コンテンツにスキップ
ページの一部またはすべては機械翻訳されました。
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=authentication-server-Azure-configure

Microsoft Entra IDをSophosファイアウォールと統合する

\

Azure Portal で、Sophos Firewall と Microsoft Entra ID を統合し、管理者およびユーザーをシングルサインオン(SSO)によって認証する必要があります。\

ファイアウォール向けのMicrosoft Entra Idアプリケーションを作成します

ファイアウォール用に別個のMicrosoft Entra IDアプリケーションを作成する必要があります。

ファイアウォール用のアプリケーションを作成するには、以下の手順に従います。

  1. Azure ポータルにサインインします。
  2. ホームに移動してください ホーム > Microsoft Entra ID > App registrations
  3. クリック新規登録
  4. アプリケーションの名前を入力します。
  5. サポートされているアカウントの種類」の「このアプリケーションを使用したりこの API にアクセスしたりできるのはだれですか?」で、「この組織ディレクトリのみに含まれるアカウント (既定のディレクトリのみ - シングル テナント)」を選択します。

  6. リダイレクト URI (省略可能)」の「プラットフォームの選択」リストから「Web」を選択します。

    今はURLを入力する必要はありません。ファイアウォールにMicrosoft Entra IDサーバーを作成した後にそれらを入力する必要があります。

  7. 登録」をクリックします。

    Microsoft Entra IDは、作成したアプリケーションの詳細を表示します。

  8. 次のIDをコピーしてください。

    1. アプリケーション (クライアント) ID: ファイアウォールアプリケーションを識別します。
    2. ディレクトリ (テナント) ID: このアプリケーションが所属するMicrosoft Entra IDテナントを識別します。

    アプリケーションとディレクトリのID。

    マイクロソフト Entra ID サーバーをファイアウォールで構成する際に、これらを貼り付ける必要があります。認証中、ファイアウォールはMicrosoft Entra IDにそれらを提示します。

APIの権限を作成する

委任された権限により、ファイアウォール用に作成したアプリケーションが、ユーザーがファイアウォールにサインインする際にユーザープロファイルとグループ情報を読み取ることができます。

アプリケーションの権限により、ファイアウォールはMicrosoft Entra IDからグループをインポートできます。

これらのAPIアクセス許可を作成するには、次の手順を実行してください。

  1. ホーム > Microsoft Entra ID > アプリケーション登録
  2. Go to 管理 > API 権限, then click 権限を追加.

  3. クリック Microsoft Graph

    1. 認証を許可するには、委任されたアクセス許可をクリックしてください。選択権限 の下で、次のようにします:

      1. 「user.read」を検索し、User.Read.All を選択します。
      2. 「group.read」を検索し、Group.Read.Allを選択します。

    2. ファイアウォールへのグループのインポートを許可するには、アプリケーションの権限をクリックしてください。アクセス許可を選択の下で、group.readを検索し、Group.Read.Allを選択してください。

  4. アクセス許可の追加」をクリックします。

  5. 選択した権限に対して管理者の同意を与え、プロンプトが表示された際に\<選択2>はい\をクリックしてください。

    管理者の同意を与える。

    管理者の同意を付与すると、すべてのユーザーに代わってファイアウォールサービスへのアクセス権限が付与され、サインイン時にユーザーに同意を求める個別のプロンプトが不要になります。Microsoft Identity プラットフォームにおけるアクセス権限と同意については、[Microsoft identity platform でのアクセス権限と同意](url)を参照してください。

クライアントシークレットを作成する

ソフォスファイアウォールとMicrosoft Entra ID間の安全な通信を許可するために、クライアントシークレットを作成する必要があります。

Microsoft Entra ID でクライアントシークレットを作成するには、次の手順を実行してください。

  1. ホーム > Microsoft Entra ID > アプリケーション登録
  2. 次の手順に従います: 管理 > 証明書とシークレット に移動し、新しいクライアントシークレット をクリックします。
  3. 説明を入力します。
  4. 有効期限
  5. 追加」をクリックします。

  6. タグペア2のの下に、秘密をすぐにコピーします。

    警告

    Microsoft Entra IDがページがリロードされるときに秘密を隠します。秘密をすぐにコピーしない場合、新しいクライアントシークレットを作成する必要があります。

    有効期限日をメモしておき、クライアントの秘密情報を予め更新できるようにしてください。

テナント内のすべてのユーザーとグループは、キャプティブポータルなどのファイアウォールのユーザーサービスにサインインできます。彼らのアクセス権は、ファイアウォールで割り当てるポリシーやルールに基づいています。

管理者向けのグループや役割を設定します

管理者がファイアウォールのWeb管理コンソールにサインインできるようにするには、彼らのグループまたは個々の管理者に割り当てられた役割を使用できます。

Microsoft Entra ID SSOの構成において、これらのグループまたはロールを管理者プロファイルにマッピングする必要があります。

グループを作成し、ファイアウォール管理者を追加します

グループを使用する場合は、ファイアウォールの管理者専用のグループを作成することをお勧めします。これにより、他のユーザーが Web 管理コンソールにアクセスできなくなります。

ファイアウォール管理者向けのグループを作成するには、以下の手順に従います:

  1. ホーム
  2. タグペア2の下には、グループタイプを選択してください。
  3. ルールの名前と説明を入力します。
  4. メンバー」の下、メンバーが選択されていませんをクリックし、ファイアウォール管理者を検索して選択し、「選択」をクリックしてください。
  5. 作成」をクリックします。

サイバーセキュリティ専門家に向けた明確で正確な日本語の翻訳を提供します。ファイアウォールでの詳細な読み書き権限を実現するには、例えば、「ファイアウォール管理者フルアクセス」と「ファイアウォール管理者読み取りアクセス」グループを作成できます。

詳細については、Microsoft Entra グループとグループメンバーシップの管理を参照してください。

ファイアウォール管理者にアプリケーションの役割を割り当てる

アプリケーションの役割は、それぞれのアプリケーションに固有です。Microsoft Entra ID でファイアウォール管理者に役割を作成して割り当てる必要があります。

管理者用の役割を作成する

アプリケーションロールを作成するには、次の手順を実行します。

  1. 「App registrations」をクリックして、リスト内のファイアウォールアプリケーションをクリックします。
  2. 管理」>「アプリロール」に移動し、「アプリロールの作成」をクリックしてください。
  3. ロール名を入力します。
  4. Allowed member types」で「Both (Users/Groups + Applications)」を選択します。

  5. 値の下に、管理者ロールを定義する名前を入力してください。

    例: adminFullAccess または adminReadOnlyAccess

    ファイアウォール構成にMicrosoft Entra IDサーバーを追加する場合、これらをファイアウォールの管理者プロファイルにマッピングする必要があります。

    ユーザーがファイアウォールにサインインすると、Microsoft Entra ID から、ロールの値とグループ名を含むトークンが送信されます。ファイアウォールは、Microsoft Entra ID SSOサーバー構成内の管理者プロファイルと値をマッピングし、サインインを許可します。 ロールのマッピングを参照してください。

  6. ロールの説明を入力します。

  7. このアプリの役割を有効にしますか?が選択されていることを確認してください。
  8. 適用」をクリックします。

ファイアウォールに複数のアプリケーションロールを作成し、これらを異なる管理者プロファイルにマッピングできます。

管理者に役割を割り当てる

管理者に役割を割り当てるには、以下の手順に従います。

  1. アプリケーション登録」をクリックし、リスト内のファイアウォールアプリケーションをクリックします。

  2. ローカル ディレクトリでのマネージド アプリケーション」で、アプリケーション名をクリックします。

    マネージド アプリケーション。

  3. 管理

  4. Under ユーザー, click 選択なし, then select the administrators.
  5. 選択」をクリックします。
  6. 各管理者に役割を選択し、次にSelectをクリックします。
  7. 割り当て」をクリックします。

選択したユーザーに役割を割り当て、ユーザーをファイアウォールアプリケーションに割り当てました。

ファイアウォールサービスへのアクセスを保護します

\

ファイアウォールサービスにアクセスできるのは、割り当てられたユーザーとグループだけになるようにする場合は、ファイアウォールアプリケーションへの割り当てを必須としてください。\

これは任意のタスクです。オンにしないと、テナント内のすべてのユーザーがアクセスできます。

ただし、サービスは、ファイアウォールの必要なルールとポリシーに割り当てられたユーザーまたはグループにのみ利用可能です。

割り当てを必須とする

ユーザーとグループの割り当てを必須とするには、次のようにします:

  1. ホーム
  2. 概要に移動してください。

  3. ローカル ディレクトリでのマネージド アプリケーション」で、アプリケーション名をクリックします。

    マネージド アプリケーション。

  4. 「管理 > プロパティ」に移動します。

  5. タグペア2の下にある「課題が必要ですか?」で、Yesを選択してください。
  6. 保存」をクリックします。

アプリケーションにユーザーまたはグループを割り当てる

Assignment requiredをオンにした場合、ユーザーまたはそのグループをファイアウォールアプリケーションに割り当てる必要があります。これにより、ファイアウォールのサービスにアクセスできます。

アプリケーションにユーザーを割り当てるには、次の手順を実行します。

  1. ホーム

  2. ローカル ディレクトリでのマネージド アプリケーション」で、アプリケーション名をクリックします。

    マネージド アプリケーション。

  3. Go to 管理 > ユーザーとグループ, then click ユーザー/グループの追加.

  4. ユーザーの下に、選択なしをクリックし、その後ユーザーまたはグループを選択してください。

    ユーザーの追加。

  5. 選択」をクリックします。

  6. ロールを選択の下で、選択なしをクリックしてください。
  7. ユーザーの役割を選択して、選択をクリックします。
  8. 割り当て」をクリックします。

設定を続けて行うには、Microsoft Entra ID サーバーを追加するを参照してください。