iOS 13 デバイスで Sophos Network Agent を使用する
Sophos Network Agent を使用すると、iOS 13 以降のモバイルデバイスを使用しているローカルネットワークユーザーを Sophos Firewall で認証することができます。
警告
Sophos Network Agent は、2023年 9月 1日にサポート終了 (EOL) になりました。
認証されていないユーザーに対して高レベルの認証を設定するには、ファイアウォールルールで「不明なユーザーには Web 認証を使用する」を選択します。
また、「認証 > Web 認証」に移動します。「認証されていないユーザーの Web アクセスを承認する」で、「キャプティブポータルのリンクを表示する」を選択します。キャプティブポータルページでは、認証されていないユーザーがサインインする必要があります。
はじめに
Sophos Network Agent は、認証クライアントです。このクライアントにサインインしたユーザーは、ネットワークに直接サインインする仕組みになっています。クライアントは、Sophos Firewall との間に 2つの TLS 接続を確立する必要があります。そのために、以下の CA 証明書が必要となります。
-
ユーザー認証用の認証サーバーの CA: Sophos Firewall でユーザーを認証できるようにするには、クライアントに認証サーバーの CA をインストールする必要があります。iOS 13 以降のデバイスの場合、この CA 証明書はユーザーポータルから Sophos Network Agent に直接インポートします。
-
認証サーバーの CA をインポートするための署名 CA: Sophos Network Agent は、ユーザー認証用の認証サーバーの CA 証明書をインポートするために、Sophos Firewall との TLS 接続を確立しますが、この接続を確立するには、モバイルデバイスに署名 CA 証明書がインストールされている必要があります。Sophos Firewall 用のパブリック CA を使用している場合は、この手順を省略できます。
この例では、パブリック CA ではなく、ローカル署名した証明書を使用しています。次の手順に従ってください。
- Sophos Firewall で、ローカル署名した証明書を生成し、ファイアウォールの証明書として設定します。
- Sophos Firewall のデフォルト CA で、ローカル署名した証明書に署名します。このデフォルト CA (署名CA) を、iOS 13 以降のモバイルデバイスのユーザーと共有します。
Apple では、Sophos Mobile などのモバイルデバイス管理 (MDM) ソリューションを使用して、ユーザーのデバイスに CA 証明書を直接インストールすることを推奨しています。iOS デバイスはこれらの証明書を自動的に信頼するので、ユーザーがモバイルデバイス上で CA をインストールして信頼する必要がなくなります。詳細は、Sophos Mobile を使用してモバイルデバイスにルート CA をインストールするを参照してください。
ユーザーは、次の手順に従う必要があります。
- 管理者が CA (デフォルトCA) の証明書を共有している場合は、その証明書をインストールし、モバイルデバイスで信頼するように設定します。
- App Store から Sophos Network Agent をダウンロードします。
- ユーザーポータルを使用して、認証サーバーの CA 証明書を Sophos Network Agent にインポートします。
ローカル署名した証明書を生成する (管理者が実行)
Sophos Firewall 用にローカル署名した証明書を設定し、iOS 13 以降のモバイルデバイスを所有しているユーザーに対してデフォルト CA を共有します。
-
次の手順に従って、ローカル署名した証明書を生成します。
- Sophos Firewall で、「証明書 > ローカル署名した証明書の生成」に移動します。
-
iOS デバイスの要件を満たすために、有効期間を 2年に設定します。
これらのデバイス用の TLS サーバー証明書の有効期間は、825日以下にする必要があります。詳しくは、https://support.apple.com/ja-jp/HT210176 を参照してください。
-
「詳細設定」をクリックします。
-
「証明書 ID」を IP アドレスに設定し、Sophos Firewall の IP アドレスを入力します。
この証明書 ID によって、TLS 接続を確立するファイアウォールの IP アドレスを識別できるようになります。
-
その他の値を入力し、証明書を生成します。
-
生成した証明書を、Web 管理コンソールの証明書として設定します。次の手順を実行します。
- 「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動します。
- 「証明書」を、生成済みのローカル署名した証明書に設定します。
-
次の手順に従って、デフォルト CA をユーザーと共有します。
- 「証明書 > 証明機関」に移動し、「既定」の CA 証明書のダウンロード
をクリックします。
- CA 証明書をユーザーと共有します。ユーザーがユーザーポータルで「iOS 13用のクライアント証明書のインストール」をクリックすると、Sophos Network Agent に対して、Sophos Firewall から認証サーバーの CA をインポートするように指示が送信されます。これを受け、クライアントはこの CA 証明書を取得するために Sophos Firewall との間に TLS 接続の確立を試みます。ユーザーの iOS デバイスにデフォルトの CA 証明書をインストールして信頼しておくことによって、TLS 接続が確立されるという仕組みになっています。
- 「証明書 > 証明機関」に移動し、「既定」の CA 証明書のダウンロード
iOS 13 デバイス用の CA 証明書をインストールする (ユーザーが実行)
ユーザーはデフォルトの CA 証明書をインストールする必要があります。続けて、ユーザーポータルにサインインし、iOS 13 以降のモバイルデバイス用認証サーバーの CA リンクをクリックします。
-
管理者が CA 証明書を共有している場合は、その証明書をインストールし、iOS デバイスの信頼できる証明書プロファイルに追加します。次の手順を実行します。
-
iOS デバイスで、CA 証明書をダウンロードします。
次に例を示します。
-
「設定 > 一般 > プロファイル」に移動し、証明書をインストールします。
-
「設定 > 一般 > 情報 > 証明書信頼設定」に移動します。
-
「ルート証明書を全面的に信頼する」で、証明書の信頼をオンにします。詳しくは、iOS や iPadOS で手動でインストールした証明書プロファイルを信頼するを参照してください。
-
-
Sophos Network Agent for iOS から Sophos Network Agent をダウンロードしてインストールします。
-
認証サーバーの CA 証明書をインストールして、ユーザー認証を有効にします。
- モバイルデバイスで、ユーザーポータルを参照してサインインします。
- 「クライアントのダウンロード > 認証クライアント」に移動します。
-
「iOS 13 以降用のクライアント証明書のインストール」をクリックして、認証サーバーの CA 証明書をインストールします。
次に例を示します。
Sophos Network Agent は、手順 1 でインストールしたデフォルトの CA 証明書を使用して TLS 接続を確立し、認証サーバーの CA 証明書をインポートします。
-
Sophos Network Agent にサインインします。
Sophos Firewall 経由でネットワークにサインインします。
ヒント
iOS デバイスがロックされたか、インターネット接続が切断された場合は、Sophos Network Agent からサインアウトされる可能性があります。クライアントを開き、もう一度サインインしてください。