ZIA管理ポータルで、すべてのリモートユーザーのファイアウォールルールに対応するため、以下の変更を行いました。

• 新しいオプション[Z-Tunnel 1.0 および PAC Road Warriorsのファイアウォールを有効にする]が[管理]>[高度な設定]ページに追加されました。このオプションを有効にすると、Zトンネル1.0トラフィックの送信元IPアンカーのサポートが自動的に有効になります。このオプションは、新しい組織では既定で有効になっていますが、既存の組織では無効になっています。

画像を見る。

• ファイアウォールおよび転送ポリシーの場所基準の下に、リモートユーザーのトラフィック(Z-Tunnel 1.0、Z-Tunnel 2.0、およびPAC)専用の新しいオプション、Road Warriorが追加されています。

画像を見る。

詳しくは、高度な設定についてを参照してください。

SaaS Security APIでは、以下の機能拡張が可能です。

SaaSアプリケーションのテナントに関する更新情報

SaaS アプリケーションのテナントとして Webex Teams を追加することができます。

画像を見る。

詳しくは、 SaaSアプリケーションのテナントを追加する をご覧ください。

SaaS Security API Control Policies の更新& Scan Configuration

コラボレーションアプリケーションであるWebex TeamsのSaaS Security API Controlポリシーとスキャンスケジュールを設定できます。

詳しくは、 SaaS Security API Control Policy の設定 を参照してください。

SaaS Assets Summary Reportの更新について

SaaS Assets Summary ReportでWebex Teams(コラボレーションアプリケーションカテゴリー)を表示できます。

詳しくは、 SaaS Assets Summary Report をご覧ください。

SaaSアセットレポートの更新

SaaS Assets ReportでWebex Teams(コラボレーションアプリケーションカテゴリー)を確認できます。

詳しくは、 Saas Assets Report および SaaS Assets Report をご覧ください。インシデントを含む資産 をご覧ください。

SaaS Security Insights& Insights Log の更新について

Webex Teams(コラボレーションアプリケーションカテゴリー)は、SaaSセキュリティインサイトとインサイトログで確認できます。

詳細については、 SaaS Security Insights および SaaS Security Insights Logs をご覧ください。

SaaSセキュリティ ポスチャー制御では、以下の機能拡張が可能です。

SaaSアプリケーション テナントに関するアップデート

SaaSアプリケーションテナントとしてMicrosoft 365を追加することができます。

画像を見る。

詳細は、SaaSアプリケーション テナントの追加を参照してください。

SaaSセキュリティ ポスチャー制御のポリシーのアップデートおよびレポート

Microsoft 365は、SaaSセキュリティ ポスチャー制御ポリシーおよびSaaSセキュリティポスチャレポートで利用可能なアプリケーションです。

詳細は、SaaSセキュリティポスチャポリシーの設定とSaaSセキュリティポスチャレポートを参照してください。

Shadow IT機能において、以下の機能強化が行われました。

クラウドアプリケーションのリスクプロファイルを追加

ZIA管理ポータル内の([管理]>[リスクプロファイル])クラウドアプリケーションリスクプロファイル機能では、クラウドアプリケーション属性でリスクプロファイルを作成し、クラウドアプリコントロールルールと関連付けることができます。この機能は、クラウドアプリコントロールルールの基準として、きめ細かいクラウドアプリ属性を提供します。

[クラウドアプリコントロールルール]ウィンドウで、[クラウド アプリケーション]または[クラウド アプリケーションリスクプロファイル]フィールドのいずれかを選択できます。

画像を見る。

詳細は、クラウドアプリケーションのリスクプロファイルについてを参照してください。

管理のアップデート

アプリケーションの認可状態(認可済みまたは未認可)は、[クラウドアプリケーション]ページ([管理]>[クラウドアプリケーションのステータス)から確認および編集が可能です。

画像を見る。

詳細は、シャドーITレポートを参照してください。

SaaSセキュリティ レポートのアップデート

[解析]> [SaaSセキュリティ レポート]> [アプリケーション]> [アプリケーション情報]ページから、[アプリケーション ステータスの編集]ボタンをクリックすると、表示するアプリケーションを選択できます。[クラウドアプリケーションのステータス]ページの [クラウドアプリケーションの編集] ウィンドウにリダイレクトされ、そのアプリケーションの認可状態を編集することができます。

画像を見る。

詳細は、クラウドアプリケーションのステータスについてを参照してください。

Google Appのテナント プロファイルの追加ページ(Administration > Tenant Profiles > Add Tenant Profile)に、Allow Consumer Accessフィールドが追加されました。このフィールドは、選択内容に応じてテナント プロファイル内のドメインへのコンシューマーアクセスを許可します。

画像を見る。

詳しくは、テナントプロフィールの追加を参照してください。

ワンクリック機能において、以下の機能拡張を行いました。

SSLインスペクションポリシー用の新しいURLスーパーカテゴリー

Microsoft Office 365のスーパーカテゴリーは、SSLインスペクションポリシーのルールページ(Policy> SSL Inspection> SSL Inspection Policy> Add SSL Inspection Rule)のURLカテゴリーフィールドの下に追加されます。このスーパーカテゴリーは、次のカテゴリーで構成されています：

• MS O365 許可
• MS O365 デフォルト
• MS O365 最適化

画像を見る。

詳細は、 URLカテゴリーについて を参照してください。

クラウドアプリコントロールポリシーにあらかじめ定義されたOffice 365 ワンクリックルール

[高度なポリシー設定]タブで [Microsoft推奨ワンクリックOffice 365設定]を選択すると、以下のカテゴリーについて、[クラウドアプリ制御ポリシー]ページ (ポリシー> URL& クラウドアプリ管理>クラウドアプリ管理ポリシー) で定義済みの Office 365ワンクリックルールが有効になります (ポリシー> URL&クラウドアプリ管理> 高度なポリシー設定)。

• コラボレーション& オンラインミーティング：このカテゴリーの事前定義されたルールは、次のクラウドアプリケーションのトラフィックを許可します。
  • Yammer
  • sharepoint_online
  • Microsoft Teams
  • Microsoft Sway
• 生産性向上とCRMツール：このカテゴリーの事前定義されたルールは、次のクラウドアプリケーションのトラフィックを許可します。
  • Office 365の共通アプリケーション
  • Microsoft Dynamics 365
  • Microsoft Delve
  • Microsoft Power BI
  • Microsoft Planner
• ファイル共有：このカテゴリーの事前定義されたルールは、OneDriveクラウドアプリケーションのトラフィックを許可します。
• ホスティングプロバイダー： このカテゴリーの事前定義されたルールは、Microsoft Azureクラウドアプリケーションのトラフィックを許可します。
• ITサービス： このカテゴリーの事前定義されたルールは、次のクラウドアプリケーションのトラフィックを許可します。
  • Microsoft Azure AD
  • Microsoft Intune
• Webメール： このカテゴリーの事前定義されたルールは、Outlook クラウド アプリケーションのトラフィックを許可します。

詳細は、 Microsoft ワンクリックオプションについて を参照してください。

 クラウドアプリコントロールポリシーに定義されたUCaaSワンクリックルール

[高度なポリシー設定]タブでUCaaSアプリケーション(Zoom、RingCentral、またはLogMeIn)を選択すると、 [コラボレーション& オンラインミーティング]カテゴリーの[クラウドアプリ管理]ページで事前定義のUCaaSワンクリックルールが有効化されます。このルールは、選択した UCaaS アプリケーションのトラフィックを許可します。

詳細は、 URLポリシーの詳細設定の構成 を参照してください。

アクセスコントロール(Webおよびモバイル)機能スコープの管理> ロール管理> 管理者ロールの追加ページで、新しいオプション、Zscaler Client Connector Portalが利用できるようになりました。このオプションを使用すると、管理者用のZscaler Client Connector Portalへのアクセスを有効または無効にすることを選択できます。

画像を見る。

画像を見る。

特定のクラウドアプリケーションやURLをDLPの評価対象から除外できるようになりました([Cloud Apps & URL Exceptions for DLP]リストに追加してください)。

画像を見る。

詳しくは、DLP評価からのクラウドアプリとURLの除外を参照してください。

クラウドアプリ制御のポリシールールに、新しいアクションオプションである[隔離]を追加して作成できるようになりました。あなたの組織がCloud Browser Isolationを使用している場合、既存のActionのAllowとBlockに加え、この新しいオプションが表示されます。Isolateアクションを選択すると、ポリシーフレームワークによって、Cloud Browser Isolation Portalで組織用に作成された隔離プロファイルの1つを選択することができます。定義されたルールにマッチするトラフィックは、選択された隔離プロファイルに従って隔離されます。

Isolateアクションは、Cloud App ControlのDNS Over HTTPS Servicesルールには適用されません。

画像を見る

このアクションを使用するには、まずZscaler Cloud Browser Isolation Portalで組織用の分離プロファイルを作成する必要があります。

詳細については、クラウドアプリコントロールポリシーへのルールの追加を参照してください。

ZIA管理ポータルの[Administration]に新しい[デバイスグループ]ページが追加されました。

• [デバイス]ページには、Zscaler Client Connector(以前のZscaler アプリまたはZ アプリ)を導入している組織内のすべてのデバイスが表示されます。

画像を見る。

詳細は、デバイスについてを参照してください。

• [デバイスグループ]ページには、デバイスの OS タイプに基づいて定義された事前定義グループのリストが表示されます。Zscaler Client Connector(旧ZscalerアプリまたはZ アプリ)がデプロイされているデバイスは、OSタイプに基づいて各グループに分類されます。

画像を見る。

詳細は、デバイスグループについてを参照してください。

IPSコントロールが次の機能強化された旨のページ(ポリシー>IPSコントロール>IPSコントロールとルールの追加)。

• 脅威カテゴリーのフィールドの名前が高度な脅威のカテゴリーに変更されます。
• 高度な脅威のカテゴリーのフィールドの次のカテゴリーは使用できなくなりました。
  • 不審なコンテンツ
  • 疑わしい送信先
  • 高度なセキュリティ

画像を見る。

解析ログの更新

解析ログに次の機能強化が行われた旨のページ。

• フィルターの脅威カテゴリーは、ファイアウォール解析ログで高度な脅威のカテゴリーに名前が変更されました。
• フィルターの高度な脅威のスーパーカテゴリーは、モバイルおよびWeb解析ログで高度な脅威のカテゴリーに名前が変更されました。

画像を見る。

詳細は、IPSコントロールについてを参照してください。

[管理]>[アイデンティティプロキシ設定]>[クラウドアプリケーションの追加/編集]ウィンドウで、クラウドアプリの管理対象デバイスを定義し、その後、管理対象外デバイスからのセッションをブロックまたはブラウザー分離することができるようになりました。ブラウザー分離を選択すると、ユーザーは管理対象外デバイスへのデータを変更またはダウンロードすることはできず、クラウドアプリへの表示のみのアクセスが可能になります。

本機能により、[IdPの追加/編集]ウィンドウおよび[エンドユーザー通知(EUN)]ページが以下のように更新されます。

• [管理]>[認証設定]>[アイデンティティプロバイダー]>[IdPの追加/編集]ウィンドウに、管理対象デバイスを識別するために、IdP設定にマッピングされた信頼属性と信頼属性値を入力できる[デバイス信頼属性]、[デバイス信頼属性値]の2つのフィールドが追加されました。

• [管理]>[エンドユーザー通知]ページの[IdPプロキシ通知]セクションに、[通知テキスト]フィールドが追加され、IdPプロキシ設定に違反したためにユーザーがブロックされたときに表示されるポリシー要求メッセージを入力できるようになりました。

画像を見る。

閉じる

詳細については、ブロック通知の設定]、[クラウドアプリ用Zscaler IDプロキシの設定]および[IDプロバイダーの追加を参照してください。

Sandbox BAUI Reportで、以下の機能拡張を行いました。

• ネットワークパケットの下に、HTTPセクションと比較して、新しいJA3およびJA3ダイジェスト情報を含むHTTPSセクションが追加されました。

画像を見る。

• 新しい[MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)]タイルで[MITRE ATT&CKのテクニック]ページを表示し、どのテクニックがヒットしたかを対応する色分けされた番号で確認できるようにしました。

画像を見る。

適用可能な定義済みDLP辞書について、カスタム高信頼性フレーズを設定することができるようになりました。この機能拡張の一環として、辞書にはデフォルトの高信頼性フレーズもすべて表示されます。

画像を見る。

詳しくは、定義済みDLP辞書の編集を参照してください。

SaaSセキュリティAPI DLPポリシーにおいて、以下の機能強化が行われました。

Zscaler Incident ReceiverとEmail通知に対応

SaaSセキュリティAPI DLP ポリシーが、すべてのアプリケーションタイプで以下の機能をサポートするようになりました。

• Zscaler Incident Receiver
• Email通知

画像を見る。

詳細は、SaaSセキュリティAPI DLPについてを参照してください。

Boxの分類ラベルに対応

Boxのテナント用にSaaSセキュリティAPI DLPポリシーのルールを作成する際に、Boxで定義された分類ラベルを適用することができるようになりました。

画像を見る。

詳細は、SaaSセキュリティAPI DLP ポリシーの設定を参照してください。

ステータスオプションを使用して、デフォルト管理者アカウントを有効または無効にすることができるようになりました。

画像を見る。

クラウドサービスAPI内の管理者とロール管理エンドポイントを使って、アカウントのステータス(無効や有効など)を更新することもできます。

詳細は、管理者についてと ZIA管理者の追加を参照してください。

ZIA管理ポータルのルールラベル機能では、ラベルを作成し、ポリシールールに関連付けることができます。この機能により、組織のポリシーをラベルで論理的にグループ化することができます。

また、クラウドサービスAPI内のURLフィルタリングポリシーリソースも更新されました。 POST および PUT /urlFilteringRules を使用して、 URLフィルタリング ポリシールールのルールラベルを作成することができるようになりました。

画像を見る。

詳しくは、 ルール ラベルについて および API リファレンス を参照してください。

SaaSセキュリティAPIで、以下の機能が利用可能になりました。

このリリース以前に作成したMicrosoft OneDriveまたはSharePointのテナントがある場合、これらの機能を使用するために再認証する必要があります。詳細は、 SaaS アプリケーションテナントについてを参照してください。

SaaSセキュリティアクティビティアラート

SaaSセキュリティアクティビティアラートでは、特定のSaaSアプリケーションアクティビティを追跡し、そのアクティビティを実行したユーザーを表示することができるアラートを設定できるようになりました。ユーザーがアラートをトリガーするアクティビティを実行すると、ZscalerサービスはSaaSセキュリティアクティビティとアラートのレポートにログ記録します。

画像を見る。

詳細は、SaaSセキュリティアクティビティアラートについてを参照してください。

SaaSセキュリティアクティビティとアラートのレポート

[SaaSセキュリティアクティビティとアラートのレポート]では、すべてのユーザーのSaaSアプリケーションアクティビティとSaaSセキュリティアクティビティアラートのトリガーの概要が表示されます。また、各アラートとアクティビティに関する詳細も表示できます。

画像を見る。

詳細は、SaaSセキュリティアラートとアクティビティのレポートを参照してください。

SaaSセキュリティアクティビティに関する新しいログタイプ

NSフィードにSaaSセキュリティアクティビティの新しいログタイプが追加されました。

詳細は、NSフィードにSaaSセキュリティアクティビティの新しいログタイプを追加を参照してください。

NSSフィードの出力用の新しいSaaSセキュリティアクティビティフィールド

SaaSセキュリティアクティビティ用のNSSフィードに以下のWebログのフィールドが追加されました。

• %d{intlogtime}
• %d{inteventtime}
• %d{userid}
• %d{cid}
• %d{tid}
• %d{src_id}
• %d{appid}
• %d{abstime}
• %d{objtype1}
• %d{objcnt1}
• %d{objtype2}
• %d{objcnt2}
• %s{logtime}
• %s{eventtime}
• %s{loc_name}
• %s{username}
• %s{tenant}
• %s{appname}
• %s{objnames1}
• %s{objnames2}

SaaS Security APIにおいて、以下の機能拡張を行いました。

SaaSアプリケーション テナントに関するアップデート

Dropboxテナントを追加するには、ここでDropboxエンタープライズIDを入力する必要があります。

画像を見る。

Salesforceのテナントを追加するには、Salesforceのサンドボックス環境と本番環境のどちらを使用するかを選択する必要があります。サンドボックス環境では、ユーザーに影響を与えることなく変更をテストでき、本番環境での変更はユーザーに対して実行されます。

画像を見る。

詳しくは、SaaSアプリケーションテナントの追加を参照してください。

SaaSセキュリティAPIスキャニングの例外

ファイル共有アプリケーションの場合、新しいスキャン例外タブ([ポリシー]>[SaaSセキュリティAPIコントロール])で、特定のフォルダをSaaSセキュリティAPIコントロールポリシーの対象から除外できるようになりました。

フォルダにスキャン例外を設定すると、Zscalerサービスはそのフォルダ内のファイルを完全に無視します。つまり、そのファイルはSaaS Security API DLPおよびマルウェア検出ポリシーで評価されません。

画像を見る。

詳細については、SaaSセキュリティAPIスキャンの例外の設定を参照してください。

SaaSアセットレポートに新しい列が追加されました。

新しい列[修復アクション]が、[ファイル共有アプリケーション]の下の[SaaSアセットレポート：インシデントを含むアセット]ページに追加されました。

詳しくは、SaaSアセットレポート：インシデントを含むアセットを参照してください。

ログインしようとする管理者の送信元IPアドレスに基づいて、ZIA管理ポータルへのアクセス制限を行うことができるようになりました。

画像を見る。

画像を見る。

画像を見る。

以下のオプションを使用して、Office 365ダッシュボードのウィジェットをドリルダウンすることができるようになりました。

• ログを表示：これは、ウィジェットに関連するログを直接インサイトログページに表示します。ログは、選択したウィジェットの特定のセクションに基づきフィルタリングされます。
• チャットを分析：ウィジェットに関連付けられている傾向グラフをWebインサイトページに直接表示します。

画像を見る。

詳しくは、ダッシュボードについてを参照してください。

画像を見る。

新しいステータスオプションを使用して、以下のタイプのアカウントを有効または無効にすることができるようになりました。

• 管理者
• パートナー管理者
• エグゼクティブインサイトアプリ管理者
• 監査役
• ユーザー

画像を見る。

また、クラウドサービスAPI内のAdmin & Role Managementエンドポイントを使用して、アカウントの状態を制御することもできます。

詳しくは、管理者について][監査役の追加][ユーザーの追加][APIリファレンスを参照してください。

Zscalerは、ZIA管理ポータルの[管理]>[Identityプロキシ設定]ページからSlackクラウドアプリのアイデンティティプロキシ設定に対応できるようになりました。

画像を見る。

詳細は、Identityプロキシ設定についてを参照してください。

あるSAML IDプロバイダー(IdP)から別のSAML IDプロバイダにシームレスに移行できるようになった。新しい IdP を追加すると、"What do you want to do?" ウィンドウが表示され、新しい IdP に移行するかどうかが尋ねられます。その後、IdP を選択し、SAML Portal URL、IdP SAML Certificate、および Vendor を更新することができます。

画像を見る。

詳細については、Migrating to the New SAML IdP を参照してください。

新規SaaSアプリケーション対応

Slackのテナントを設定できるようになりました。

画像を見る。

詳細は、SaaSアプリケーション テナントの追加を参照してください。

SaaSセキュリティAPIポリシーのアップデート

コラボレーションアプリケーションのSaaSセキュリティAPIコントロールポリシーとスキャンスケジュールを設定できるようになりました。

詳細は、SaaSセキュリティAPI管理ポリシーの設定を参照してください。

[SaaSアセットサマリーレポート]のアップデート

SaaSアセットサマリーレポートで、コラボレーションアプリケーションカテゴリーを表示できるようになりました。

詳細は、SaaSアセットサマリーレポートを参照してください。

SaaSアセットレポートのアップデート

SaaSアセットレポートでコラボレーションアプリケーションカテゴリーを表示できるようになりました。

詳細は、SaaSアセットレポートとSaaSアセットレポート：インシデントを持つアセットを参照してください。

SaaSセキュリティ分析および解析ログのアップデート

SaaSセキュリティ分析と解析ログでコラボレーションアプリケーションカテゴリーを表示できるようになりました。

詳細は、 SaaSセキュリティ解析とSaaSセキュリティ解析ログを参照してください。

NSSフィードの新しいアプリケーションカテゴリー

NSSフィードにSaaSセキュリティAPIの新しいアプリケーションカテゴリーが追加されました。SaaSセキュリティkSaaSセキュリティ コラボレーションです。これらのアプリケーションカテゴリーは、Slack(コラボレーション)に対応しています。

また、SaaSセキュリティAPIログフィルターには、コラボレーションのタブが新たに追加されました。

詳細は、SaaSセキュリティログのNSSフィードの追加を参照してください。

NSSフィード出力に新しいSaaSセキュリティのフィールドが追加されました

コラボレーションの下で、NSSフィードに以下のWebログフィールドが追加されました。

• %s{internal_recptnames}
• %s{external_recptnames}
• %s{ointernal_recptnames}
• %s{oexternal_recptnames}
• %s{sharedchannel_hostname}
• %s{osharedchannel_hostname
• %s{sender}
• %s{osender}
• %s{esender}
• %s{channel_name}
• %s{ochannel_name}

詳細は、NSSフィード出力形式：SaaSセキュリティログを参照してください。

Zscalerの統合は、Microsoft Defender for Endpoint APIを活用し、Cloud Sandboxで検出されたマルウェアのエンドポイント検出と対応(EDR)に関する可視性を提供します。統合が設定されると、ZscalerサービスはMicrosoft Defender for Endpoint APIを呼び出し、悪意のあるファイルにさらされたエンドポイントに関する情報を要求します。Microsoft Defender for Endpointは、新しいファイルシグネチャを使用して、組織のネットワーク全体で侵害されたポイントを検出します。

Sandboxのログとレポートで、影響を受けるエンドポイントに関する情報を確認できます。また、ZIA管理ポータルから、エンドポイントの分離、自動調査および修復(AIR)の開始、悪意のあるファイルの実行の停止を行うことができます。Microsoft Defender for Endpointポータルにアクセスして、更なる調査と修復を行うことができます。これらの自動化されたワークフローにより、脅威の滞留時間や修復時間を短縮することができます。

画像を見る。

詳しくは、パートナー統合についてを参照してください。

SaaSセキュリティAPIにおいて、以下の機能拡張を行いました。

お客様の組織でAmazon S3を有効にするには、Zscalerアカウントチームにお問い合わせください。

新規SaaSアプリケーションのサポート

Microsoft TeamsとAmazon S3のテナントを設定できるようになりました。

画像を見る。

詳しくは、SaaSアプリケーション テナントの追加を参照してください。

SaaSセキュリティAPIコントロールポリシーとスキャン構成のアップデート

SaaSセキュリティAPI管理ポリシーとスキャンスケジュールを、パブリック クラウド ストレージアプリケーション用に設定できるようになりました。また、コラボレーションアプリケーションであるMicrosoft Teamsのポリシーとスキャンスケジュールを設定することができます。

詳しくは、SaaSセキュリティAPI管理ポリシーの設定を参照してください。

SaaSアセットサマリーレポートのアップデート

SaaSアセットサマリーレポートで、Microsoft Teams(コラボレーションアプリケーションカテゴリー)およびAmazon S3(パブリック クラウド ストレージアプリケーションカテゴリー)を表示できるようになりました。

詳しくは、SaaSアセットサマリーレポートを参照してください。

SaaSアセットレポートのアップデート

SaaSアセットレポートで、Microsoft Teams(コラボレーションアプリケーションカテゴリー)およびAmazon S3(パブリック クラウド ストレージアプリケーションカテゴリー)を表示できるようになりました。

詳しくは、SaaSアセットレポートとSaaSアセットレポート：インシデントを含むアセットを参照してください。

SaaSセキュリティ分析と解析ログのアップデート

SaaSセキュリティ分析と解析ログで、Microsoft Teams(コラボレーションアプリケーションカテゴリー)およびAmazon S3(パブリック クラウド ストレージアプリケーションカテゴリー)を表示できるようになりました。

詳しくは、SaaSセキュリティ分析とSaaSセキュリティ解析ログを参照してください。

NSSフィードの新しいアプリケーションカテゴリー

SaaSセキュリティのNSSフィードAPIに、新たにパブリック クラウド ストレージアプリケーションカテゴリーが追加されました。パブリック クラウド ストレージは、Amazon S3のサポートを提供します。また、SaaSセキュリティ コラボレーションアプリケーションカテゴリーでMicrosoft Teamsもサポートされます。

詳しくは、SaaSセキュリティログのNSSフィードの追加を参照してください。

NSSフィード出力の新しいSaaSセキュリティフィールド

パブリック クラウド ストレージのNSSフィードに以下のWebログフィールドが追加されました。

• %d{bucketid}
• %s{bucketname}
• %s{bucketowner}
• %s{collabnames}
• %s{collabscope}
• %s{ebucketname}
• %s{ebucketowner}
• %s{ecollabname}
• %s{efilename}
• %s{efilesource}
• %s{efullurl}
• %d{ehostname}
• %s{eowner}
• %d{epochlastmodtime}
• %s{fileid}
• %s{filemd5}
• %s{filename}
• %d{filesize}
• %s{filesource}
• %s{filetypecategory}
• %s{filetypename}
• %s{fullurl}
• %s{hostname}

詳しくは、NSSフィード出力形式：SaaSセキュリティログを参照してください。

SaaS Security Posture Controlにおいて、以下の機能強化が行われました。

新規SaaSアプリケーションのサポート

Google Workspaceのテナントを設定できるようになりました。

画像を見る。

詳しくは、SaaSアプリケーション テナントの追加を参照してください。

SaaSセキュリティポスチャ制御のポリシーのアップデートおよびレポート

SaaS Security Posture ControlポリシーとSaaS Security Posture Reportのアプリケーションとして、Google WorkspaceとGitHubが利用可能になりました。

詳細については、SaaSセキュリティポスチャポリシーの設定とSaaSセキュリティポスチャレポートを参照してください。

Zscalerは、ZIA Admin Portalの[管理] > [Identityプロキシ設定]ページからServiceNOWクラウドアプリのIdentityプロキシの設定をサポートするようになりました。

画像を参照してください。

詳しくは、[Identityプロキシ設定について]を参照してください。

画像を見る。

[バックアップと復元]機能について、以下のアップデートを行いました。

• 復元ポイントを[ゴールデン復元ポイント]としてマークすることができるようになりました。
• 新しい[バックアップ設定]タブで、復元ポイントの自動作成のスケジュールを設定できるようになりました。

画像を見る。

• この機能を拡張し、さらなる設定を追加しました。
  • 設定一覧を見る。
    • 管理者設定
      • 管理者
      • 管理者のマネジメント設定
      • 監査役
    • 認可
      • 認証ブリッジ
      • 認証プロファイル
      • アイデンティティプロバイダ
    • 専用のプロキシ ポート
    • ロケーション管理
      • ロケーション
      • ロケーション グループ
    • Nanologストリーミングサービス
      • NSSサーバー
      • NSSフィード
    • パートナー統合
      • Azure Virtual WAN
      • Carbon Black
      • CrowdStrike
      • Microsoft Cloud App Security
      • SD-WAN
    • プロビジョニングIP
    • テナント プロファイル
    • VPN資格情報

    閉じる
• これで、バックアップされているポリシーとともに、すべての構成設定が表示されるようになりました。

画像を見る。

詳しくは、バックアップと復元についてを参照してください。

クラウドNSSは、Webやファイアウォール用のNSS VMを展開することなく、ZIAのログを直接クラウドベースのSIEMに瞬時にストリームすることが可能です。クラウドNSSフィードは、クラウド間のログストリーミングを可能にします。

自動的にクラウドNSSに割り当てられるクラウドNSSフィードを設定することができます。また、クラウドNSSフィードを使用して、クラウドベースのSIEM経由のSIEM接続を設定することができます。

画像を見る

詳細は、クラウドNSSフィードについてを参照してください。

次の機能強化がクラウドサンドボックスで利用可能になりました。

Sandboxアクティビティレポートの機能強化

Sandboxアクティビティレポートに対して次の操作を実行できるようになりました。

• レポートを印刷します。
• レポートをPDFまたはJSONファイルとしてエクスポートします。
• 毎週、特定の受信者にレポートをメールで配信するようスケジュール設定します。

画像を見る。

詳しくは、Sandboxアクティビティレポートについてを参照してください。

Sandboxファイルで検出された悪意のあるレポートの機能強化

これで、[Sandboxの悪意のあるファイル検出]レポートに対して次の操作を実行できます。

• レポートを印刷します。
• レポートをPDFまたはCSVファイルとして書き出すことができます。
• 毎週、特定の受信者にレポートをメールで配信するようスケジュール設定します。

画像を見る。

詳しくは、Sandboxの悪意のあるファイル検出レポートについてを参照してください。

新たに対応したファイル形式

サンドボックスポリシールールを追加するときに、次のファイルタイプをサポートするようになりました。

• Visual Basic Script (.vbs)
• Windows PowerShell Script (.ps1)
• HTML Application (.hta)

詳しくは、Sandboxポリシーの設定を参照してください。

DNS Filtering Ruleの作成時に、プロトコルの種類としてUDP、TCP、DNS over HTTPSを選択できるようになりました。

また、DNS Insightsでは、ログをプロトコルタイプでフィルタリングできるようになりました。さらに、ダッシュボード> DNS Overviewの新しいDNSプロトコル配布ウィジェットでは、どのプロトコルが使用中で、どのルールに関連しているかが表示されます。

画像を見る。

詳しくは、DNSコントロールポリシーの設定とダッシュボードについてを参照してください。

ZIAとCloud Browser Isolationの連携が強化され、ユーザー体験と管理ワークフローが改善されました。ZIAですでに認証されている、またはデバイス上でZscaler Client Connectorが動作している場合、ユーザーは隔離セッションに入る際に認証を要求されなくなりました。

管理者は、新しいアクションオプション[隔離]でURLフィルタリングポリシールールを作成することができます。あなたの組織がCloud Browser Isolationを使用している場合、既存のBlock、Caution、AllowのActionに加え、この新しいオプションが表示されます。Isolateアクションが選択されると、ポリシーフレームワークは、Cloud Browser Isolationポータルで組織用に作成された隔離プロファイルのうちの1つを選択することができるようにします。定義されたルールに一致するトラフィックは、選択された隔離プロファイルに従って隔離されます。

画像を見る。

このアクションを使用するには、まずZscaler Cloud Browser Isolation Portalで組織用の隔離プロファイルを作成する必要があります。

ZIAWebログは、ユーザーの元の場所やIPアドレスのコンテキストを失うことなく、孤立したトラフィックをよりよく表現するように強化されます。

詳細については、クラウド ブラウザー分離のための ZIA の構成]をご覧ください。

[DNSアプリケーション]タブの[プロトコル]フィールドを追加しました([ポリシー]>[DNS制御]>[DNSフィルタリングルールの追加])。DNS制御ポリシー規則を使用して、次のプロトコルの種類を制御できるようになりました。

• DNS over HTTPS
• TCP
• UDP

画像を見る。

詳しくは、DNSコントロールポリシーの設定を参照してください。

[対話型レポート]ページが、ユーザーエクスペリエンス向上のためにリニューアルされました。新しいレイアウト、検索バーによるレポートの迅速な検索などが含まれています。

画像を見る。

詳しくは、対話型レポートについてを参照してください。

ZscalerがホストするPACファイルの検証状況を、[管理]>[PACファイル]のページから確認できるようになりました。

検証ステータスは次のとおりです。

• 検証済み：PACファイルはZIA管理ポータルで検証されています。
• エラー許容：PACファイルにエラーがあり、ZIA管理ポータルでの検証時に管理者がエラーありとして受理し保存したことを示します。
• 未検証(---)：PACファイルが未検証であることを示します。

画像を見る。

Zscalerのサービスをアップグレードすると、Zscalerには以前の検証状況の記録がないため、検証するまでは既存のすべてのカスタムPACファイルは[未検証]ステータスになります。そのファイルの[検証]ボタンを有効にするには、ファイルの内容を編集する必要があります。

詳しくは、PACファイルについてを参照してください。

画像を見る。

ZIA管理ポータルまたはクラウドサービスAPIを使用して、Zscalerサービスに接続するための静的IPアドレスまたはGREトンネルをセルフプロビジョニングできるようになりました。

• GREトンネルを自己プロビジョニングするには、[管理]>[静的IP＆GREトンネル]>[GREトンネル]ページから[GREトンネルの追加設定]ウィザードを使用することができます。

画像を見る。

• 静的IPアドレスを自己プロビジョニングするには[管理]>[静的IP＆GREトンネル]>[静的IP]ページで[静的IP構成の追加]ウィザードを使用します。

画像を見る。

詳しくは、GREトンネルについてと静的IPについてを参照してください。

シャドウITレポートは、使用されている認可および非認可のアプリケーションの数とそのユーザー数を示しています。また、アプリケーションのカテゴリー、リスクインデックス、それぞれのアプリケーションの認証も表示されます。

画像を見る。

詳しくは、シャドウITレポートを参照してください。

再設計されたSSLインスペクションポリシーに関する特集動画を見る

ZIAサービスの導入と継続的な運用を簡素化するための継続的な取り組みの一環として、ZscalerはSSLインスペクションポリシーエンジンを再設計しました。新しい設計では、既存のさまざまなSSLインスペクション設定をすべて、ソースと宛先に基づく多数の基準、アクション、サブアクションを備えたルールベースのエンジンに一元化しています。これにより、プライバシー要件、ユーザーグループ、OSプラットフォームの種類など、特定のニーズに基づいて組織のSSLインスペクションポリシーを非常に柔軟に実装できるようになりました。

以下のセクションでは、新しいSSLインスペクション設定と非推奨のSSLインスペクション設定、および非推奨のSSLインスペクション設定との後方互換性のためにZIA管理ポータルに実装された自動移行ルールについて説明します。

• 新着情報

  ZIA管理ポータルを使用して、SSLトラフィックの送信元と送信先に関連する多くの基準でSSLスキャンを実行する、きめ細かいSSLポリシーを定義することができるようになりました。これにより、SSLインスペクションの導入と継続的な運用を簡素化し、コンプライアンスと運用環境の要件に対応するため、ポリシーをより適切に調整することができます。

  • 従来のSSLインスペクションの制御はすべて、柔軟なルールベースのエンジンに置き換えられています。
  • ポリシーエンジンは12の条件をサポートし、ルールをトップダウンの順序で評価し、最初の一致で停止します。
  • 各ポリシーアクションは、証明書の有効性と失効状態の確保、TLSの最小バージョンの実施など、さまざまな特殊設定に対応しています。
  • ルール内のすべての基準は、ANDグループの中にネストされた複数のORグループに編成されています。基準間の論理演算子は、管理者ポータルに表示されます。[---]と表示されている基準に対して値を選択しない場合、ルールではポリシー評価のためにその基準が無視されます。たとえば、[ユーザー]の基準に対して値を選択しない場合、ルールはすべてのユーザーに対して一致します。特定のユーザーの値を選択した場合、ルールは指定されたユーザーからのトラフィックにのみ一致します。

  画像を見る。

  

  閉じる

  • 新しいWebログフィールドである[SSLポリシーの理由]が、[解析]>[Web解析]>[ログ]およびNSSで利用できるようになりました。このフィールドは、以下のSSLインスペクションポリシーアクションをキャプチャーします。
    • ブロック
    • 検査済み
    • N/A
    • Office365バイパスが理由で検証されていません
    • SSLポリシーが理由で検証されていません
    • UCaaSバイパスが理由で検証されていません
    • Zscalerのベストプラクティスが理由で検証されていません
    • SSLインスペクションがゲートウェイでオフになっているので検証されませんでした
  • [ポリシーアクション]weblogフィールドには、次の値が含まれるようになりました。
    • 低いTLSバージョンが理由でアクセスが拒否されました
    • ポリシーによりSSL接続を確立できません
    • サーバ証明書が不正なため、アクセスが拒否されました

  閉じる
• 非推奨のSSL設定

  これまでのSSLインスペクション設定はすべて削除されました。

  • ZIA管理ポータルの[管理]>[ロケーション管理]ページから、次の設定が削除されました。

  • SSLインスペクションを有効にする：個々のロケーションまたはサブロケーションのSSLインスペクションを有効にするのは、グローバルなSSLインスペクション設定でした。SSLインスペクションルール内の条件として、ロケーション、サブロケーション、またはロケーション グループを選択できるようになりました。

  画像を見る。

  

  閉じる

  • Zscaler Client ConnectorのSSL設定を強制：Zscaler Client Connectorのトラフィックが既知のロケーションから転送された場合、ロケーションのSSLポリシー設定をZscaler Client Connectorの設定で上書きするために使用されました。

  画像を見る。

  

  閉じる

  これらの設定を行う必要がある場合は、新しいSSLインスペクションポリシーページで適切な基準を使用するようにする必要があります。

  • ZIA管理ポータルの[ポリシー]>[SSLインスペクション]ページから、以下の設定が削除されました。

  • SSLインスペクションが無効になっている場合は、これらのサイトへのHTTPSをブロックします：この設定では、ロケーションまたはZscaler Client ConnectorでSSLインスペクションが無効になっているときに、指定されたURLカテゴリーまたはホストがブロックされました。この設定は、SSL接続時のユーザーコンテキストがないために、ZscalerサービスがURLフィルタリングまたはクラウドアプリコントロールポリシーをバイパスする必要がある場合に使用されました。これは、組織がZscaler Client Connector、代理IP、認証されていないトラフィックのポリシーなどの先進認証設定を使用していない場合にのみ必要でした。これらのURLカテゴリーとリンク先グループの条件に割り当てられたブロックルールを設定できるようになりました。
  • ブロックされたトラフィックの通知を表示：これはテナントのグローバル設定で、SSLインスペクションの対象とならないときにブロックされたトラフィックのエンド ユーザー通知を表示するかどうかを決定しました。これで、[検査しない]または[SSLをブロック]インスペクションルール内で通知の表示設定を設定できるようになりました。

  画像を見る。

  

  閉じる

  • [SSLインスペクションのポリシー]セクションの次の設定：これらは、SSLインスペクションおよびその他のポリシーから検査または除外する宛先トラフィックを設定するためのテナントのグローバル設定でした。指定した宛先のトラフィックおよび他の多くの基準の検査を検査または除外する詳細なルールを設定できるようになりました。
    • これらのURLカテゴリーのセッションを検査する
    • これらのURLカテゴリーを検査およびその他のポリシーから除外する
    • これらのホストを検査およびその他のポリシーから除外する
    • これらのアプリケーションを検査およびその他のポリシーから除外する

  画像を見る。

  

  閉じる

  • 復号化不可能なトラフィックをブロックする：これは、非標準の暗号スイートなどの復号化できないトラフィックをブロックするテナントのグローバル設定でした。SSLインスペクションルール内でこのタイプのトラフィックを処理する方法を設定できるようになりました。

  画像を見る。

  

  閉じる

  • [信頼できないサーバ証明書]および[失効したサーバ証明書を持つサイトをブロック]：これは、SSLインスペクションの対象となるトラフィックについて、信頼できない証明書または取り消された証明書をどのように処理するかを決定するためのテナント上のグローバル設定でした。SSLインスペクションルール内で、検査対象トラフィックと非検査対象トラフィックの両方に対して、信頼されていないまたは取り消された証明書の設定を行うことができるようになりました。

  画像を見る。

  

  閉じる

  • Kerberosを使用したリモートユーザーのSSLインスペクションを有効にする：これは、Kerberos認証を使用してリモートユーザートラフィックのSSLインスペクションを有効または無効にするためのテナントのグローバル設定でした。SSLインスペクションルール内でKerberos認証を使用してリモートユーザートラフィックを検査するかどうかを設定できるようになりました。

  画像を見る。

  

  閉じる

  • [Zscaler Client Connectorのポリシー]セクションのすべてのプラットフォーム設定：これらは、特定のZscaler Client ConnectorプラットフォームのSSLインスペクションを有効または無効にするためのテナントのグローバル設定でした。SSLインスペクションルール内でプラットフォームを設定できるようになりました。

  画像を見る。

  

  閉じる

  • [管理]>[プロキシとゲートウェイ]>[プロキシ用ゲートウェイ]>[プロキシ用ゲートウェイの追加]のSSLインスペクション設定は非推奨になりました。この設定では、ロケーションのSSLインスペクション設定をオーバーライドして、サードパーティのプロキシサービスに転送されるトラフィックのSSLインスペクションを無効にするかどうかを決定しました。SSLインスペクションルール内のフォワーディングゲートウェイ基準を使用して、サードパーティのプロキシサービスに転送されたトラフィックのSSLインスペクションを無効にできるようになりました。

  画像を見る。

  

  閉じる

  • [管理]>[高度な設定]の[ZscalerグローバルSSL免除リストを上書きする]設定は非推奨になりました。これは、Zscaler推奨SSL免除リストを無効にするかどうかを決定するテナントのグローバル設定でした。自動生成されたZscaler推奨免除ルールを、ZIA管理ポータルの[SSLインスペクション]>[ポリシー]ページから無効にできるようになりました。

  画像を見る。

  

  閉じる

  • クラウドサービスAPIから、以下のSSLインスペクション設定関連リソースを削除しました。

  • 以下のエンドポイントはサポートされなくなりました。SSLバイパスリストをAPIで管理する必要がある場合、宛先グループまたはカスタムURLカテゴリーを使用する必要があります。
    • GET /sslSettings/exemptedUrls
    • POST /sslSettings/exemptedUrls
  • 以下のロケーション管理のパラメータは、SSLポリシーに影響を与えなくなりました。既存のスクリプトとの後方互換性を維持するため、APIペイロードでは引き続きサポートされていますが、将来的には削除される予定です。
    • sslScanEnabled
    • zappSSLScanEnabled

  閉じる
• 下位互換性

  新しいルールベースのポリシーが以前のポリシー設定と100%後方互換性を持つように、Zscalerは意図した動作を保持するために、お客様の設定に基づいてルール、手動ロケーション グループ、宛先IPおよびFQDNグループのセットを自動的に生成します。生成されるルールの数は、以前使用していた設定に基づき、4～17の範囲になります。

  SSLインスペクションポリシーにも、宛先IPアドレスとFQDNを割り当てられるようになりました。以前のリリースでは、これらをクラウドファイアウォールポリシーにのみ割り当てることができました。

  以下のセクションを十分に確認し、変更点を理解してください。

  • ルールの順番

    自動生成されるルールは、次の順序で作成されます。

    1. 特別なルールZscaler推奨除外ルール、O365テナント制限検査ルール、O365/UCaaSワンクリックルール
    2. SSLインスペクションが無効になっている場合のブロックルール
    3. 組織の免除規則
    4. 検査ルール
    5. 既定の除外ルール

    閉じる
  • 自動生成されるエンティティ

    ZIAのサービスアップグレード後に自動生成されるSSLインスペクションルールには、次のグループエンティティが自動的に作成され、割り当てられます。

    • ロケーション グループ

      グループ名	説明
      Locations_SSL	以下の設定のあるロケーションを含みます。 SSLインスペクションを有効化：有効 移行シナリオ1、2、3、4に適用されます。
      Locations_NoSSL	以下の設定のあるすべてのロケーションを含みます。 SSLインスペクションを有効化：無効 移行シナリオ1、2、3、4に適用されます。
      Locations_CltCon_Enforce	以下の設定のあるすべてのロケーションを含みます。 Zscaler Client ConnectorのSSL設定を強制：有効 移行シナリオ3、4にも適用されます。
      Locations_SSL_CltCon_Enforce	以下の設定のあるすべてのロケーションを含みます。 SSLインスペクションを有効化：有効 Zscaler Client ConnectorのSSL設定を強制：有効 移行シナリオ3にも適用されます。
      Locations_SSL_CltCon_NoEnforce	以下の設定のあるすべてのロケーションを含みます。 SSLインスペクションを有効化：有効 Zscaler Client ConnectorのSSL設定を強制：無効 移行シナリオ3、4にも適用されます。
      Locations_NoSSL_CltCon_Enforce	以下の設定のあるすべてのロケーションを含みます。 SSLインスペクションを有効化：無効 Zscaler Client ConnectorのSSL設定を強制：有効 移行シナリオ2にも適用されます。
      Locations_NoSSL_CltCon_NoEnforce	以下の設定のあるすべてのロケーションを含みます。 SSLインスペクションを有効化：無効 Zscaler Client ConnectorのSSL設定を強制：無効 移行シナリオ2、3、4に適用されます。

      閉じる
    • 宛先グループ

      グループ名	説明
      NoSSL_Blocked_IPs	IPアドレス宛先グループには、[SSLインスペクションが無効になっている場合、これらのサイトへのHTTPSをブロックする]で設定されたすべてのIPアドレスが含まれます。
      NoSSL_Blocked_Domains	ドメイン宛先グループには、[SSLインスペクションが無効になっている場合、これらのサイトへのHTTPSをブロックする]で設定されたすべてのワイルドカードドメインとFQDNが含まれます。
      NoSSL_NoOtherPolicies_IPs	IPアドレス宛先グループには、[これらのホストを検査とその他のポリシーから除外する]で設定されたすべてのIPアドレスが含まれます。
      NoSSL_NoOtherPolicies_Domains	ドメイン宛先グループには、[これらのホストを検査およびその他のポリシーから除外する]で設定されたすべてのワイルドカードドメインとFQDNが含まれます。

      閉じる

    閉じる
  • アクション設定

    以下のアクション設定は、以前のグローバルSSLインスペクション設定に基づき、自動生成されたルールにあらかじめ設定されています。

    • 検査アクションの場合：
      • [信頼できないサーバ証明書][OCSP失効チェック][エンドユーザーの通知を表示][復号化できないトラフィックをブロック]：以前の設定から引き継がれたもの
      • クライアントとサーバの最小TLSバージョン：TLS 1.0
    • [検査および評価しない]アクションの場合：
      • [信頼できないサーバ証明書][OCSP失効チェック]：無効
      • エンドユーザーの通知を表示：以前の設定から引き継がれたもの
      • 最小TLSバージョン：TLS 1.0
    • [ブロック]アクションの場合：
      • エンドユーザーの通知を表示：以前の設定から引き継がれたもの

    閉じる

  移行シナリオとルール

  ここでは、ZIAのサービスアップグレード前に存在したさまざまなSSLインスペクションの設定シナリオに対して自動生成される移行ルールのリストについて説明します。

  このセクションで提供される規則テーブルで使用される用語の説明を次に示します。

  • CltCon：Zscaler Client Connector
  • O365-TR：Office 365テナント制限
  • RWKRB：Kerberos認証のリモートユーザー向けSSLインスペクション
  • ブロックされたカテゴリー：[SSLインスペクションが無効になっている場合、これらのサイトへのHTTPSをブロックする]で設定されたURLカテゴリー
  • バイパスされたURLカテゴリー：[これらのURLカテゴリーを検査およびその他のポリシーから除外する]で設定されたURLカテゴリー
  • 包含リストカテゴリー：[これらのURLカテゴリーのセッションの検査]で設定されたURLカテゴリー
  • バイパスされたアプリケーション：[これらのアプリケーションを検査およびその他のポリシーから除外する]で設定されたクラウド アプリケーション

  移行シナリオ1：すべてのロケーションでZscaler Client Connectorを無効化する

  Enforce Zscaler Client Connectorがすべてのロケーションで無効になっていました。

  • ルール1：Zscaler推奨の免責事項

    SSLインスペクションができない既知の宛先を自動的に除外するための事前定義されたルールです。このルールは、以前の設定で[ZscalerグローバルSSL免除をオーバーライドする]の設定が有効になっていた場合、無効になります。

    ソース基準	宛先基準	アクション
    すべて	URLカテゴリー： 推奨されるSSLの除外	検査とバイパスをしない

    閉じる
  • ルール2：O365-TRロケーション

    ロケーショントラフィックに対してOffice 365テナント制限を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール3：O365-TRのリモートユーザー

    リモートユーザーのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナント プロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： ロードウォリアー Zscaler Client Connector： SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール4：Office 365 One Click

    Microsoft推奨および従来のOffice 365 One Click設定によって制御される定義済みのルール。

    ソース基準	宛先基準	アクション
    すべて	クラウド アプリケーション： すべてのO365アプリケーション【適用可能、マイクロソフト推奨のOne Clickが有効な場合のみ】 URLカテゴリー： O365内部カテゴリー【マイクロソフト推奨またはレガシーOne Clickのいずれかが有効な場合、適用可能】	検査とバイパスをしない

    閉じる
  • ルール5：UCaaS One Click

    定義済みのルールで、UCaaS One Click設定によって制御されます。

    ソース基準	宛先基準	アクション
    すべて	アプリケーションサービス： Zoom、LogMeIn、RingCentral	検査とバイパスをしない

    閉じる
  • ルール6：SSLのないロケーションをブロックする

    SSLインスペクションを無効にしたロケーションからのトラフィックをブロックします。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_NoSSL	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール7：リモートユーザーをブロックする

    リモートユーザートラフィックのブロック：

    • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのものである場合。

    または

    • Kerberos認証の場合。

    ソース基準	宛先基準	アクション
    ロケーション： ロードウォリアー Zscaler Client Connector： SSLが無効なプラットフォーム	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール8：組織のSSLバイパス

    SSLインスペクションやその他のポリシーからホワイトリスト化することができます。

    ソース基準	宛先基準	アクション
    すべて	URLカテゴリー： バイパスするURLカテゴリー 宛先グループ： NoSSL_NoOtherPolicies_IPs、NoSSL_NoOtherPolicies_Domains クラウド アプリケーション： バイパスされたアプリケーション	検査とバイパスをしない

    閉じる
  • ルール9：ロケーションを検査する

    SSLインスペクションが可能なロケーションからのトラフィックを検査します。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール10：リモートユーザーを検査する

    リモートユーザーのトラフィックを検査します。

    • SSLインスペクションが可能なZscaler Client Connectorプラットフォームからの場合

    または

    • Kerberos認証の場合。

    ソース基準	宛先基準	アクション
    ロケーション： ロードウォリアー Zscaler Client Connector： SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール11：デフォルトのSSLインスペクションルール

    デフォルトのSSLインスペクションルールは、最後のルールオーダーを取ります。

    ソース基準	宛先基準	アクション
    ---	---	Do Not Inspect& Evaluate

    閉じる

  移行シナリオ2：SSLインスペクションが無効なロケーションに対してのみ、Zscaler Client Connector Enabledを強制する。

  一部のZscaler Client Connectorプラットフォームで、ロケーションのSSLインスペクション設定が無効から有効に切り替わる。

  • ルール1：Zscaler推奨の免責事項

    SSLインスペクションができない既知の宛先を自動的に除外するための事前定義されたルールです。このルールは、以前の設定で[ZscalerグローバルSSL免除をオーバーライドする]の設定が有効になっていた場合、無効になります。

    ソース基準	宛先基準	アクション
    すべて	URLカテゴリー： 推奨されるSSLの除外	検査とバイパスをしない

    閉じる
  • ルール2O365-TR CltCon on No-SSL Locs

    SSLインスペクションが有効なZscaler Client Connectorプラットフォームからのトラフィックに対して、SSLインスペクションが無効なロケーションで[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_NoSSL_CltCon_NoEnforce Zscaler Client Connector： SSLが有効なプラットフォーム	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール3：O365-TRのロケーション

    ロケーショントラフィックに対してOffice 365テナント制限を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール4：O365-TRのリモートユーザー

    リモートユーザーのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナント プロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： ロードウォリアー Zscaler Client Connector： SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール5：Office 365One Click

    Microsoft推奨および従来のOffice 365 One Click設定によって制御される定義済みのルール。

    ソース基準	宛先基準	アクション
    すべて	クラウド アプリケーション： すべてのO365アプリケーション【適用可能、マイクロソフト推奨のOne Clickが有効な場合のみ】 URLカテゴリー： O365内部カテゴリー【マイクロソフト推奨またはレガシーOne Clickのいずれかが有効な場合、適用可能】	検査とバイパスをしない

    閉じる
  • ルール6：UCaaSOne Click

    定義済みのルールで、UCaaS One Click設定によって制御されます。

    ソース基準	宛先基準	アクション
    すべて	アプリケーションサービス： Zoom、LogMeIn、RingCentral	検査とバイパスをしない

    閉じる
  • ルール7：No-SSL LocsのBlk CltCon

    SSLインスペクションが無効なロケーションで、任意のZscaler Client Connectorプラットフォームからのトラフィックをブロックします。

    ソース基準	宛先基準	アクション
    ロケグループ： Locations_NoSSL_CltCon_NoEnforce Zscaler Client Connector： Windows、MacOS、Android、iOS	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール8：NoSSL LocsのBlk NoSSL CltCon

    SSLインスペクションが無効なロケーションでのSSLインスペクションが無効なZscaler Client Connectorプラットフォームからのトラフィックをブロックします。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_NoSSL_CltCon_Enforce Zscaler Client Connector： SSLが無効なプラットフォーム	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール9：No-SSL LocsのBlk Non-CltCon

    SSLインスペクションが無効なロケーションで、Zscaler Client Connector以外のトラフィックをブロックします。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_NoSSL Zscaler Client Connector： Zscaler Client Connectorなし	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール10：リモートユーザーをブロックする

    リモートユーザートラフィックのブロック：

    • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのものである場合。

    または

    • Kerberos認証の場合。

    ソース基準	宛先基準	アクション
    ロケーション： ロードウォリアー Zscaler Client Connector： SSLが無効なプラットフォーム	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール11: SSLバイパス

    SSLインスペクションやその他のポリシーからホワイトリスト化することができます。

    ソース基準	宛先基準	アクション
    すべて	URLカテゴリー： バイパスするURLカテゴリー 宛先グループ： NoSSL_NoOtherPolicies_IPs、NoSSL_NoOtherPolicies_Domains クラウド アプリケーション： バイパスされたアプリケーション	検査とバイパスをしない

    閉じる
  • ルール12：No-SSL LocsでCltConを検査する

    SSLインスペクションが有効なZscaler Client Connectorプラットフォームからのトラフィックを、SSLインスペクションが無効なロケーションで検査します。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_NoSSL_CltCon_Enforce Zscaler Client Connector SSLが有効なプラットフォーム	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール13：Locsを検査する

    SSLインスペクションが可能なロケーションからのトラフィックを検査します。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール14：リモートユーザーを検査する

    次の場合に、リモートユーザートラフィックを検査します。

    • それがSSLインスペクションに対応したZscaler Client Connectorプラットフォームからの場合。

    または

    • それがKerberos認証によるの場合。

    ソース基準	宛先基準	アクション
    ロケーション： ロードウォリアー Zscaler Client Connector： SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール15：デフォルトのSSLインスペクションルール

    デフォルトのSSLインスペクションルールは、最後のルールオーダーを取ります。

    ソース基準	宛先基準	アクション
    ---	---	Do Not Inspect& Evaluate

    閉じる

  移行シナリオ3：SSLインスペクションが有効なロケーションのみZscaler Client Connector Enabledを強制する

  ロケーションSSLインスペクション設定は、一部のZscaler Client Connectorプラットフォームで有効から無効に切り替わります。

  • ルール1：Zscaler推奨の免責事項

    SSLインスペクションができない既知の宛先を自動的に除外するための事前定義されたルールです。このルールは、以前の設定で[ZscalerグローバルSSL免除をオーバーライドする]の設定が有効になっていた場合、無効になります。

    ソース基準	宛先基準	アクション
    すべて	URLカテゴリー： 推奨されるSSLの除外	検査とバイパスをしない

    閉じる
  • ルール2：SSL LocsのO365-TR All CltCon

    Zscaler Client Connectorプラットフォームからのトラフィックに対して、SSLインスペクションが可能なロケーションで[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL_CltCon_NoEnforce Zscaler Client Connector： Windows、MacOS、Android、iOS	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール3：SSL LocsのO365-TR CltCon

    SSLインスペクションが有効なロケーションのSSLインスペクションが有効なZscaler Client Connectorプラットフォームからのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL_CltCon_Enforce Zscaler Client Connector： SSLが有効なプラットフォームのみ	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール4：LocsのO365-TR Non-CltCon

    SSLインスペクションが可能なロケーションからのZscaler Client Connector以外のトラフィックに対して、[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL Zscaler Client Connector： Zscaler Client Connectorなし	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール5：O365-TRのリモートユーザー

    リモートユーザーのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナント プロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： ロードウォリアー Zscaler Client Connector： SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール6．Office 365 One Click

    Microsoft推奨および従来のOffice 365 One Click設定によって制御される定義済みのルール。

    ソース基準	宛先基準	アクション
    すべて	クラウド アプリケーション： すべてのO365アプリケーション【適用可能、マイクロソフト推奨のOne Clickが有効な場合のみ】 URLカテゴリー： O365内部カテゴリー【マイクロソフト推奨またはレガシーOne Clickのいずれかが有効な場合、適用可能】	検査とバイパスをしない

    閉じる
  • ルール7：UCaaS One Click

    定義済みのルールで、UCaaS One Click設定によって制御されます。

    ソース基準	宛先基準	アクション
    すべて	アプリケーションサービス： Zoom、LogMeIn、RingCentral	検査とバイパスをしない

    閉じる
  • ルール8：No-SSL LocsでCltConをブロックする

    SSLインスペクションが無効なロケーションで、任意のZscaler Client Connectorプラットフォームからのトラフィックをブロックします。

    ソース基準	宛先基準	アクション
    ロケグループ： Locations_NoSSL_CltCon_NoEnforce Zscaler Client Connector： Windows、MacOS、Android、iOS	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール9：LocsのNo-SSL CltConをブロックする

    SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのトラフィックをロケーションでブロックします。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_CltCon_Enforce Zscaler Client Connector： SSLが無効なプラットフォーム	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール10：No-SSL Locをブロックする

    SSLインスペクションを無効にしたロケーションからのZscaler Client Connector以外のトラフィックをブロックします。

    ソース基準	宛先基準	アクション
    ロケグループ： Locations_NoSSL Zscaler Client Connector： Zscaler Client Connectorなし	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール11：リモートユーザーをブロックする

    リモートユーザートラフィックのブロック：

    • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのものである場合

    または

    • Kerberos認証でない場合。

    ソース基準	宛先基準	アクション
    ロケーション： ロードウォリアー Zscaler Client Connector： SSLが無効なプラットフォーム	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール12：SSLバイパス

    SSLインスペクションやその他のポリシーからホワイトリスト化することができます。

    ソース基準	宛先基準	アクション
    すべて	URLカテゴリー： バイパスするURLカテゴリー 宛先グループ： NoSSL_NoOtherPolicies_IPs、NoSSL_NoOtherPolicies_Domains クラウド アプリケーション： バイパスされたアプリケーション	検査とバイパスをしない

    閉じる
  • ルール13：SSL LocsですべてのCltConを検査する

    SSLインスペクションが可能なロケーションでのZscaler Client Connectorプラットフォームからのトラフィックを検査します。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL_CltCon_NoEnforce Zscaler Client Connector： Windows、MacOS、Android、iOS	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール14：SSL LocsでCltConを検査する

    SSLインスペクションが可能なロケーションにおいて、特定のZscaler Client Connectorプラットフォームからのトラフィックを検査します。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL_CltCon_Enforce Zscaler Client Connector： SSLが有効なプラットフォームのみ	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール15：LocsでCltCon以外を検査する

    SSLインスペクションが可能なロケーションからのZscaler Client Connector以外のトラフィックを検査します。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL Zscaler Client Connector： Zscaler Client Connectorなし	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール16：リモートユーザーを検査する

    リモートユーザーのトラフィックを検査します。

    • SSLインスペクションが可能なZscaler Client Connectorプラットフォームからのものである場合。

    または

    • Kerberos認証の場合。

    ソース基準	宛先基準	アクション
    ロケーション： ロードウォリアー Zscaler Client Connector： SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール17：デフォルトのSSLインスペクションルール

    デフォルトのSSLインスペクションルールは、最後のルールオーダーを取ります。

    ソース基準	宛先基準	アクション
    ---	---	Do Not Inspect& Evaluate

    閉じる

  移行シナリオ4：すべてのロケーションでZscaler Client Connectorを有効化する

  [Zscaler Client Connectorの適用]は、SSLが無効になっているロケーションとSSLが有効になっているロケーションで有効になっています。ロケーションSSLは、一部のZscaler Client Connectorプラットフォームでは、無効から有効に、または有効から無効に反転されます。

  • ルール1：Zscaler推奨の免責事項

    SSLインスペクションができない既知の宛先を自動的に除外するための事前定義されたルールです。このルールは、以前の設定で[ZscalerグローバルSSL免除をオーバーライドする]の設定が有効になっていた場合、無効になります。

    ソース基準	宛先基準	アクション
    すべて	URLカテゴリー： 推奨されるSSLの除外	検査とバイパスをしない

    閉じる
  • ルール2：SSL LocsのO365-TR All CltCon

    Zscaler Client Connectorプラットフォームからのトラフィックに対して、SSLインスペクションが可能なロケーションで[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL_CltCon_NoEnforce Zscaler Client Connector： Windows、MacOS、Android、iOS	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール3：LocsのO365-TR CltCon

    ロケーションのSSLインスペクションが有効なZscaler Client Connectorプラットフォームからのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_CltCon_Enforce Zscaler Client Connector： SSLが有効なプラットフォームのみ	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール4：LocsのO365-TR Non-CltCon

    SSLインスペクションが可能なロケーションからのZscaler Client Connector以外のトラフィックに対して、[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナントプロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL Zscaler Client Connector： Zscaler Client Connectorなし	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール5：O365-TRのリモートユーザー

    リモートユーザーのトラフィックに対して[Office 365テナント制限]を有効にするための必須ルールです。このルールは、以前の設定でOffice 365テナント プロファイルが存在した場合にのみ作成されます。

    ソース基準	宛先基準	アクション
    ロケーション グループ： ロードウォリアー Zscaler Client Connector： SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム	クラウドアプリケーション： Microsoft Login Services	検査

    閉じる
  • ルール6．Office 365 One Click

    Microsoft推奨および従来のOffice 365 One Click設定によって制御される定義済みのルール。

    ソース基準	宛先基準	アクション
    すべて	クラウド アプリケーション： すべてのO365アプリケーション【適用可能、マイクロソフト推奨のOne Clickが有効な場合のみ】 URLカテゴリー： O365内部カテゴリー【マイクロソフト推奨またはレガシーOne Clickのいずれかが有効な場合、適用可能】	検査とバイパスをしない

    閉じる
  • ルール7：UCaaS One Click

    定義済みのルールで、UCaaS One Click設定によって制御されます。

    ソース基準	宛先基準	アクション
    すべて	アプリケーションサービス： Zoom、LogMeIn、RingCentral	検査とバイパスをしない

    閉じる
  • ルール8：No-SSL LocsでCltConをブロックする

    SSLインスペクションが無効なロケーションで、任意のZscaler Client Connectorプラットフォームからのトラフィックをブロックします。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_NoSSL_CltCon_NoEnforce Zscaler Client Connector： Windows、MacOS、Android、iOS	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール9：LocsのNo-SSL CltConをブロックする

    SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのトラフィックをロケーションでブロックします。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_CltCon_Enforce Zscaler Client Connector： SSLが無効なプラットフォーム	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール10：No-SSL Locをブロックする

    SSLインスペクションを無効にしたロケーションからのZscaler Client Connector以外のトラフィックをブロックします。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_NoSSL Zscaler Client Connector： Zscaler Client Connectorなし	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール11：リモートユーザーをブロックする

    リモートユーザートラフィックのブロック：

    • SSLインスペクションが無効なZscaler Client Connectorプラットフォームからのものである場合。

    または

    • Kerberos認証なしの場合。

    ソース基準	宛先基準	アクション
    ロケーション： ロードウォリアー Zscaler Client Connector： SSLが無効なプラットフォーム	URLカテゴリー： ブロックされたカテゴリー 宛先グループ： NoSSL_Blocked_IPs、NoSSL_Blocked_Domains	ブロック

    閉じる
  • ルール12：SSLバイパス

    SSLインスペクションやその他のポリシーからホワイトリスト化することができます。

    ソース基準	宛先基準	アクション
    すべて	URLカテゴリー： バイパスするURLカテゴリー 宛先グループ： NoSSL_NoOtherPolicies_IPs、NoSSL_NoOtherPolicies_Domains クラウド アプリケーション： バイパスされたアプリケーション	検査とバイパスをしない

    閉じる
  • ルール13：SSL LocsですべてのCltConを検査する

    ロケーション上のすべてのZscaler Client Connectorプラットフォームからのトラフィックを検査します。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL_CltCon_NoEnforce Zscaler Client Connector： Windows、MacOS、Android、iOS	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール14：LocsのCltConを検査する

    SSLインスペクションに対応したZscaler Client Connectorプラットフォームからのトラフィックをロケーションで検査します。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_CltCon_Enforce Zscaler Client Connector： SSLが有効なプラットフォーム	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール15：LocsでCltCon以外を検査する

    SSLインスペクションが可能なロケーションからのZscaler Client Connector以外のトラフィックを検査します。

    ソース基準	宛先基準	アクション
    ロケーション グループ： Locations_SSL Zscaler Client Connector： Zscaler Client Connectorなし	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール16：リモートユーザーを検査する

    リモートユーザーのトラフィックを検査します。

    • SSLインスペクションが可能なZscaler Client Connectorプラットフォームからのものである場合。

    または

    • Kerberos認証の場合。

    ソース基準	宛先基準	アクション
    ロケーション： ロードウォリアー Zscaler Client Connector： SSLが有効なプラットフォーム、またはRWKRBが有効なプラットフォーム	URLカテゴリー： インクルード・リストのカテゴリー	検査

    閉じる
  • ルール17：デフォルトのSSLインスペクションルール

    デフォルトのSSLインスペクションルールは、最後のルールオーダーを取ります。

    ソース基準	宛先基準	アクション
    ---	---	Do Not Inspect& Evaluate

    閉じる

  移行シナリオ5：サードパーティプロキシ チェーンルール

  このルールは、ロケーションのSSLインスペクション設定を上書きするように設定された転送ゲートウェイを持つ組織に対してのみ作成されます。このルールは、上記のシナリオのSSLバイパスルールのすぐ後に追加されます。

  ルール名：アップストリームプロキシバイパス - サードパーティのプロキシサービスに転送されたトラフィックをバイパスします。

  ソース基準	宛先基準	アクション
  フォワーディングゲートウェイ： すべてSSLインスペクションを無効にし、ロケーションを上書きする	すべて	Do Not Inspect& Evaluate

  閉じる

詳しくは、SSLインスペクションポリシーについてを参照してください。

クラウドサービスAPIについて、以下のアップデートを行いました。

• ファイヤーウォールポリシーのリソースが利用可能になりました。このアップデートにより、APIはこれらのリソースの作成、読み取り、更新、削除(CRUD)を完全にサポートするようになりました。
  • POST /firewallFilteringRules
  • PUT /firewallFilteringRules/{ruleId}
  • DELETE /firewallFilteringRules/{ruleId}
  • POST /ipDestinationGroups
  • PUT /ipDestinationGroups/{ipGroupId}
  • DELETE /ipDestinationGroups/{ipGroupId}
  • POST /ipSourceGroups
  • PUT /ipSourceGroups/{ipGroupId}
  • DELETE /ipSourceGroups/{ipGroupId}
  • POST /networkServices
  • PUT /networkServices/{serviceId}
  • DELETE /networkServices/{serviceId}
  • POST /networkServiceGroups
  • PUT /networkServiceGroups/{serviceGroupId}
  • DELETE /networkServiceGroups/{serviceGroupId}

  閉じる
• トラフックの転送のリソースが利用可能になりました。これらの新しいリソースは、セルフサービスのGREトンネルと静的IPのプロビジョニングに利用できます。
  • GET /greTunnels
  • POST /greTunnels
  • GET /greTunnels/availableInternalIpRanges
  • PUT /greTunnels/{id}
  • DELETE /greTunnels/{id}
  • GET /vips/recommendedList
  • GET /staticIP
  • POST /staticIP
  • POST /staticIP/validate
  • GET /staticIP/{id}
  • PUT /staticIP/{id}
  • DELETE /staticIP/{id}

  閉じる
• SSLインスペクション設定のリソースを削除しました。SSLバイパスリストをAPIで管理する必要がある場合、宛先グループまたはカスタムURLカテゴリーを使用する必要があります。
  • GET /sslSettings/exemptedUrls
  • POST /sslSettings/exemptedUrls

  閉じる
• ロケーション管理のパラメータは、SSLポリシーに影響を与えなくなりました。既存のスクリプトとの後方互換性を維持するため、APIペイロードでは引き続きサポートされていますが、将来的には削除される予定です。
  • sslScanEnabled
  • zappSSLScanEnabled

  閉じる

このアップデートにより、クラウドサービスAPIのベースURLが、admin.<Zscaler Cloud Name>/api/v1からzsapi.<Zscaler Cloud Name>/api/v1に変更されました。ここで<Zscaler Cloud Name>は、組織用にプロビジョニングされたクラウド名です(例：zsapi.zscalerbeta.net/api/v1)。Zscalerは、新しいベースURLを使用するようにスクリプトを更新することを強く推奨します。

詳しくは、APIリファレンスとPostman REST APIクライアントの設定を参照してください。

URL フィルタリングとクラウドアプリコントロールのポリシーを設定する際に、ユーザーエージェントを選択できるようになりました。

画像を見る。

詳細情報は、URLフィルタリングポリシーの設定 および クラウドのアプリケーションコントロールポリシーへのルールの追加 を参照してください。

ZIA管理ポータルのインターフェイスに、自分だけのカラーテーマを選択できるようになりました。選択したテーマは、あなたの管理者プロファイルにのみ適用されます。

画像を見る。

詳しくは、管理者アカウント設定のカスタマイズを参照してください。

Cloud Browser Isolationでは、分離されたユーザーがクリックしたハイパーリンクを、分離されたブラウザーとユーザーのローカルブラウザーのどちらでレンダリングするかを管理者が選択できるようになりました。この機能が分離プロファイルで有効になっている場合、ハイパーリンクは分離セッションによって評価され、分離セッション内のドメイン以外のドメインにつながるリンクは分離環境の外に押し出されてユーザーのローカルブラウザーでレンダリングされます。

画像を見る。

詳しくは、クラウド ブラウザー分離のためのローカルブラウザーのレンダリングを参照してください。

新規SaaSアプリケーションのサポート

ServiceNowのテナントを設定できるようになりました。

画像を見る。

詳細は、SaaSアプリケーション テナントの追加を参照してください。

SaaSセキュリティAPIポリシーの更新

ITSMアプリケーションのSaaSセキュリティAPIコントロールポリシーとスキャンスケジュールを設定できるようになりました。

この機能強化の一環として、[SaaSセキュリティAPI]ページが[SaaSセキュリティAPIコントロール]に名称変更されました。

画像を見る。

また、[SaaSセキュリティポスチャポリシー]ページが[SaaSセキュリティポスチャ制御]に名称変更されました。

画像を見る。

詳しくは、SaaSセキュリティAPI管理ポリシーの設定とSaaSセキュリティポスチャ管理ポリシーの設定を参照してください。

SaaSアセットサマリーレポートの更新

SaaSアセットサマリーレポートで、ITSMアプリケーションのカテゴリーを表示できるようになりました。

詳細については、SaaSアセットサマリーレポートを参照してください。

SaaSアセットレポートの更新

SaaSアセットレポートで、ITSM、CRM、ソース コード リポジトリーのアプリケーションカテゴリーを表示できるようになりました。

詳しくは、SaaSアセットレポートとSaaSアセットレポート：インシデントを含むアセットを参照してください。

SaaSセキュリティ分析と解析ログの更新

SaaSアセットサマリーレポートの更新をSaaSセキュリティ分析と解析ログで確認できるようになりました。

詳細については、SaaSセキュリティ分析とSaaSセキュリティ解析ログを参照してください。

NSSフィードの新しいアプリケーションカテゴリー

NSSフィードにSaaSセキュリティAPIの新しいアプリケーションカテゴリー[SaaSセキュリティITSM]が追加されました。これらのアプリケーションカテゴリーは、ServiceNow(ITSM)のサポートを提供します。

また、SaaSセキュリティログフィルターにITSM用の新しいタブが追加されています。

詳しくは、SaaSセキュリティログのNSSフィードの追加を参照してください。

NSSフィード出力の新しいSaaSセキュリティフィールド

ITSMのNSSフィードに以下のWebログフィールドが追加されました。

• %d{num_internal_collab}
• %d{num_external_collab}
• %s{objectname}
• %s{objecttype}
• %s{file_msg_id}
• %s{filetypecategory}
• %s{hostname}
• %s{ohostname}
• %s{ofullurl}
• %s{internal_collabnames}
• %s{external_collabnames}
• %s{ointernal_collabnames}
• %s{oexternal_collabnames}
• %d{filesize}
• %s{file_msg_mod_time}
• %s{filepath}
• %s{component}
• %s{sha}

詳しくは、NSSフィード出力形式：SaaSセキュリティログを参照してください。

新規SaaS セキュリティポスチャレポートは、推奨されるセキュリティ基準に関連する組織のSaaSアプリケーションのセキュリティポスチャの現状を表示します。また、推奨されるセキュリティポリシー、セキュリティ脅威とそのリスクレベル、改善アクティビティに関する情報を確認することができます。

画像を見る。

SaaS SaaSセキュリティポスチャポリシーでは、SaaSセキュリティポスチャレポートが組織のセキュリティポスチャの分析に含める推奨セキュリティポリシーの数を構成することができます。

画像を見る。

詳細情報は、 SaaSセキュリティポスチャレポート および SaaSセキュリティポスチャポリシーの構成 を参照してください。

新規SaaSアプリケーション対応

GitHubのテナントを設定できるようになりました。

画像を見る。

詳細は、SaaSアプリケーション テナントの追加を参照してください。

SaaSセキュリティAPIポリシーの更新&スキャン設定

ソース コード リポジトリーのSaaSセキュリティAPIポリシーとスキャンスケジュールを設定できるようになりました。

画像を見る。

詳細は、[SaaSセキュリティAPIポリシーの設定を参照してください。

SaaSアセットサマリーレポートの更新について

SaaSアセットサマリーレポートでGitHubを表示できるようになりました。

詳細は、SaaSアセットサマリーレポートを参照してください。

SaaSセキュリティ分析&解析ログの更新について

SaaSセキュリティ分析と解析ログでGitHubを表示できるようになりました。

詳細は、SaaSセキュリティ分析とSaaSセキュリティ解析ログを参照してください。

新規SaaSアプリケーション対応

Citrix ShareFileのテナントを設定できるようになりました。

画像を見る。

詳しくは、SaaSアプリケーションのテナントを追加するを参照してください。

SaaSセキュリティAPIポリシーおよびスキャン構成の更新

ファイル共有アプリケーションであるShareFileのSaaS Security APIポリシーとスキャンスケジュールを設定することができるようになりました。

SaaS Assets Summary Reportの更新について

[SaaS Assets Summary Report]でShareFileを表示できるようになりました。

詳しくは、SaaS Assets Summary Reportを参照してください。

SaaSアセットレポートの更新

[SaaS Assets Report]でShareFileを表示できるようになりました。

詳しくは、SaaS Assets Reportを参照してください。

SaaSセキュリティ分析および解析ログの更新について

[SaaS Security Insights]と[Insights Logs]でShareFileを表示できるようになりました。

詳細については、SaaS Security InsightsとSaaS Security Insights Logsを参照してください。