Microsoft Entra ID との同期を設定する
ユーザーとグループを Microsoft Entra ID と Sophos Central で同期できます。複数の Microsoft Entra ID ドメインから同期できます。
警告
「Office 365 GCC High」プランを使用している場合、Sophos Central を Microsoft Entra ID と同期することはできません。
ここでは、Microsoft Entra ID ディレクトリソースを設定する方法について説明します。ディレクトリソースの管理の詳細は、ソースの管理を参照してください。
同期中の情報をプレビューできます。まず、設定プロセスを完了する必要があります。
Microsoft Entra ID との同期を設定する前に、以下のセクションを読んで、必要なタスクを完了する必要があります。
- 要件
- 制限
既に完了している場合は、Microsoft Entra ID の追加 を参照してください。
要件
操作を開始する前に、次の事柄を確認してください。
-
適切な管理者ロールがあることを確認します。ディレクトリソースを設定するには、管理者である必要があります。
-
適切な Microsoft Azure の設定とアクセス許可があることを確認します。次が必要です。
- Microsoft Azure サブスクリプションと Microsoft Entra ID
- Microsoft Azure での
directory.readall
アクセス許可。 - Azure アプリケーションと、Microsoft Entra ID との通信に必要な情報。詳細は、正しい Microsoft Azure 情報があることの確認を参照してください。
-
Sophos Central 内の既存のユーザーやグループと一致するユーザーやグループが、Microsoft Entra ID にあることを確認します。
一致するものがないユーザーやグループは、Sophos Central で手動で管理する必要があります。
-
すべての Microsoft Entra ID ユーザーにメールアドレスがあることを確認します。
多数の Sophos Central ワークフローを使用する際、ユーザーを保護するために、ユーザーのメールアドレスが登録されている必要があります。
たとえば、Sophos Email を使用してユーザーを保護する場合、ユーザーに関連付けされていないメールアドレスに送信されたメールは配信されません。
警告
状況によっては、ユーザーが複製されることがあります。これは、Microsoft Entra ID と同期した UPN 識別子と、エンドポイントユーザーのログインが一致しない場合に発生します。詳細は、Microsoft Entra ID 同期の一部のユーザーがエンドポイントログインユーザーにリンクされないを参照してください。
Microsoft Entra ID との同期の詳細は、職場のデバイスを組織のネットワークに参加させるを参照してください。
制限
同期を設定する前に、次の事柄に注意してください。
- 同じドメインにある複数の Microsoft Entra ID ソースを同期することはできません。
- ユーザーやメールアドレスを複数の Sophos Central Admin アカウントと同期することはできません。ユーザーとメールアドレスは、各 Sophos Central Admin アカウントで一意である必要があります。
- Active Directory (AD) および Microsoft Entra ID を使用して、同じドメインのユーザーを同期することはできません。
- ユーザー、グループ、および共有メールボックスの委任の詳細を同期することはできません。
- Microsoft Entra ID を使用してデバイスを追加または削除した後、その変更を同期することはできません。
正しい Microsoft Azure 情報があることの確認
Microsoft Entra ID と同期するには、Microsoft Azure 情報が必要です。
この情報を取得するには、Azure アプリケーションを設定する必要があります。既にセットアップ済みの場合は、このセクションに記載されている情報が含まれていることを確認してください。
Azure アプリケーションを設定するには、Azure アプリケーションの設定の手順に従ってください。
警告
ここにある手順は、正確に行うようにしてください。
「Microsoft Entra ID Graph Directory.Read.All
」のアクセス許可のみを使用して Azure アプリケーションをセットアップし、Microsoft Entra ID 同期の設定を変更するには、「Microsoft Graph Directory.Read.All
」のアクセス許可を追加する必要があります。Azure アプリケーションの設定の詳細は、Azure アプリケーションの設定を参照してください。
-
次の情報をメモするようにしてください。
- テナントドメイン
- アプリケーション ID
- クライアントシークレット。クライアントシークレットの値が必要です。
- クライアントシークレットの有効期限
-
不足している情報がある場合は、「Azure アプリケーションの設定」にある手順を使用して取得します。
これで、Microsoft Entra ID を設定する準備ができました。
Microsoft Entra ID の追加
Microsoft Entra IDディレクトリソースを追加するには、次の手順を実行します。
- 「マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
- 「Microsoft Entra ID の追加 をクリックします。
- ソースの「名前」を入力します。
- 説明を入力します。
- ドメインの「FQDN」を入力します。
- 「次へ」をクリックします。
次に Azure アプリケーション情報を追加できます。
Microsoft Entra ID 同期の設定
Microsoft Entra ID 同期を設定するには、次の手順を実行します。
-
「Azure AD Sync の設定」で、次の情報を入力します。
- クライアント ID: これは、Azure アプリケーションのアプリケーション ID です。
- ドメイン: これは、Microsoft Entra ID インスタンスに割り当てられたプライマリドメインです。
- クライアントシークレット: これは、Azure アプリケーションのクライアントシークレットの値です。クライアントシークレットを作成するときに、「値」フィールドからクライアントシークレット値を取得できます。詳細は、Azure アプリケーションの設定を参照してください。
- クライアントシークレットの有効期限: これは、クライアントシークレットの失効日です。
-
「接続のテスト」をクリックして設定内容を検証します。
- 「保存」をクリックして、設定を保存します。
-
「接続のテスト」をクリックして、保存された認証情報を検証します。
次に、同期するユーザーとグループを選択できます。
同期するユーザーとグループの選択
同期するユーザーとグループをフィルタリング表示できます。
フィルタを切り替えると、同期の対象になるユーザーとグループが変更されます。変更後のフィルタにないユーザーとグループは、Sophos Central から削除されます。
Sophos Central に既存のユーザーとグループがあり、Microsoft Entra ID とはじめて同期する場合は、すべてのユーザーとグループを選択することを推奨します。これにより、同期サービスで一致する可能性のあるユーザーやグループの数が最大になります。
Microsoft Entra ID のグループとユーザーの階層が複雑な場合は、ユーザーとグループをフィルタリング表示してから、追加することを推奨します。「グループフィルタを使用してユーザーを追加」または「ユーザーフィルタを使用してユーザーを追加」を使用できます。
ユーザーとグループを選択するには、次の手順を実行します。
-
「同期の対象に含めるユーザーとグループの選択」で、Microsoft Entra ID と同期するユーザーとグループを選択します。フィルタを使用すると、特定のユーザーとグループを Microsoft Entra ID と同期できます。
このようなフィルタの使用に関する詳細は、ユーザーとグループのフィルタリングを参照してください。
-
「保存」をクリックします。
次に、同期スケジュールを設定できます。
同期スケジュールの設定
ユーザーとグループの同期を実行する頻度を選択できます。
スケジュールを設定するには、次の手順を実行します。
- 「同期間隔」を参照します。
-
スケジュールを次から選択します。
- 毎時: 選択したローカル開始時刻に基づいて、指定された時間毎にデータを同期します。たとえば、午前 2時から 6時間ごとなどです。
- 毎日: 毎日、指定されたローカル時間にデータを同期します。
- 毎週: 指定された曜日の指定されたローカル時間にデータを同期します。
- 毎月: 指定された日付にデータを同期します。日付は 2つまで選択できます。2番目の日付を追加するには、「日にちの追加」をクリックします。
- なし: 毎回手動で同期するには、このオプションを選択します。
-
「保存」をクリックします。
次に Microsoft Entra ID との同期を実行できます。
Microsoft Entra ID との同期
同期中の情報をプレビューできます。詳細は、同期のプレビューを参照してください。
Microsoft Entra ID と同期するには、次の手順を実行します。
- 「オンにする」をクリックします。
-
「同期」をクリックします。
同期の状態が更新されます。
-
「ユーザー」をクリックして、ユーザーに対する変更を確認します。
- 「グループ」をクリックして、グループに対する変更を確認します。
同期のプレビュー
同期中の情報をプレビューできます。
同期を既に設定済みの場合は、プレビューを生成する前に同期をオフにする必要があります。プレビューの結果は 7日間、または次の同期まで有効です。
プレビューを生成するには、次の手順を実行します。
- 「マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
- プレビューする Microsoft Entra ID ソースを選択します。
-
ソースがオンになっている場合は、「オフにする」をクリックします。
状態が変わるのを待ちます。
「プレビュー」ボタンと「プレビュー」タブが表示されます。
-
プレビューを生成するには、「プレビュー」ボタンをクリックします。
プレビューの生成中は、バナーが表示されます。それが消えるのを待ちます。
-
結果を表示するには、「プレビュー」タブをクリックします。
プレビューの結果は、JSON 形式でエクスポートできます。
プレビューの結果に 20,000件を超えるレコードが含まれている場合、結果を「プレビュー」タブに表示することはできません。エクスポートする必要があります。