コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-Sophos-Connect-provisioning-file

プロビジョニングファイルのテンプレート

Sophos Connect プロビジョニングファイルを使用すると、Sophos Firewall を使ったリモートアクセス IPsec 接続および SSL VPN 接続のプロビジョニングが行えます。

IPsec リモートアクセスを設定した場合、プロビジョニングファイルによって、Sophos Connect クライアントの全ユーザーに設定ファイル .scx が自動的にインポートされます。設定ファイル .ovpn は、SSL VPN リモートアクセスポリシーに割り当てられたユーザーに対してのみ、インポートされます。

後で設定に変更を加えた場合は、その変更点も自動的にインポートされます。ユーザーは、VPN ポータルから設定ファイルをダウンロードする必要はありません。

リモートアクセス IPsec VPN でプロビジョニングファイルを使用できます。ユーザーは Sophos Connect クライアント 2.1 以降をインストールする必要があります。

メリット

プロビジョニングファイルを使用するメリットは以下のとおりです。

  • IPsec リモートアクセスの設定ファイル (.scx) および SSL VPN リモートアクセスの設定ファイル (.ovpn) が、ユーザーのエンドポイント上の Sophos Connect クライアントに自動的にインポートされます。管理者がユーザーに .scx ファイルを共有したり、

    ユーザーは、ユーザーポータルにサインインし .ovpn ファイルをダウンロードする必要はありません。

  • 後で設定に変更を加えた場合は、その変更点も自動的にインポートされます。

  • 複数のゲートウェイを設定し、優先順位を指定できます。

プロビジョニングファイルの設定

プロビジョニングファイルは、設定し、ユーザー間で共有することができます。または、Active Directory グループポリシー管理 (GPO) を使用してユーザーのエンドポイントに展開することもできます。

プロビジョニングファイル設定

設定 説明
gateway プロビジョニングを実行する Sophos Firewall の FQDN または IPv4 アドレス。
gateway_order

複数のゲートウェイが設定されている場合に Sophos Firewall がトラフィックを分散する方法を指定します。

使用できる値は次のとおりです。

distributed: 接続の試行に対し、ゲートウェイをランダムに選択します。

latency: TCP 接続リクエストへの応答が速いゲートウェイを選択します。

in_order: リスト内の一番上のゲートウェイに対して、最初に接続を試行します。接続できない場合は、次のゲートウェイに対して接続を試行します。
vpn_portal_port

vpn_portal_port を使って VPN ポータルのポートを指定できます。これは、プロビジョニング接続が行われるポートです。

ファイアウォールでポートを変更した場合は、プロビジョニングファイルでも変更する必要があります。

デフォルトポート: 443。

user_portal_port も引き続き使用できますが、VPN ポータルのポートを入力する必要があります。
auto_connect_host

Sophos Connect クライアントがすでに社内ネットワーク上にあるかどうかを判断するために使用するターゲットホスト。値が指定されている場合、Sophos Connect クライアントは、ネットワークインターフェースの IP アドレスが取得または変更されるたびに、そのホストに到達可能かどうかをチェックします。ホストに到達できず、接続が自動的に有効化され、認証情報が保存されている場合は、VPN トンネルが確立されます。

デフォルト: 空の文字列 "" (自動接続が無効化される)。

自動接続をオンにするには、リモート LAN ネットワーク上に存在する IP アドレスまたはホスト名に設定します。
can_save_credentials

ユーザーが接続用のユーザー名とパスワードを保存できるようにします。true と入力すると、ユーザー認証ページにチェックボックスが表示されます。このチェックボックスはデフォルトでオンになっていますが、ユーザーは認証情報を保存しないよう指定できます。

許可されている値: true または false

デフォルト値: true。
check_remote_availability

接続の起動時にリモートの可用性チェックを実行して、応答しないクライアントを排除します。

許可されている値: true または false

デフォルト値: false。
run_logon_script

VPN トンネルが確立された後、ドメインコントローラによって提供されるログオンスクリプトを実行します。

許可されている値: true または false

デフォルト値: false。

テンプレート

社内組織用のプロビジョニングファイルを作成するために、以下のプロビジョニングファイルのテンプレートを使用できます。テンプレートの設定は変更できます。

このスクリプトをコピーしてメモ帳などのテキストエディタに貼り付け、必要に応じて設定を編集し、.pro という拡張子で保存してください。

要件

ゲートウェイのアドレスは必ず指定してください。その他のフィールドは、必要に応じて指定します。

ファイアウォールの VPN ポータルのポートを変更した場合は、プロビジョニングファイルでも変更する必要があります。

単一の接続 
[
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレス>",
        "vpn_portal_port": <VPN ポータルのポート>,
        "otp": false,
        "auto_connect_host": "<内部ホストの名前または IP アドレス>",
        "can_save_credentials": true,
        "check_remote_availability": false,
        "run_logon_script": false
    }
]
複数の接続 
[
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレス>",
        "vpn_portal_port": <VPN ポータルのポート>,
        "otp": false,
        "auto_connect_host": "<内部ホストの名前または IP アドレス>",
        "can_save_credentials": true,
        "check_remote_availability": false,
        "run_logon_script": false
    },
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレス>",
        "otp": false,
        "auto_connect_host": "<内部ホストの名前または IP アドレス>",
        "check_remote_availability": false,
        "run_logon_script": false
    },
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレス>",
        "vpn_portal_port": 9443,
        "can_save_credentials": false
    }
]

フィールドを指定しない場合は、デフォルト値が使用されます。上記の例では、2 番目の接続は VPN ポータルのポートにポート 443 を使用します。また、ユーザーは認証情報を保存できます。

複数の接続を追加する場合は、カンマで区切る必要があります。

1つの接続に複数のゲートウェイを追加できます。

複数のゲートウェイ 
[
    {
    "display_name": "XG_SSL-VPN",
    "gateway_order": "in_order",
    "gateway": [ "xg1.some.company.com", "xg2.some.other.com", "xg3.yet.another.com" ],
    "vpn_portal_port": <VPN ポータルのポート>,
    "otp": false,
    "auto_connect_host": "inside.ad.local",
    "can_save_credentials": true,
    "check_remote_availability": true,
    "run_logon_script": true
    }
]

プロビジョニングファイル: 2FA の設定

設定 説明
otp

接続時に認証にワンタイムパスワード (OTP) が必要かどうかを指定します。これは、Sophos Connect クライアントで OTP コードを入力する 3 番目の入力ボックスを示しています。

許可される値: true または false

デフォルト値: false。
2fa

使用する 2 要素認証 (2FA) の方法を指定します。

許可される値: 1 または 2

デフォルト値: 1

使用できる値は次のとおりです。

1 2FA 用の Sophos Firewall 設定を使用します。ユーザーは、3 番目の入力フィールドに OTP トークンまたは確認コードを入力する必要があります。OTP トークンまたは確認コードがパスワードに追加され (例: passwordotp)、認証サーバーに送信されます。ユーザーは、Google Authenticator などの認証アプリを使用してトークンを生成できます。

2 Duo などの外部 2FA サーバーを使用します。ユーザーは、認証アプリで生成された認証コードを 3 番目の入力フィールドに入力する必要があります。パスワードと確認コードはカンマで区切られ、認証サーバーに送信されます。詳細は、サードパーティの認証アプリケーションのサポートを参照してください。

複数の Duo メソッドを設定した場合は、3 番目の入力ボックスに次の項目を入力する必要があります。

  • Duo プッシュ: push
  • Duo 電話: phone
  • Duo SMS: sms (サインイン画面が再び表示されます。ユーザーは、ユーザー名、パスワード、および認証コードを入力する必要があります)。
  • Duo トークン:パスコード。

ユーザーが OTP トークンまたはコードを入力する必要がある場合、Sophos Connect クライアントは、初回サインイン時にサインイン画面を 2 回表示します。最初のサインインで設定ファイルがダウンロードされ、2 番目のサインインで接続が確立されます。

テンプレート

Sophos Firewall 2FA (OTP を使用) 
[
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレス>",
        "vpn_portal_port": <VPN ポータルのポート>,
        "otp": true,
        "2fa": 1,
        "auto_connect_host": "<内部ホストの名前または IP アドレス>",
        "can_save_credentials": true,
        "check_remote_availability": false,
        "run_logon_script": false
    }
]
Duo 2FA 
[
    {
        "gateway": "<ゲートウェイのホスト名または IP アドレス>",
        "vpn_portal_port": <VPN ポータルのポート>,
        "otp": true,
        "2fa": 2,
        "auto_connect_host": "<内部ホストの名前または IP アドレス>",
        "can_save_credentials": true,
        "check_remote_availability": false,
        "run_logon_script": false
    }
]

その他のリソース