iOS 13 デバイスで Sophos Network Agent を使用する

Sophos Network Agent を使用すると、iOS 13 以降のモバイルデバイスを使用しているローカルネットワークユーザーを Sophos Firewall で認証することができます。

警告

Sophos Network Agent は、2023年 9月 1日にサポート終了 (EOL) になりました。

認証されていないユーザーに対して高レベルの認証を設定するには、ファイアウォールルールで「不明なユーザーには Web 認証を使用する」を選択します。

また、「認証 > Web 認証」に移動します。「認証されていないユーザーの Web アクセスを承認する」で、「キャプティブポータルのリンクを表示する」を選択します。キャプティブポータルページでは、認証されていないユーザーがサインインする必要があります。

はじめに

Sophos Network Agent は、認証クライアントです。このクライアントにサインインしたユーザーは、ネットワークに直接サインインする仕組みになっています。クライアントは、Sophos Firewall との間に 2つの TLS 接続を確立する必要があります。そのために、以下の CA 証明書が必要となります。

ユーザー認証用の認証サーバーの CA: Sophos Firewall でユーザーを認証できるようにするには、クライアントに認証サーバーの CA をインストールする必要があります。iOS 13 以降のデバイスの場合、この CA 証明書はユーザーポータルから Sophos Network Agent に直接インポートします。
認証サーバーの CA をインポートするための署名 CA: Sophos Network Agent は、ユーザー認証用の認証サーバーの CA 証明書をインポートするために、Sophos Firewall との TLS 接続を確立しますが、この接続を確立するには、モバイルデバイスに署名 CA 証明書がインストールされている必要があります。Sophos Firewall 用のパブリック CA を使用している場合は、この手順を省略できます。

この例では、パブリック CA ではなく、ローカル署名した証明書を使用しています。次の手順に従ってください。

Sophos Firewall で、ローカル署名した証明書を生成し、ファイアウォールの証明書として設定します。
Sophos Firewall のデフォルト CA で、ローカル署名した証明書に署名します。このデフォルト CA (署名CA) を、iOS 13 以降のモバイルデバイスのユーザーと共有します。

Apple では、Sophos Mobile などのモバイルデバイス管理 (MDM) ソリューションを使用して、ユーザーのデバイスに CA 証明書を直接インストールすることを推奨しています。iOS デバイスはこれらの証明書を自動的に信頼するので、ユーザーがモバイルデバイス上で CA をインストールして信頼する必要がなくなります。詳細は、Sophos Mobile を使用してモバイルデバイスにルート CA をインストールするを参照してください。

ユーザーは、次の手順に従う必要があります。

管理者が CA (デフォルトCA) の証明書を共有している場合は、その証明書をインストールし、モバイルデバイスで信頼するように設定します。
App Store から Sophos Network Agent をダウンロードします。
ユーザーポータルを使用して、認証サーバーの CA 証明書を Sophos Network Agent にインポートします。

ローカル署名した証明書を生成する (管理者が実行)

Sophos Firewall 用にローカル署名した証明書を設定し、iOS 13 以降のモバイルデバイスを所有しているユーザーに対してデフォルト CA を共有します。

次の手順に従って、ローカル署名した証明書を生成します。
1. Sophos Firewall で、「証明書 > ローカル署名した証明書の生成」に移動します。
2. iOS デバイスの要件を満たすために、有効期間を 2年に設定します。
  
  これらのデバイス用の TLS サーバー証明書の有効期間は、825日以下にする必要があります。詳しくは、https://support.apple.com/ja-jp/HT210176 を参照してください。
3. 「詳細設定」をクリックします。
4. 「証明書 ID」を IP アドレスに設定し、Sophos Firewall の IP アドレスを入力します。
  
  この証明書 ID によって、TLS 接続を確立するファイアウォールの IP アドレスを識別できるようになります。
5. その他の値を入力し、証明書を生成します。
生成した証明書を、Web 管理コンソールの証明書として設定します。次の手順を実行します。
1. 「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動します。
2. 「証明書」を、生成済みのローカル署名した証明書に設定します。
次の手順に従って、デフォルト CA をユーザーと共有します。
1. 「証明書 > 証明機関」に移動し、「既定」の CA 証明書のダウンロードをクリックします。
2. CA 証明書をユーザーと共有します。ユーザーがユーザーポータルで「iOS 13用のクライアント証明書のインストール」をクリックすると、Sophos Network Agent に対して、Sophos Firewall から認証サーバーの CA をインポートするように指示が送信されます。これを受け、クライアントはこの CA 証明書を取得するために Sophos Firewall との間に TLS 接続の確立を試みます。ユーザーの iOS デバイスにデフォルトの CA 証明書をインストールして信頼しておくことによって、TLS 接続が確立されるという仕組みになっています。

iOS 13 デバイス用の CA 証明書をインストールする (ユーザーが実行)

ユーザーはデフォルトの CA 証明書をインストールする必要があります。続けて、ユーザーポータルにサインインし、iOS 13 以降のモバイルデバイス用認証サーバーの CA リンクをクリックします。

管理者が CA 証明書を共有している場合は、その証明書をインストールし、iOS デバイスの信頼できる証明書プロファイルに追加します。次の手順を実行します。
1. iOS デバイスで、CA 証明書をダウンロードします。
  
  次に例を示します。
2. 「設定 > 一般 > プロファイル」に移動し、証明書をインストールします。
3. 「設定 > 一般 > 情報 > 証明書信頼設定」に移動します。
4. 「ルート証明書を全面的に信頼する」で、証明書の信頼をオンにします。詳しくは、iOS や iPadOS で手動でインストールした証明書プロファイルを信頼するを参照してください。
Sophos Network Agent for iOS から Sophos Network Agent をダウンロードしてインストールします。
認証サーバーの CA 証明書をインストールして、ユーザー認証を有効にします。
1. モバイルデバイスで、ユーザーポータルを参照してサインインします。
2. 「クライアントのダウンロード > 認証クライアント」に移動します。
3. 「iOS 13 以降用のクライアント証明書のインストール」をクリックして、認証サーバーの CA 証明書をインストールします。
  
  次に例を示します。
  
  Sophos Network Agent は、手順 1 でインストールしたデフォルトの CA 証明書を使用して TLS 接続を確立し、認証サーバーの CA 証明書をインポートします。
4. Sophos Network Agent にサインインします。
  
  Sophos Firewall 経由でネットワークにサインインします。
  
  ヒント
  
  iOS デバイスがロックされたか、インターネット接続が切断された場合は、Sophos Network Agent からサインアウトされる可能性があります。クライアントを開き、もう一度サインインしてください。