するには、次の手順を実行します。

Azure ポータルにサインインします。
「Manage Microsoft Entra ID」(Microsoft Entra ID の管理) の下の「View」(表示) をクリックするか、ポータルメニューをクリックしてから、「Microsoft Entra ID」をクリックします。
「App registrations」(アプリの登録) をクリックします。
新しく追加したアプリケーションを選択します。この例では、Sophos Microsoft Entra ID 同期です。
左側の「API のアクセス許可」をクリックして、「アクセス許可を追加する」をクリックします。
Microsoft Graph のアクセス許可を追加する必要があります。これには、次の手順を実行します。
1. 「API アクセス許可のリクエスト」で、「Microsoft Graph」をクリックします。
2. 「アプリケーションに必要なアクセス許可の種類」で、「アプリケーションのアクセス許可」をクリックします。
3. リストから「ディレクトリ」を選択します。
4. 「ディレクトリ」で、「Directory.Read.All」をクリックします。
「同意する」で、その <アカウント> に対する「管理者の同意の付与」をクリックして、「はい」をクリックします。

同意したことを示すメッセージが表示されます。

次に、テナントドメイン情報を参照し、Microsoft Entra ID 同期を設定するために必要な情報がすべてあることを確認する必要があります。

テナントドメイン情報の検索

テナントドメイン情報をメモして、必要な Azure 情報がすべて揃っていることを確認する必要があります。これには、次の手順を実行します。

Microsoft Entra ID の設定を参照して、「カスタムドメイン名」を開きます。テナントのドメインをメモします。

これは、Microsoft Entra ID インスタンスに割り当てられたプライマリドメインです。これは、Sophos Central の「ドメイン」に入力する必要があります。
次の情報をメモしてあることを確認します。
- アプリケーション ID。これは、Sophos Central の「クライアント ID」に入力する必要があります。
- クライアントシークレットの値。これは、Sophos Central の「クライアントシークレット」に入力する必要があります。
- クライアントシークレットの有効期限。これは、Sophos Central の「クライアントシークレットの有効期限」に入力する必要があります。

これで、Microsoft Entra ID を設定する準備ができました。この方法については、Microsoft Entra ID との同期を設定するを参照してください。