Microsoft Entra ID (Azure AD) サーバーの追加
Microsoft Entra ID (Azure AD) サーバーを追加して、以下のサービスにサインインする管理者とユーザーを認証できます。
- Web 管理コンソール
- キャプティブポータル
- VPN ポータル
- Sophos Connect クライアント経由のリモートアクセス IPsec VPN とリモートアクセス SSL VPN
Microsoft Entra ID サーバーを追加する
ファイアウォールに Microsoft Entra ID サーバーを追加する前に、Azure ポータルで認証インフラストラクチャを構成する必要があります。詳細は、Azure ポータルでの Microsoft Entra ID (Azure AD) の設定を参照してください。
ファイアウォールに Microsoft Entra ID サーバーを追加するには、次の手順を実行します。
- 「認証 > サーバー」の順に選択し、「追加」を選択します。
- 「サーバーの種類」のリストから、「Azure AD SSO」を選択します。
- 「サーバー名」に、サーバーの名前を入力します。
-
ID については、次の手順を実行します。
- Azure で「Azure Active Directory > アプリの登録」に移動し、ファイアウォール用に作成したアプリケーションをクリックします。
- 「アプリケーション (クライアント) ID」をコピーし、ファイアウォールの「アプリケーション (クライアント) ID」に貼り付けます。
- 「ディレクトリ (テナント) ID」をコピーし、ファイアウォールの「ディレクトリ (テナント) ID」に貼り付けます。
-
Azure でクライアントシークレットを作成し、「クライアントシークレット」に貼り付けます。
詳細は、クライアントシークレットを作成するを参照してください。
-
「リダイレクト URI」に、ファイアウォールの FQDN または IP アドレスを入力します。「現在のブラウザ URL を使用」をクリックして、自動的に入力することもできます。リダイレクト URI はファイアウォールごとに異なります。
Sophos Central からファイアウォールを管理し、Microsoft Entra ID を設定する場合、「リダイレクト URI」の設定は表示されません。リダイレクト URI は以下のように設定されます。
- 20.0 MR1 以降では、ファイアウォールのホスト名が自動的に設定されます (ホスト名が設定されている場合)。
-
20.0 GA 以前、または、ホスト名が設定されていない場合は、
defaultHostnameという文字列が使用されます。初期設定の後、各ファイアウォールのリダイレクト URIを手動で IP アドレスまたはホスト名に変更する必要があります。
-
「Web 管理コンソール URL」、「キャプティブポータル URL」、または「VPN ポータルとリモートアクセス URL」をコピーします。
-
Azure で、ファイアウォール用に作成したアプリケーションに URL を貼り付けます。詳細は、Azure でリダイレクト URI を貼り付けるを参照してください。
注
Sophos Central から Microsoft Entra ID を設定する場合は、Sophos Central のリバース SSO の URL を使用しないでください。
-
「ユーザー属性のマッピング」のユーザー属性は Azure トークンから取得され、ファイアウォールでユーザーが作成されます。
-
「フォールバックユーザーグループ」リストから、ユーザーグループを選択します。
ユーザーの Microsoft Entra ID グループがファイアウォール内に存在する場合は、そのグループにユーザーが割り当てられます。存在しない場合、ここで選択したグループにユーザーが割り当てられます。
注
「ファイアウォール認証手段」の「認証 > サービス」で Microsoft Entra ID サーバーを使用している場合は、「デフォルトグループ」ではなく「フォールバックユーザーグループ」が有効となります。
-
次のようにロールのマッピング条件を選択します。
-
ユーザーの種類:
- ユーザー: キャプティブポータル、VPN ポータル、リモートアクセス IPsec VPN、リモートアクセス SSL VPN にサインインするユーザーを認証する場合は、このオプションを選択します。
- 管理者: Web 管理コンソールを使用する管理者、および、キャプティブポータル、VPN ポータル、リモートアクセス IPsec VPN、リモートアクセス SSL VPN に サインインするユーザーを認証する場合は、このオプションを選択します。
-
識別子の種類およびプロファイル:
-
識別子の種類: Azure で設定した種類を選択します。
- ロール
- グループ
詳細は、アプリケーションロールを作成するを参照してください。
-
値: Azure で設定した識別子の種類の値を入力します。
-
プロファイル: 管理者プロファイルを選択します。
これらは、ファイアウォールの「プロファイル > デバイスのアクセス」で確認できます。
識別子の種類を複数追加するには、展開
をクリックします。
-
-
-
「接続のテスト」をクリックし、ユーザー認証情報を検証し、サーバーへの接続を確認します。
- 「保存」をクリックします。
認証方法を設定する
認証方法ごとに 1つのMicrosoft Entra ID サーバーのみ使用できます。
認証に Microsoft Entra ID を使用するには、次の手順を実行します。
- 「認証 > サービス」に移動します。
-
利用するサービスの認証方法として Microsoft Entra ID サーバーを選択します。
- ファイアウォール認証手段: キャプティブポータル用。
- 管理者認証の方法: Web 管理コンソール用。
- VPN ポータルの認証方法:VPN ポータル用。
- VPN (IPsec/dial-in/L2TP/PPTP) 認証方法:リモートアクセス IPsec VPN 用。
- SSL VPN 認証方法:リモートアクセス SSL VPN 用。
注
VPN ポータル、リモートアクセス IPsec VPN、リモートアクセス SSL VPN については、要件を確認してください。詳細は、 要件を参照してください。
-
Microsoft Entra ID サーバーを追加した各サービスに対して「適用」をクリックします。
注
認証に Microsoft Entra ID を使用するには、対応するファイアウォールルールで「既知のユーザーを一致」と「不明なユーザーには Web 認証を使用する」を選択する必要があります。
追加設定
キャプティブポータルの場合は、次の手順を実行します。
- 「認証 > Web 認証」に移動します。
-
「キャプティブポータルの動作」で、「新しいブラウザウィンドウ内」を選択します。
ユーザーは、明示的にサインアウトしてセッションを終了するか、Microsoft Entra ID (Azure AD) トークンの有効期限を待つ必要があります。キャプティブポータルウィンドウを開いたままにして、ユーザーがサインアウトできるようにすることをお勧めします。
-
「HTTPS より安全性の低い HTTP を使用する」の選択を解除します。
このオプションを選択した場合、Microsoft Entra ID SSO はサポートされません。
-
「適用」をクリックします。
注
Microsoft Entra ID (旧 Azure AD) は、OAuth 2.0 と OpenID Connect (OIDC) によるトークンベースの認証を使用しています。そのため、ローカルおよびリモートのユーザーは、「認証情報でログイン」使用して、ユーザー名とパスワードでサインインすることはできません。
「認証情報でログイン」を実装したい場合は、Active Directory (AD) や LDAP などのディレクトリサービスを使用できます。