Microsoft Entra ID サーバー
ファイアウォールは、OAuth 2.0 および OpenID Connect (OIDC) プロトコルによる Microsoft Entra ID シングルサインオン (SSO) 認証に対応しています。
管理者とユーザーは、Microsoft Entra ID SSO を使って次のサービスにサインインできます。
- Web 管理コンソール
- キャプティブポータル
- VPN ポータル
-
Windows 版 Sophos Connect クライアントバージョン 2.4 以降によるリモートアクセス IPsec VPN とリモートアクセス SSL VPN。
注
リモートアクセス VPN では、Microsoft Entra ID SSO は VPN ポータルポートを使用してファイアウォールと通信します。「管理 > デバイスのアクセス」の「ローカルサービス ACL」で、VPN ポータルへの WAN アクセスを許可する必要があります。詳細は、要件を参照してください。
グループインポートアシスタントを使用して、すべてのグループをインポートすることも、特定の属性に一致するグループのみをインポートすることもできます。スケジュールポリシーおよびトラフィックポリシーを適用することもできます。詳細は、グループのインポートを参照してください。
Microsoft Entra ID SSO は、IdP で設定された多要素認証 (MFA) をサポートします。ファイアウォールで設定された MFA はサポートされません。
Microsoft Entra ID SSO を設定する
Microsoft Entra ID SSO を設定するには、次の手順を実行します。
- Microsoft Entra IDをSophosファイアウォールと統合する
- Microsoft Entra ID サーバーを追加する
- Microsoft Entra IDにリダイレクトURIを追加する
- Microsoft Azure URL の許可
SFOS 22.0 へのアップグレード
SFOS 20.0 または 21.0 で Microsoft Entra ID SSO を使用している場合、SFOS 22.0 にアップグレードすると、認証方法がファイアウォールと同じに設定されているサービスの SSO が自動的にオンになります。
たとえば、VPNポータル、IPsec VPN、SSL VPN の認証方法が ファイアウォールと同じに設定されている場合、これらのサービスで SSO がオンになります。さらに、VPN ポータル、リモートアクセス IPsec VPN、リモートアクセス SSL VPN で SSO を使用するには、次の手順を実行する必要があります。
- ファイアウォールで、「認証 > サーバー」に移動します。
- Microsoft Entra ID サーバーの設定をクリックします。
-
VPN ポータルとリモートアクセス URL をコピーします。
-
Microsoft Entra ID で、ファイアウォール用に作成したアプリケーションに URL を貼り付けます。詳細は、Microsoft Entra IDにリダイレクトURIを追加するを参照してください。
注
Sophos Central から Microsoft Entra ID を設定する場合は、Sophos Central のリバース SSO の URL を使用しないでください。
ビデオ
Sophos Connect 用に Microsoft Entra ID SSO を設定する
キャプティブポータル認証
注
Web 管理コンソール、キャプティブポータル、ユーザーポータル、クライアント認証エージェント (CAA) などのサービスに Microsoft Entra ID 認証を使用する場合は、Microsoft Entra ID ドメインサービスを使ってファイアウォールで Microsoft Entra ID を設定することもできます。詳細は、Sophos Firewall: Integrate Sophos Firewall with Microsoft Entra ID を参照してください。