自動プロビジョニング、設定ファイル、およびクライアント

プロビジョニングファイルを使用すると、リモートアクセス IPsec VPN および SSL VPN 構成を自動的に Sophos Connect クライアントにインポートできます。

また、個々の設定ファイルをダウンロードすることもできます。

要件

プロビジョニングファイルを使用すると、Sophos Connect クライアントは VPN ポータルを介して構成をインポートします。WAN ゾーンから接続しているリモートユーザーの場合は、「管理 > デバイスアクセス」の「ローカルサービス ACL」で、VPN ポータルへの WAN アクセスを許可する必要があります。

Microsoft Entra ID SSO 要件

リモートアクセス IPsec VPN またはリモートアクセス SSL VPN を展開するときに Microsoft Entra ID シングルサインオン (SSO) を使用するには、次の要件を満たす必要があります。

プロビジョニングワークフロー

プロビジョニングファイルを使用してリモートアクセス IPsec VPN またはリモートアクセス SSL VPN を展開するときには、次の要件を満たす必要があります。

VPN ポータル、IPsec VPN、および SSL VPN の認証方式では、「認証」 > 「サービス」で同じ Microsoft Entra ID サーバーを使用する必要があります。
プロビジョニングファイルの gateway 設定は、ファイアウォールで設定されている Microsoft Entra ID サーバーのリダイレクト URI と一致する必要があります。

非プロビジョニングワークフロー

構成ファイルを使用してリモートアクセス IPsec VPN またはリモートアクセス SSL VPN を展開するときには、次の要件を満たす必要があります。

VPN 構成ファイルをダウンロードする前に、まず、「認証」 > 「サービス」で Microsoft Entra ID サーバーを認証方式として設定する必要があります。そうしないと、SSO 認証が機能しません。
リモートアクセスSSL VPN では、VPN ポータルおよび SSL VPN の認証方式では、「認証」 > 「サービス」で同じ Microsoft Entra ID サーバーを使用する必要があります。
リモートアクセス IPsec VPN の場合は、「認証」 > 「サービス」の認証方式として、同じ Microsoft Entra ID サーバーか、別の Microsoft Entra ID サーバーを使用できます。

プロビジョニングファイル

ユーザーがプロビジョニングファイル (.pro) をダブルクリックすると、このファイルは Sophos Connect クライアントにインポートされます。 .pro ファイル設定に基づいて、クライアントは VPN ポータルに接続し、ユーザーに対応するリモートアクセス SSL VPN (.ovpn) ファイルとリモートアクセス IPsec (.scx) ファイルを Sophos Connect クライアントに自動的にインポートします。

プロビジョニングファイルは、テキストエディタで構成し、.pro という拡張子で保存できます。Sophos Connect クライアントおよびプロビジョニングファイルで使用できるオペレーティングシステムについては、Sophos Connect クライアントを参照してください。

プロビジョニングファイルのインストール

.pro ファイルは、ユーザー間で共有できます。詳細は、プロビジョニングファイルのテンプレートを参照してください。

または、次のフォルダにある Active Directory グループポリシーオブジェクト (GPO) を使用して、ユーザーのエンドポイント上に直接インストールすることもできます。C:\Program Files (x86)\Sophos\Connect\import。Sophos Connect クライアントは、フォルダから .pro ファイルを自動的にインポートします。

詳細は、GPO を使用した VPN プロビジョニングファイルのインポートを参照してください。

設定の取得

プロビジョニングファイルをインポートした後、クライアントは使用可能な VPN (.scx および .ovpn) 設定を自動的に取得します。

この後行う設定変更については、次の動作を参照してください。

「SSL VPN グローバル設定」でポートまたはプロトコルを変更する場合、ユーザーは Sophos Connect クライアントで設定の歯車ボタンをクリックし、「ポリシーの更新」をクリックする必要があります。
ユーザーが行ったその他の設定変更はクライアントにより自動的に取得されます。
ポート、ゲートウェイ、SSL サーバー証明書、プロトコルなど、一部の SSL VPN グローバル設定の設定変更を行った場合は、ユーザーは、Sophos Connect クライアントに再度サインインする必要があります。

環境設定ファイル

IPsec リモートアクセス接続および SSL VPN リモートアクセスの設定およびポリシーを構成すると、環境設定ファイルが作成されます。

IPsec: 「リモートアクセス VPN > IPsec」に移動し、「接続のエクスポート」をクリックしてファイルをダウンロードします。以下のいずれかの設定ファイルを手動でユーザーに共有する必要があります。

.scx ファイル: このファイルは、Sophos Connect クライアントでのみ使用できます。このファイルには、詳細設定などの全設定が含まれます。設定はすべて、Web 管理コンソールで行います。このファイルを使用することを推奨します。

詳細設定に変更を加えた場合は、変更後の .scx ファイルをユーザーに送信して Sophos Connect クライアントにインポートしてもらう必要があります。
.tgb ファイル: このファイルは、サードパーティのクライアントで使用できます。ユーザーが構成した詳細設定は含まれません。
iOS ユーザーは、VPN ポータルから設定ファイルを直接ダウンロードできます (「VPN > IPsec VPN プロファイル」下の「VPN 設定」)。

SSL VPN: 設定ファイル .ovpn を使用します。VPN ポータル上では、ユーザーは、「SSL VPN 設定」の下にある「VPN > VPN 設定」からこのファイルをダウンロードできます。ユーザーは、各自が使用するクライアントと互換性のある設定ファイルを選択できます。

クライアントと設定

使用できるクライアントは、接続の種類とエンドポイントデバイスによって異なります。次の表に、クライアント、プロビジョニングファイル、および設定ファイルの詳細を示します。

リモートアクセス VPN の種類	クライアント	プロビジョニングファイルおよび設定ファイル
IPsec	Sophos Connect クライアントです。モバイルプラットフォームの場合は、OpenVPN Connect クライアントを使用します。ユーザーは VPN ポータルからクライアントをダウンロードします。	以下のいずれかのファイルをユーザー間で共有できます: `.pro`(推奨事項): プロビジョニングファイルをユーザーに共有します。設定ファイルが自動的にクライアントにインポートされます。プロビジョニングファイルは、リモートアクセス IPsec VPN に使用できます。ただし、ユーザーは Sophos Connect クライアント 2.1 以降をインストールする必要があります。 `.scx`: 高度なセキュリティ設定を行うには、`.tgb` ファイルではなく、この設定ファイルを使用してください。設定ファイルは、ユーザー間で共有する必要があります。 `.tgb` iOS ユーザーは、VPN ポータルから設定ファイルをダウンロードする必要があります。
IPsec (レガシー)	サードパーティ製 VPN クライアント	`.tgb`: ファイルをユーザーに共有します。
SSL VPN	Sophos Connect クライアント	以下のいずれかの方法を使用できます: `.pro`(推奨): プロビジョニングファイルをユーザーに共有します。ユーザーはこのファイルをクリックして、`.ovpn` ファイルを Sophos Connect クライアントにインポートできます。 `.ovpn`: ユーザーが、Sophos Connect および OpenVPN Connect クライアント用のファイルを VPN ポータルから直接ダウンロードします。
SSL VPN	macOS の場合は、サードパーティ製の VPN クライアントを使用できます。モバイルプラットフォームの場合は、OpenVPN Connect クライアントを使用できます。	`.ovpn`: ユーザーは、VPN ポータルからこのファイルをダウンロードします。