Microsoft Entra ID に関するよくある質問 (FAQ)
ファイアウォールでの Microsoft Entra ID の設定に関するよくある質問と回答をまとめました。
インストール
Sophos Central で Microsoft Entra ID Sync 用に作成した Azure アプリケーションをそのまま使用できますか?
はい、同じ Azure アプリケーションを使用して複数のアプリケーションを保護できます。環境を区別してセキュリティ管理をきめ細かく行うために、ファイアウォール用の Azure アプリケーションを別途作成することをお勧めします。
ファイアウォールに Microsoft Entra ID を統合したあと、「500 Internal Server Error」メッセージが表示されるようになりました。これはどうしてですか?
アプリケーションロールに次の委任されたアクセス許可を割り当てていない場合、このエラーメッセージが表示されます。
- User.Read
- User.ReadAll
- Group.ReadAll
詳細は、APIの権限を作成するを参照してください。
Microsoft から AADSTS50011 エラーメッセージが表示されるのはなぜですか?
このエラーメッセージは、Azure の「リダイレクト URI」に Web 管理コンソールの URL を貼り付けていない場合に表示されます。Microsoft Entra ID サーバーを追加するのステップ 7 をご覧ください。
Active Directory から Microsoft Entra ID にユーザーを移行する際、ユーザー名の形式は揃える必要がありますか?
デフォルトでは、AD はユーザー名の形式として SamAccountName@domain を、Microsoft Entra ID は UserPrincipalName@domain を使用します。ファイアウォールは、これらが同じユーザーであっても、異なるユーザーとして認識します。
AD と Entra ID の両方を認証サーバーとして使用する場合は、ユーザー名の形式を揃えることを推奨します。
AD から Entra ID にユーザーを移行し、その後 AD の使用を停止したいとしましょう。その場合、ファイアウォール内でユーザーが重複しないように、移行前に AD と Entra ID のユーザー名の形式を揃えることを推奨します。Entra ID で異なるユーザー名の形式を使用すると、ファイアウォールにユーザーが重複して作成されます。移行後に、AD ユーザーを削除できます。
詳細は、以下のリンクを参照してください。
シングルサインオン
Microsoft Entra ID のログはどこで確認できますか?
Microsoft Entra ID のログは、次の場所にあります。
Advanced Shell CLI
- Web 管理コンソールのログ:
/log/oauth_sso_webadmin.log - キャプティブポータルのログ:
/log/oauth_sso_captive.log - VPN ポータル、IPsec、SSL VPN のログ:
/log/oauth_sso_vpn.log
ログビューア
- Web 管理コンソールのログ: 管理モジュール
- キャプティブポータル、VPN ポータル、IPsec、SSL VPN のログ:認証モジュール
Microsoft Entra ID のシングルサインオン (SSO) を使用して、補助デバイスの Web 管理コンソールにサインインできますか?
現在、Microsoft Entra ID SSO を使用して補助 HA デバイスの Web 管理コンソールにサインインすることはできません。
「認証情報でログイン」を使ってサインインできないのはなぜですか?
Microsoft Entra ID は、OAuth 2.0 と OpenID Connect (OIDC) によるトークンベースの認証を使用しています。そのため、ローカルおよびリモートのユーザーは、「認証情報でログイン」使用して、ユーザー名とパスワードでサインインすることはできません。
「認証情報でログイン」を実装したい場合は、Active Directory (AD) や LDAP などのディレクトリサービスを使用できます。