コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=authentication-server-entra-id-troubleshooting

Microsoft Entra ID のトラブルシューティング

Microsoft Entra ID (Azure AD) に関連する問題のトラブルシューティング方法について説明します。

シングルサインオン

VPN ポータルにサインインする権限がありません。ファイアウォール管理者に問い合わせてください。

問題

ユーザーが VPN ポータルにサインインできず、以下のエラーが表示される。

You don't have permission to sign in to the VPN portal. Contact your firewall administrator.

原因

ユーザーが VPN ポータルアクセスできない場合、使用しているブラウザや設定に関する問題が原因である可能性があります。

ログビューアには、以下のようなエラーメッセージが表示されます。

  • User not authorized
  • Invalid credentials

解決方法

この問題を解決するには、以下の手順を実行します。

ブラウザのチェック

別のブラウザを使ってサインインします。それでもサインインできない場合は、ブラウザの互換性や拡張機能が原因ではないと判断できます。

VPN ポータルへのアクセス

リモートアクセス IPsec VPN またはリモートアクセス SSL VPN の許可されているユーザーリストに、ユーザーの Microsoft Entra ID グループが追加されていることを確認します。いずれのポリシーでも許可されていないユーザーは、SSO 認証が成功しても VPN ポータルにアクセスできません。

ユーザーの VPN ポータルアクセスを確認するには、次の手順を実行します。

  • リモートアクセス IPsec VPN

    1. リモートアクセス VPN > IPsec」に移動します。
    2. ユーザーの Microsoft Entra ID グループが「許可するユーザーとグループ」で選択されていることを確認します。

  • リモートアクセス SSL VPN

    1. リモートアクセス VPN > SSL VPN」に移動します。
    2. リモートアクセス SSL VPN の設定をクリックします。
    3. ユーザーの Microsoft Entra ID グループが「ポリシーメンバー」で選択されていることを確認します。

認証方法

リモートアクセス IPsec VPN およびリモートアクセス SSL VPN の認証方法の要件を確認します。詳細は、要件を参照してください。

設定ミスにより、サインインエラー (認証エラーや認証情報の不一致など) が発生する可能性があります。

SSO が設定されていません。管理者に問い合わせてください。

問題

Sophos Connect クライアント (SCC) で「シングルサインオン (SSO)」ボタンをクリックできず、以下のエラーが表示される。

SSO is not configured. Please contact your administrator.

原因

設定に問題があります。

解決方法

この問題を解決するには、以下の手順を実行します。

接続のテスト

次の手順に従って、ファイアウォールから Microsoft Entra ID サーバーへの接続をチェックします。

  1. 認証> サーバー」に移動します。
  2. Microsoft Entra ID サーバーをクリックします。

  3. 接続のテスト」をクリックします

    テストが成功しなかった場合は、設定を確認してください。詳細は、Microsoft Entra ID の設定を参照してください。

認証方法

以下の方法で、SSL VPN 認証方法を確認します。

  1. 認証 > サービス」に移動します。
  2. SSL VPN 認証方法」で Microsoft Entra ID サーバーが設定されていることを確認します。
選択したユーザーアカウントがテナント <テナント ID> に存在せず、そのテナントのアプリケーション <アプリケーション ID> にアクセスできません。

問題

SSO が動作せず、以下のエラーが表示される。

Selected user account does not exist in tenant <tenant ID> and cannot access the application <application ID> in that tenant.

原因

リモートアクセス IPsec VPN とリモートアクセス SSL VPN の認証方法で異なる Microsoft Entra ID サーバーを使用しているため、テナントアプリケーションにユーザーが存在しない。

解決方法

この問題を解決するには、以下の手順を実行します。

認証方法

リモートアクセス IPsec VPN およびリモートアクセス SSL VPN の認証方法の要件を確認します。詳細は、要件を参照してください。

設定ミスにより、サインインエラー (認証エラーや認証情報の不一致など) が発生する可能性があります。

SSO の再ログインの強制

ユーザーが共有エンドポイントから SSO でサインインしてネットワークに接続する場合は、SSO の再ログインを強制することをお勧めします。詳細は、強制的に SSO に再ログインさせるるを参照してください。