コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=SSO-Azure-AD-sign-in-using-UPN

ユーザーが UPN を使用してサインインできるように Microsoft Entra ID (Azure AD) を設定する

Microsoft Entra ID (Azure AD) を設定して、ユーザーがユーザープリンシパル名 (UPN) を使用してサインインできるようにすることができます (ユーザープリンシパル名がメールアドレスと異なる場合)。

次の手順に従ってください。

  1. Azure ポータルで Microsoft Entra ID (Azure AD) をセットアップします。
  2. Sophos Central で Microsoft Entra ID (Azure AD) を IdP として追加

Azure ポータルで Microsoft Entra ID (Azure AD) をセットアップする

Azure ポータルで Microsoft Entra ID (Azure AD) を設定するには、次の手順を実行する必要があります。

  1. Azure アプリケーションの作成。
  2. アプリケーションの認証を設定します。
  3. トークン構成を設定します。
  4. アプリケーションのアクセス許可を割り当てます。

Azure アプリケーションの作成

次の手順を実行します。

  1. Azure ポータルにサインインします。
  2. App registrations.を検索します。

  3. 左側のペインで「アプリ登録」をクリックします。

    アプリ登録のパス

  4. 右側で「新規登録」をクリックします。

    新規登録オプション

  5. アプリの名前を入力します。

  6. サポートされているアカウントの種類」で、「この組織ディレクトリのみに含まれるアカウント (既定のディレクトリのみ - シングル テナント)」を選択します。

    サポートされているアカウントの種類

  7. リダイレクト URI (オプション)」で、「シングル ページ アプリケーション (SPA)]を選択 し、https://federation.sophos.com/login/callback と入力します。

    リダイレクト URI オプション

  8. 登録」をクリックします。

アプリケーションの認証の設定

次の手順を実行します。

  1. 作成したアプリケーションで、「認証」をクリックします。
  2. 暗黙的な許可およびハイブリッド フロー」で、「ID トークン (暗黙的およびハイブリッド フローに使用)]を選択します。
  3. サポートされているアカウントの種類」で、「この組織ディレクトリのみに含まれるアカウント (既定のディレクトリのみ - シングル テナント)」を選択します。

  4. 保存」をクリックします。

    暗黙的な許可およびハイブリッドフロー

トークン構成のセットアップ

次の手順を実行します。

  1. 作成したアプリケーションで、[トークン構成」をクリックします。
  2. 省略可能な要求」で、 「省略可能な要求を追加」をクリックします。

  3. トークンの種類」で「ID」を選択し、 メール]を選択します。

    トークンの種類のオプション

  4. 追加」をクリックします。

  5. ポップアップメッセージで「Turn on the Microsoft Graph email permission」(Microsoft Graph のアクセス許可をオン) をクリックします。

    メールのアクセス許可

  6. 追加」をクリックします。

アプリケーションのアクセス許可の割り当て

次の手順を実行します。

  1. 作成したアプリケーションで、「API のアクセス許可」をクリックします。

  2. 構成されたアクセス許可」で、「管理者の同意を<アカウント>に与えます」をクリックします。

    アプリケーションのアクセス許可

  3. はい」をクリックします。

Sophos Central で Microsoft Entra ID (Azure AD) を IdP として追加

次の手順を実行します。

  1. Sophos Central で「グローバル設定 > フェデレーション IdP」の順に選択します。

    フェデレーション IdP のパス

  2. IdP の追加」をクリックします。

  3. 名前」と「説明」を入力します。
  4. 種類」をクリックし、「OpenID Connect」を選択します。
  5. ベンダー」をクリックし、「Microsoft Entra ID」(Azure AD) を選択します。
  6. Azure ポータルで Microsoft Entra ID (Azure AD) を既にセットアップしているため、Step A: Setup OpenID Connect はスキップします。

  7. Step B: Configure OpenID Connect settings については、以下の手順に従います。

    1. クライアントID」には、Azure で作成したアプリケーションのクライアント ID を入力します。

      これを参照するには、次の手順を実行します。

      1. Azure ポータルで、「アプリの登録」に移動します。
      2. 作成したアプリケーションを選択します
      3. アプリケーション (クライアント) IDの ID をコピー し、 Sophos Central のクライアント ID に貼り付けます。

    2. Issuer (発行元) には、次の URL を入力します。

      https://login.microsoftonline.com/<tenantId>/v2.0

      <tenantId> を Azure インスタンスのテナント ID に置き換えます。

      これを参照するには、次の手順を実行します。

      1. Azure ポータルで、「アプリの登録」に移動します。
      2. 作成したアプリケーションを選択します
      3. ディレクトリ (テナント) ID の ID をコピーして、URL の <tenantId> と置き換えます。

    3. Authz エンドポイントには、次の URL を入力します。

      https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/authorize

      <tenantId> を手順 b でコピーしたテナント ID で置き換えます。

    4. JWKS URL には、次の URL を入力します。

      https://login.microsoftonline.com/<tenantId>/discovery/v2.0/keys

      <tenantId> を手順 b でコピーしたテナント ID で置き換えます。

    ステップ B: OpenID Connect の設定

  8. ドメインの選択」をクリックし、ドメインを選択します。

    複数のドメインを追加できます。各ドメインには、ユーザー 1名のみを関連付けることができます。

  9. IdP によって MFA を適用するかどうかを選択します。次のいずれかを選択してください。

    • IdP によって MFA を適用する。
    • IdP によって MFA を適用しない。

  10. 保存」をクリックします。

サインインワークフロー

ユーザーと管理者が UPN を使用してサインインする方法は次のとおりです。

  1. ユーザーと管理者は、Sophos Central で関連付けられたメールアドレスを使用してサインインします。

    ソフォス サインインの画面

  2. ソフォス サインインの設定」での選択に応じて、画面が表示されます。

    • グローバル設定 > ソフォスサインインの設定」で「Sophos Central Admin またはフェデレーション認証情報」を選択した場合は、どちらのオプションでもサインインできる画面が表示されます。

      SSO または Sophos Central Admin のメールとパスワードを使用したサインイン

      UPN を使用してサインインするには、次の手順を実行する必要があります。

      1. SSO でサインイン」をクリックします。

        Microsoft Azure のサインインページが表示されます。

      2. UPN とパスワードを入力します。

    • グローバル設定 > ソフォスサインインの設定」で「フェデレーション認証情報のみ」を選択した場合は、Microsoft Azureサインインのページが表示され、UPN とパスワードを入力できます。