Azure AD との同期の設定
ユーザーとグループを Microsoft Azure AD (Azure AD) と Sophos Central で同期できます。複数の Azure AD ドメインから同期できます。
ここでは、Azure AD ディレクトリソースを設定する方法について説明します。ディレクトリソースの管理の詳細は、ソースの管理を参照してください。
Azure AD との同期を設定する前に、以下のセクションを読んで、必要なタスクを完了する必要があります。
- 要件
- 制限
既に完了している場合は、Azure AD の追加 を参照してください。
要件
操作を開始する前に、次の事柄を確認してください。
-
適切な管理者ロールがあることを確認します。ディレクトリソースを設定するには、管理者である必要があります。
-
適切な Microsoft Azure の設定とアクセス許可があることを確認します。次が必要です。
- Microsoft Azure サブスクリプションと Azure AD
- Microsoft Azure での
directory.readall
アクセス許可 - Azure アプリケーションと、Azure AD との通信に必要な情報。詳細は、正しい Microsoft Azure 情報があることの確認を参照してください。
-
Sophos Central 内の既存のユーザーやグループと一致するユーザーやグループが、Azure AD にあることを確認します。
一致するものがないユーザーやグループは、Sophos Central で手動で管理する必要があります。
-
すべての Azure AD ユーザーにメールアドレスがあることを確認します。
多数の Sophos Central ワークフローを使用する際、ユーザーを保護するために、ユーザーのメールアドレスが登録されている必要があります。
たとえば、Sophos Email を使用してユーザーを保護する場合、ユーザーに関連付けされていないメールアドレスに送信されたメールは配信されません。
警告
場合によっては、ユーザーが重複して作衛されることがあります。これは、Azure AD と同期した UPN 識別子と、エンドポイントユーザーのログインが一致しない場合に発生します。詳細は、Azure AD 同期の一部のユーザーがエンドポイントログインユーザーにリンクされないを参照してください。
Azure AD との同期の詳細は、職場のデバイスを組織のネットワークに参加させるを参照してください。
制限
同期を設定する前に、次の事柄に注意してください。
- 同じドメインにある複数の Azure AD ソースを同期することはできません。
- Active Directory (AD) および Azure AD を使用して、同じドメインのユーザーを同期することはできません。
- Azure AD を使用してデバイスを追加または削除した後、その変更を同期することはできません。
正しい Microsoft Azure 情報があることの確認
Azure AD と同期するには、Microsoft Azure 情報が必要です。
この情報を取得するには、Azure アプリケーションを設定する必要があります。既にセットアップ済みの場合は、このセクションに記載されている情報が含まれていることを確認してください。
Azure アプリケーションを設定するには、Azure アプリケーションの設定の手順に従ってください。
警告
ここにある手順は、正確に行うようにしてください。
「Azure Active Directory Graph Directory.Read.All
」のアクセス許可のみを使用して Azure アプリケーションをセットアップし、Azure AD 同期の設定を変更するには、「Microsoft Graph Directory.Read.All
」のアクセス許可を追加する必要があります。この方法については、「Azure アプリケーションの設定」を参照してください。
-
次の情報をメモするようにしてください。
- テナントドメイン
- アプリケーション ID
- クライアントシークレット。クライアントシークレットの値が必要です。
- クライアント シークレットの有効期限
-
不足している情報がある場合は、「Azure アプリケーションの設定」にある手順を使用して取得します。
これで、Azure AD を設定する準備ができました。
Azure AD の追加
Azure AD ディレクトリソースを追加するには、次の手順を実行します。
- 「概要 > グローバル設定 > ディレクトリサービス」を参照します。
- 「Azure AD の追加」をクリックします。
- ソースの「名前」を入力します。
- 説明を入力します。
- ドメインの「FQDN」を入力します。
- 「次へ」をクリックします。
次に Azure アプリケーション情報を追加できます。
Azure AD の設定
Azure AD を設定するには、次の手順を実行します。
-
「Azure AD Sync の設定」で、次の情報を入力します。
- クライアント ID: これは、Azure アプリケーションのアプリケーション ID です。
- ドメイン: これは、Azure AD インスタンスに割り当てられたプライマリドメインです。
- クライアントシークレット: これは、Azure アプリケーションのクライアントシークレットの値です。
- クライアントシークレットの有効期限: これは、クライアントシークレットの失効日です。
-
「接続のテスト」をクリックして設定内容を検証します。
次に、同期するユーザーとグループを選択できます。
同期するユーザーとグループの選択
同期するユーザーとグループをフィルタリング表示できます。
フィルタを切り替えると、同期の対象になるユーザーとグループが変更されます。変更後のフィルタにないユーザーとグループは、Sophos Central から削除されます。
Sophos Central に既存のユーザーとグループがあり、Azure AD とはじめて同期する場合は、すべてのユーザーとグループを選択することを推奨します。これにより、同期サービスで一致する可能性のあるユーザーやグループの数が最大になります。
Azure AD のグループとユーザーの階層が複雑な場合は、ユーザーとグループをフィルタリング表示してから、追加することを推奨します。「グループフィルタを使用してユーザーを追加」または「ユーザーフィルタを使用してユーザーを追加」を使用できます。
ユーザーとグループを選択するには、次の手順を実行します。
-
「同期の対象に含めるユーザーとグループの選択」で、Azure AD と同期するユーザーとグループを選択します。フィルタを使用すると、特定のユーザーとグループを Azure AD と同期できます。
このようなフィルタの使用に関する詳細は、ユーザーとグループのフィルタリングを参照してください。
-
「保存」をクリックします。
次に、同期スケジュールを設定できます。
同期スケジュールの設定
ユーザーとグループの同期を実行する頻度を選択できます。
スケジュールを設定するには、次の手順を実行します。
- 「同期間隔」を参照します。
-
スケジュールを次から選択します。
- 毎時: 選択したローカル開始時刻に基づいて、指定された時間毎にデータを同期します。たとえば、午前 2時から 6時間ごとなどです。
- 毎日: 毎日、指定されたローカル時間にデータを同期します。
- 毎週: 指定された曜日の指定されたローカル時間にデータを同期します。
- 毎月: 指定された日付にデータを同期します。日付は 2つまで選択できます。2番目の日付を追加するには、「日にちの追加」をクリックします。
- なし: 毎回手動で同期するには、このオプションを選択します。
-
「保存」をクリックします。
次に Azure AD との同期を実行できます。
Azure AD との同期
注
Azure AD との同期で変更される内容を、Sophos Central でプレビューすることはできません。
Azure AD と同期するには、次の手順を実行します。
- 「オンにする」をクリックします。
-
「同期」をクリックします。
同期の状態が更新されます。
-
「ユーザー」をクリックして、ユーザーに対する変更を確認します。
- 「グループ」をクリックして、グループに対する変更を確認します。