Vérifiez et mettez à jour en toute sécurité la version de Sophos Connect Client
Sophos Connect est le principal client d’accès à distance pour de nombreux environnements de pare-feu Sophos. Néanmoins, la version client est souvent moins consciemment entretenue au quotidien que le firmware du pare-feu. Cela conduit à des cas d’assistance inutiles : les connexions ne s’établissent pas, le DNS ne fonctionne pas correctement sur macOS, le SSO affiche un état incorrect ou les utilisateurs sont interrogés différemment que prévu lors des reconnexions OTP.
L’article explique comment vérifier les versions de Sophos Connect, planifier les mises à jour et valider après la mise à jour. Il ne remplace pas les instructions d’installation de Fenêtres ou de macOS, mais les complète avec le fonctionnement et la mise à jour du client.
Pour la décision de base entre IPsec, SSL VPN, clients mobiles et ZTNA, Sophos Connect ou SSL VPN : quelle solution d’accès à distance est la bonne ? convient en premier.
Quand une mise à jour doit être vérifiée
Une mise à jour de Sophos Connect ne doit pas uniquement être vérifiée pour détecter les erreurs aiguës. Surtout avec l’accès à distance, la version client est directement liée à la prise en charge de la plateforme, au protocole VPN, au MFA, au SSO et à l’importation de profil.
Déclencheurs typiques :
- nouvelles versions Windows ou macOS dans l’entreprise
- Passer d’IPsec à SSL VPN ou vice versa
- Utilisation de Windows ARM
- Présentation de Microsoft Entra-ID SSO
- Passez à Sophos Connect avec SSL VPN sur macOS
- problèmes récurrents de reconnexion, DNS ou OTP
- Distribution de nouveaux fichiers
.scx,.tgb,.ovpnou.pro - mises à jour majeures du pare-feu, par exemple vers SFOS 22 ou plus récent
Si l’accès à distance est essentiel à la mission, le client ne doit pas être mis à jour de manière fortuite. Il est préférable d’avoir un petit pilote avec une liste de tests claire avant que la version ne soit largement distribuée.
Classer les points de la version actuelle
À compter du 20. Depuis juin 2026, Sophos Connect 2.5 MR1 est la version actuelle dans les Notes de version officielles de Sophos Connect. La date de sortie est le 18. Juin 2026 documenté.
Points importants des notes de version actuelles :
| Version | Pertinence pour les administrateurs |
|---|---|
| Sophos Connect 2.5 MR1 | corrige plusieurs problèmes pratiques concernant le démarrage de Windows, l’état SSO, la reconnexion OTP et l’approvisionnement VPN SSL |
| Sophos Connect 2.5 | prend en charge Windows ARM et utilise Windows 10 ou 11 64 bits |
| Sophos Connect 2.4 | apporte Microsoft Entra ID SSO pour Sophos Connect sur Windows avec SFOS 21.5 ou version ultérieure |
| Sophos Connect 2.0 pour macOS | prend en charge le VPN SSL d’accès à distance sur macOS |
| Sophos Connect 2.0 MR1 pour macOS | Résout, entre autres, les problèmes DNS avec SSL VPN et restaure le stockage des données d’accès pour SSL VPN |
Ce tableau ne constitue pas un historique complet des versions. Les points affichés sont ceux qui, en pratique, conduisent souvent à des questions de déploiement ou de support pour les administrateurs du pare-feu Sophos.
Vérifiez les plates-formes prises en charge
Avant une mise à jour, vous ne devez pas simplement télécharger la dernière version. Premièrement, il faut savoir clairement quelles plateformes et quels profils existent dans la région.
Fenêtres
Pour les versions actuelles de Sophos Connect, vous devez prévoir Windows 10 ou Windows 11. Windows ARM est pris en charge à partir de Sophos Connect 2.5. Si d’anciennes installations Windows 32 bits sont toujours utilisées, vous ne devez pas passer aveuglément à la ligne client actuelle, mais vérifier d’abord si ces appareils doivent toujours être utilisés comme plate-forme d’accès à distance prise en charge.
Pour Entra ID SSO avec Sophos Connect, Sophos répertorie les appareils Windows avec Sophos Connect 2.4 ou version ultérieure. La configuration de l’identité sur le pare-feu est décrite dans l’article Configurer Microsoft Entra ID SSO pour Sophos Connect et le portail VPN.
macOS
Sur macOS, le protocole utilisé est particulièrement important. IPsec est pris en charge par Sophos Connect depuis longtemps. Cependant, le VPN SSL via Sophos Connect sur macOS n’est pertinent qu’à partir de Sophos Connect 2.0.
Pour Sophos Connect 2.0 et versions ultérieures, Sophos appelle macOS Ventura 13 ou version ultérieure, à la fois pour les Mac Intel et pour Apple Silicon via Rosetta 2. Si d’anciennes versions de macOS sont utilisées, vous devez vérifier avant le déploiement si les appareils concernés doivent être mis à jour ou connectés différemment.
Plateformes mobilesSophos Connect n’est pas le client pour iOS et Android. Pour les plates-formes mobiles, selon la conception de l’accès à distance, des fonctions du système d’exploitation ou des applications compatibles OpenVPN sont utilisées. La décision entre Sophos Connect, SSL VPN, les clients OpenVPN et ZTNA est résumée dans Sophos Connect ou SSL VPN : quelle solution d’accès à distance est la bonne ?.
Clarifiez le type de profil VPN avant la mise à jour
De nombreuses erreurs ne sont pas causées par le client lui-même, mais par des profils anciens ou incorrects. Avant une mise à jour, il convient de documenter quels types de connexions sont distribués :
| Type de profil | Fichier typique | Remarque |
|---|---|---|
| Accès à distance IPsec | .scx ou .tgb | Le profil doit correspondre à la configuration du pare-feu et au groupe d’utilisateurs |
| VPN SSL | .ovpn | Vérifiez le certificat, l’autorisation de l’utilisateur et les paramètres DNS |
| Approvisionnement | .pro | approvisionnement automatique, mais dépendant de la passerelle, du portail et du support client |
Après des modifications apportées au portail VPN, à la passerelle, aux certificats, à Entra SSO, aux groupes d’utilisateurs, aux pools IP ou au DNS, il faut supposer que les profils devront être réimportés ou redistribués. Les anciens profils en circulation sont l’une des causes les plus courantes de problèmes d’accès à distance difficiles à comprendre.
Configurer Sophos Connect sur Sophos Firewall convient à la configuration de base IPsec côté pare-feu. Pour SSL VPN, Configurer l’accès à distance VPN SSL de Sophos Firewall est le point de départ le plus approprié.
Préparez correctement la mise à jour
Une mise à jour contrôlée de Sophos Connect ne se résume pas au nouveau programme d’installation.
Vérifiez avant le déploiement :
- Quelle version de Sophos Connect est actuellement installée ?
- Quels systèmes d’exploitation sont concernés ?
- Les protocoles IPsec, SSL VPN ou les deux sont-ils utilisés ?
- Les fichiers de provisionnement
.prosont-ils utilisés ? - Existe-t-il Entra SSO, RADIUS, AD ou des utilisateurs locaux ?
- Le MFA est-il actif et comment le client se comporte-t-il lors des reconnexions ?
- Existe-t-il des utilisateurs connus avec des caractères spéciaux dans leurs noms d’utilisateur, mots de passe ou certificats ?
- Les anciens profils circulent-ils encore ?
- Existe-t-il un groupe pilote et une voie de repli ?
Pour les clients gérés, la version doit être contrôlée via la distribution normale du logiciel. Les mises à jour manuelles individuelles par les utilisateurs n’ont de sens que si le processus d’assistance est préparé à cet effet.
Débit recommandé
1. Enregistrez l’état actuel
Vous devez d’abord enregistrer les versions client existantes. Dans les petits environnements, une vérification manuelle sur quelques appareils suffit souvent. Dans les environnements plus grands, la distribution de logiciels ou la gestion des points de terminaison doivent évaluer les versions installées.
Documenter en plus :
- connexion utilisée par groupe d’utilisateurs -VPN IPsec ou SSL
- Source du profil : export de pare-feu, portail VPN ou fichier de provisionnement
- Authentification : locale, AD, RADIUS, Entra ID SSO
- Comportement MFA
- des cas particuliers bien connus comme Windows ARM ou Apple Silicon
2. Définir le groupe de test
Le groupe de test ne doit pas être uniquement composé d’administrateurs informatiques. Il est logique d’avoir un à trois utilisateurs normaux avec un profil d’accès à distance typique et au moins un appareil par plate-forme utilisé de manière productive.
Teste au moins :
- Windows 10 ou 11 avec profil standard
- Windows ARM, si disponible
- macOS avec IPsec, si disponible
- macOS avec VPN SSL si disponible
- Entra SSO si utilisé
- Reconnexion OTP/MFA si utilisé
3. Mettre à jour le client
Installez le dernier programme d’installation à partir de la source partagée. Dans de nombreux environnements SFOS, Sophos Connect est déployé via des mises à jour de modèles de pare-feu ou obtenu à partir de la page de téléchargement de Sophos. Ce qui est crucial, c’est qu’il soit clair en interne quelle version a été publiée.
Après l’installation :
- Ouvrez Sophos Connect.
- Vérifiez la version.
- Afficher la connexion existante.
- Testez la connexion.
- En cas de modifications de profil ou de SSO, réimportez la connexion.
4. Réimporter la connexion si nécessaire
Une mise à jour client à elle seule ne met pas automatiquement à jour tous les profils VPN. Si la configuration du pare-feu, la passerelle, le DNS, les certificats, le SSO ou le fichier de provisionnement ont changé, la connexion doit être volontairement réimportée. Avec macOS, cela est particulièrement important si l’option de sauvegarde des données d’accès pour SSL VPN doit être utilisée après une mise à jour. Sophos note pour Sophos Connect 2.0 MR1 que le fichier de configuration doit être réimporté après la mise à niveau pour utiliser cette option.
5. Valider après mise à jour
Un état de connexion vert ne suffit pas. Après la mise à jour, vous devez vérifier si l’accès à distance fonctionne réellement comme prévu.
Liste de contrôle :
- La connexion est en cours d’établissement.
- MFA ou SSO est interrogé comme prévu.
- Le client obtient la bonne adresse IP VPN.
- Les noms DNS internes sont résolus.
- Les systèmes internes centraux sont accessibles.
- La règle de pare-feu dans la zone
VPNest activée dans la visionneuse de journaux. - Split Tunnel ou Full Tunnel se comporte comme indiqué.
- La reconnexion fonctionne après un changement de réseau.
- La déconnexion et la reconnexion fonctionnent.
- Le Helpdesk sait quelle nouvelle version a été publiée.
Si la connexion est établie mais qu’aucun trafic ne circule, le client n’en est souvent pas la cause. Ensuite, Dépannage du VPN IPsec du pare-feu Sophos et Testez les règles de pare-feu avec Log Viewer, Policy Test et Packet Capture vous aideront.
Erreurs typiques après les mises à jour
Sophos Connect ne démarre pas automatiquement
Sophos Connect 2.5 MR1 résout un problème de démarrage automatique pour les utilisateurs Windows supplémentaires lorsque le client a été installé par un autre utilisateur. Si de tels cas se produisent, vous devez d’abord vérifier si la version actuelle est réellement installée et comment la distribution du logiciel installe le client.
Le statut SSO est incorrect après une interruption d’Internet
Dans les environnements Entra SSO, une interruption d’Internet peut entraîner des affichages d’état irritants. Sophos Connect 2.5 MR1 inclut un correctif pour les utilisateurs SSO. Vous devez également vérifier si le pare-feu fonctionne sur une version SFOS appropriée et si la configuration SSO est correctement définie sous Authentification > Services.
OTP est interrogé différemment lors de la reconnexion
Si les utilisateurs travaillent avec MFA ou OTP classique, le comportement de reconnexion doit être testé après une mise à jour. Sophos Connect 2.5 MR1 corrige une différence de vérification de connexion entre IPsec et SSL VPN pour les utilisateurs d’informations d’identification avec OTP.
Pour la planification générale de Sophos Firewall MFA, Activer MFA for Sophos Firewall WebAdmin, le portail VPN et l’accès à distance convient.
Le VPN SSL avec le fichier de provisionnement ne se connecte pas
Un correctif est inclus pour la version 2.5 MR1 pour les utilisateurs SSO qui n’ont pas pu se connecter au VPN SSL et au fichier de provisionnement lorsque les certificats contenaient des caractères spéciaux. Dans de tels cas, vous devez non seulement mettre à jour le client, mais également vérifier le nom du certificat, l’importation du profil et le fichier de provisionnement.
Les noms DNS internes ne fonctionnent pas sur macOS
Pour macOS et SSL VPN, la version doit être vérifiée particulièrement attentivement. Sophos Connect 2.0 MR1 résout un problème où les paramètres DNS pour les connexions VPN SSL n’étaient pas appliqués, ce qui entraînait la non résolution des noms de domaine complets internes.
Si DNS ne fonctionne toujours pas après la mise à jour, vous devez vérifier les serveurs DNS, les domaines de recherche, les règles de pare-feu et la configuration .ovpn réellement importée.
Recommandation opérationnelle
Sophos Connect doit être traité comme tout autre logiciel client lié à la sécurité : avec suivi des versions, groupe pilote, déploiement documenté et chemin de support.
Ces règles ont fait leurs preuves dans la pratique :
- Définir une version cible publiée.
- Supprimez les anciens packages d’installation des dossiers de téléchargement internes.
- Versionnez les profils VPN ou nommez-les clairement.
- Rééquilibrage de force après changements de profil.
- Testez Windows, macOS, SSO et OTP séparément.
- Documenter les erreurs connues et la version cible dans le helpdesk.
- Vérifiez l’état du client après des mises à jour majeures du pare-feu.
Il est important de séparer le problème du client et le problème du pare-feu. La mise à jour du client Sophos Connect ne résout pas les règles de pare-feu manquantes, les pools VPN incorrects, les certificats expirés ou les routes de retour interrompues. C’est pourquoi la vérification inclut toujours un aperçu de la visionneuse de journaux, de la capture des paquets et des règles d’accès à distance concernées.
Liste de contrôle
Avant la mise à jour- Versions Sophos Connect installées enregistrées.
- Systèmes d’exploitation pris en charge vérifiés.
- IPsec, SSL VPN et profils d’approvisionnement documentés.
- Entra SSO, RADIUS, AD ou authentification locale vérifiée.
- Comportement MFA/OTP connu.
- Groupe pilote défini.
- Chemin vers la rechute documenté.
Pendant la mise à jour
- Client installé à partir d’une source partagée.
- Version vérifiée après installation.
- Connexion réimportée si le profil ou le SSO est affecté.
- Windows et macOS testés séparément.
- Reconnexion et changement de réseau testés.
Après la mise à jour
- DNS, cibles internes et correspondance des règles de pare-feu vérifiées.
- Helpdesk informé de la version cible et des modifications connues.
- Anciens profils et packages d’installation supprimés ou clairement marqués.
- Anomalies documentées à partir de la visionneuse de journaux et des commentaires des utilisateurs.
##FAQ