Zscaler Client Connector用のデバイス ポスチャー プロファイルを構成するには、次の手順を実行します。

1. Zscaler Client Connector Portalで、[管理]に移動します。
2. 左側のナビゲーションで、[デバイス ポスチャ]を選択します。
3. [デバイス ポスチャを追加]をクリックします。
4. [デバイスポスチャの追加]ウィンドウで、次の操作を行います。
   1. 名前：デバイスポスチャプロファイルの名前を入力します。
   2. [プラットフォーム]:次のプラットフォーム オプションを1つ以上選択します。
      • Windows
      • macOS
      • Linux
      • Android
      • iOS
   3. [Windowsマシン トンネルに適用]:選択すると、ポスチャー タイプが評価され、ZPAのWindows起動前ログイン マシン トンネルに適用されます。選択しない場合、ポスチャー タイプはZPAトンネルとZIAトンネルに対してのみ評価されます。Windows用の以下のデバイス ポスチャーに適用します：クライアント証明書、証明書の信頼姓、ファイル パス、レジストリ キー、ファイアウォール、ディスク全体の暗号化、ドメイン登録済み、サーバー検証済みクライアント証明書、およびOSバージョン。
   4. [macOSマシン トンネルに適用]:これを選択すると、ポスチャー タイプが評価され、ZPAのmacOS起動前ログイン マシン トンネルに適用されます。選択しない場合、ポスチャー タイプはZPAトンネルとZIAトンネルに対してのみ評価されます。macOSのデバイス ポスチャーに適用されます：CrowdStrike ZTAスコア、ディスク全体の暗号化、ファイル パス、ファイアウォール、ドメイン登録済み、OSバージョン。
   5. [パートナー テナントとして追加された場合に適用]: Windows用Zscaler Client Connectorバージョン4.6以降に適用されます。選択すると、ポスチャー タイプが評価され、パートナー テナントへの接続に使用されるZPAトンネルに適用されます。選択しない場合、ポスチャー タイプはZPAトンネルとZIAトンネルに対してのみ評価されます。

   6. [頻度(分単位)]: Windowsの場合はZscaler Client Connectorバージョン4.4以降、macOSの場合はZscaler Client Connectorバージョン4.5以降に適用されます。 各ポスチャ タイプーに、ドロップダウン メニューから1分間隔で値を選択することで、Zscaler Client Connectorがデバイスのポスチャーを評価する頻度を選択します。デフォルト値の最大値は15分です。最小値は2分です。
      次のポスチャー チェックでは、Zscaler Client Connectorは、[頻度(分単位)]フィールドで構成されている内容に関係なく、デバイスでポスチャーが変更されるとすぐにデバイスのポスチャーを評価します。

      • プロセス チェック
      • Carbon Blackの検出
      • CrowdStrikeの検出
      • SentinelOneの検出
      • Microsoft Defenderの検出

      ただし、Zscaler Client Connectorは[頻度(分単位)]のフィールドの構成に従ってデバイス ポスチャの評価を続行します。

      この機能はデフォルトで有効になっています。この機能を無効にするには、 Zscalerサポート にお問い合わせください。

   7. [ポスチャ タイプ]:選択したプラットフォームに応じて、次のステップを実行します。

      • 証明書の信頼性

        Windows、macOS、Linux、Android、またはiOSに適用されます。ドロップダウン メニューから[証明書の信頼]を選択し、組織のユーザーによって信頼されている内部ルート証明機関(CA)によって発行された証明書をアップロードします。ユーザのデバイスは、ポスチャ検証チェックに合格するために証明書を信頼する必要があります。

        iOSの場合、証明書はデバイスによって直接信頼されている必要があります。中間証明書は機能しません。

        ZscalerはBase64でエンコードされた.pemおよび.cerファイルを承諾し、次のいずれかをアップロードできます。

        • ルートCA証明書
        • 中間証明書
        • クライアント証明書

        

        閉じる
      • ファイルパス

        WindowsまたはmacOSに適用されます。ドロップダウン メニューから[ファイル パス]を選択し、ユーザーのシステムにあるファイル パスを入力します。例：C:\Program Files(x86)\Example\AV.txtと入力できます。

        ユーザーのデバイスには、ポスチャ検証チェックに合格するために、指定されたファイルパスが必要です。

        

        複数のプラットフォームを選択した場合、ファイル パス オプションは使用できません。代わりに、証明書ポスチャ タイプを使用する必要があります。

        閉じる
      • レジストリー キー

        Windowsにのみ適用されます。ドロップダウンメニューから[レジストリー キー]を選択し、キーと一致タイプを入力します。アプリは、レジストリー キーのパスまたは値に対してチェックを行います。ユーザーのデバイスには、ポスチャ検証チェックに合格するために、指定されたレジストリー キーが必要です。

        [パス]というレジストリ キーでは、パスがHKEYで始まることを確認します。たとえば、HKEY_CURRENT_USER\Software\Microsoft\Connection Manager\UserInfo.

        

        レジストリキーのチェックは、ユーザーコンテキストで実行されます。ユーザーがシステムキー(例：HKLM)にアクセスできないように権限を設定している場合は、ユーザーがアクセスできる場所にレジストリキーを作成する必要があります。

        閉じる
      • クライアント証明書

        Windows、macOS、LinuxまたはAndroidに適用されます。クライアント証明書用にLinuxを設定する方法の詳細については、Linuxのクライアント証明書ポスチャ チェックの設定を参照してください。

        Android Zscaler Client Connectorバージョン1.14の時点で、Zscalerは、Samsung Android用のKnox管理者とクライアント証明書ポスチャー タイプのサポートを終了しました。Zscalerでは、Zscaler Client Connector PortalでSamsung Android用のクライアント証明書ポスチャー チェックを削除することを推奨しています。詳細は、クライアント証明書のポスチャー チェックおよびSamsung Androidデバイスのデバイス管理者のサポート終了を参照してください。

        ドロップダウンメニューから[クライアント証明書]を選択し、組織のユーザーによって信頼されている内部ルート中央認証局に発行された証明書をアップロードします。証明書は、ポスチャプロファイルにアップロードされた証明書と一致するCAによって発行されたエンドポイントのユーザーストアにある必要があります。ユーザーは、このポスチャ検証チェックに合格するために、指定されたCAによって発行された秘密キーと公開キーのペアを持っている必要があります。

        ZscalerはBase64でエンコードされた.pemおよび.cerファイルを承諾し、次のいずれかをアップロードできます。

        • ルートCA証明書
        • 中間証明書

        証明書をアップロードした後、[エクスポート不可の秘密キー]を有効または無効にします。有効にすると、Zscaler Client Connectorは、証明書の秘密キーをエクスポートできるかどうか確認する必要があります。[エクスポート不可の秘密キー]が有効で、そのキーがエクスポート可能な場合、ポスチャ検証は失敗します。

        必要に応じて、[CRLチェックの実行]を有効にします。有効にすると、Zscaler Client Connectorは、証明書が取り消されたかどうかを検出するのに役立ちます。証明書失効リスト(CRL)には、スケジュールされた有効期限前に発行元CAによって取り消されたデジタル証明書が含まれており、それらの証明書は信頼されなくなります。証明書が取り消された場合、ポスチャ チェックは失敗します。

        WindowsおよびmacOSの場合、クライアント証明書テンプレート情報のフィールドに、アップロードされたルート証明書によって発行された証明書と一致する値を入力します。

        

        閉じる
      • ファイアウォール

        WindowsまたはmacOSに適用されます。ドロップダウンメニューから[ファイアウォール]を選択します。Zscaler Client Connectorは、3つのファイアウォール プロファイル (パブリック、プライベート、ドメイン) すべてのファイアウォール ステータスをチェックします。ポスチャ検証チェックに合格するには、これらのプロファイルの少なくとも1つがアクティブである必要があります。

        Zscaler Client Connectorでは、サードパーティーのファイアウォールの存在はチェックされません。サードパーティーのファイアウォールは、ポスチャ チェックの要件を満たしていません。

        

        閉じる
      • ディスク全体の暗号化

        Windows、macOSおよびAndroidに適用されます。Linux用のZscaler Client Connectorバージョン1.4以降にも適用されます。ドロップダウン メニューから[ディスク全体の暗号化]を選択します。Zscaler Client Connectorは、デバイスでディスク全体の暗号化が有効か無効かを確認します。ユーザー は、ポスチャ検証チェックに合格するために、ディスク全体の暗号化が有効にしている必要があります。

        

        Linuxの場合のみ、ファイル パスフィールドに値を入力して、ディスクまたは ファイル パス を含むディスク パーティションが暗号化されているかどうかを確認します。

        

        閉じる
      • ドメイン登録済み

        WindowsまたはmacOSに適用されます。ドロップダウンメニューから[ドメイン参加]を選択し、一致するドメインとワークグループを入力します。Zscaler Client Connectorは、デバイスがドメインまたはワークグループに参加しているかどうかをチェックします。ユーザーのデバイスには、ポスチャ検証チェックに合格するために、一致するドメインが必要です。

        

        閉じる
      • プロセス チェック

        WindowsまたはmacOS用のZscaler Client Connectorバージョン2.1.2以降、Linux用のZscaler Client Connectorバージョン1.3以降に適用されます。ドロップダウン メニューから[プロセス チェック]を選択します。[プロセス パス]では、プロセスの名前と絶対パスを入力します(例：c:\folder\process.exe)。二重引用符は使用しないでください。[署名者証明書のサムプリント]では、プロセス署名者証明書の一意の識別子を入力します。

        • Windowsの署名者証明書のサムプリントの検索

          Windows Explorerで：

          1. [Program Files]>[Zscaler]>[ZSATunnel]に移動します。
          2. [ZSATunnel]ファイルを右クリックし、[プロパティ]を選択します。
          3. [デジタル署名]のタブをクリックします。
          4. リストから署名を選択し、[詳細]をクリックします。
          5. [証明書の表示]をクリックします。
          6. [詳細]タブをクリックします。下にスクロールして[拇印]をクリックします。拇印がウィンドウに表示され、そこからコピーして[署名者証明書のサムプリント]フィールドに貼り付けることができます。

          閉じる
        • macOSの署名者証明書のサムプリントの検索

          ターミナル ウィンドウで、次の操作を行います。

          1. Extract the certificates associated with binary codesign -d --extract-certificates binarypath: (e.g., codesign -d --extract-certificates /Library/CS/CSDaemon <binary path>)
          2. Parse the certificate: for ((certnumber=0 ; certnumber<=2; certnumber++)) ; do openssl asn1parse -in codesign${certnumber} -inform der -out codesign${certnumber}.der ; done
          3. Convert to a PEM file: for ((certnumber=0 ; certnumber<=2; certnumber++)) ; do openssl x509 -inform der -in codesign${certnumber}.der -out codesign${certnumber}.pem ; done
          4. Extract the certificates using the following command: openssl x509 -noout -sha1 -fingerprint -inform pem -in codesign0.pem

          -sha256を-sha1に変更できます。

          5. 出力からコロンを削除します。

          閉じる

        閉じる
      • Carbon Blackの検出

        これは、WindowsまたはmacOSついてZscaler Client Connectorバージョン2.1.2を使用している場合にのみ適用されます。[Carbon Blackを検出]を選択します。ユーザーは、ポスチャ検証チェックに合格するために、デバイスでCarbon Blackを実行している必要があります。

        

        Windows用のCarbon Black [RepMgr.exe]実行ファイルでは、以下の署名者証明書の一致サムプリントがサポートされています。

        Windows用Zscaler Client Connectorバージョン3.5以降
        4d66d506976bde36ae01ab3335d501bec9fb9837 f855a4a29ecefdd9ad04384ae3a099aff61d717f 9033309926659b4346c496d44407d39e0487868c d9665dc3abce52eaf263dad3412c7cedb9e79b9d fce3566368d917acf28779b98d996f416fef1f2b

        Windows用のZscaler Client Connectorバージョン4.5以降では、一致するサムプリントがない場合でも、Carbon Blackがインストールされ、Windowsセキュリティ センターでオンになっている場合は、ポスチャー チェックは合格します。

        次のテーブルでは、macOS用の次のCarbon Blackバイナリでサポートされている署名者証明書の一致するサムプリントを表示します。

        • /Applications/Confer.app/Contents/MacOS/repmgr
        • /Applications/VMware Carbon Black Cloud/repmgr.bundle/Contents/MacOS/repmgr
        • /Library/SystemExtensions/<UUID>/com.vmware.carbonblack.cloud.se-agent.extension.systemextension/Contents/MacOS/se_agent
          UUIDは、システム設定によって異なります。

        古いバージョンのZscaler Client Connectorを使用している場合は、Carbon Blackリリースのサムプリントを調べて、サムプリントがポスチャーでサポートされていることを確認します。

        macOS用Zscaler Client Connectorバージョン4.3以降

        8F262B63E0DA232A95111C9E1428BBCE76E609B7 B19EE7CB9B1FEA04F201BBF12F71EE54DC38EDDBD2C80F662EC15090DD442266 DAE2AE5FF662A39BC591E0FF2F3BB7BD2E00C23D

        macOS用Zscaler Client Connectorバージョン4.3以降では、一致するサムプリントがない場合でも、Carbon Blackがインストールされ、プロセスが実行されている場合は、ポスチャー チェックに合格します。

        閉じる
      • CrowdStrikeの検出

        これは、WindowsまたはmacOSついてZscaler Client Connectorバージョン2.1.2を使用している場合にのみ適用されます。[CrowdStrikeを検出]を選択します。ユーザーは、ポスチャ検証チェックに合格するために、デバイスでCrowdStrikeを実行している必要があります。

        

        Windows用のCrowdStrike [CSFalconService.exe]実行可能ファイルでは、次の署名者証明書の一致するサムプリントがサポートされています。

        Windows用Zscaler Client Connectorバージョン3.5以降

        cd485eaadb584dcf911bb9dae6ecae1253f05308 93324968ecd73a9570c347cf0c8ee4bc390d3948 38b7c74e37392713e436e19a2be053100115da88 0e2f50955c71c9a9b5e6f9c0ecb1c1b198249f4f 9c4a4665abbcd3d4a8bffcd9251b21bb2ec6e341 426510225a68b9260814230b37e289bfe0566f28 ca5296e9d87044679d0b405104b8db2c8d56eb03 b878d8eb696cf3d4505e2f6641c57af9062ec51a 1935420a805a0cefebecdbe59a391a69db32eab3 16adfe3b79a93d4b1fa7b8e6b2c972c99bfdc849 62c16976bfbbf57b8f8b588a043b4fb0bc294a6d

        Windows 版の Zscaler Client Connector バージョン 4.5 以降では、一致するサムプリントがない場合でも、CrowdStrikeがインストールされ、Windowsセキュリティ センターでオンになっている場合は、ポスチャー チェックは合格します。

        次のテーブルは、macOS用の次のCrowdStrikeバイナリでサポートされている署名者証明書の一致するサムプリントを示しています。

        • /Library/CS/falcond
        • /Applications/Falcon.app/Contents/Resources/falcond
        • /Library/SystemExtensions/<UUID>/com.crowdstrike.falcon.Agent.systemextension/Contents/MacOS/com.crowdstrike.falcon.Agent

        UUIDはインストールごとに異なります。たとえば：/Library/SystemExtensions/7F3C861E-7137-4797-AA86-CFD764D1796F/com. CrowdStrike .falcon.Agent.systemextension/Contents/MacOS/com. CrowdStrike .falcon.Agent

        Zscaler Client Connectorの古いバージョンを使用している場合は、CrowdStrikeリリースのサムプリントを調べて、サムプリントがポスチャーによってサポートされていることを確認してください。

        macOS用Zscaler Client Connector 4.3以降

        475B2989BAE075A1F444B76ADAABE8EDF33A0ADF B7447A2DAE7B0C3016274ACBB55F7AA8A7349ACF 5B45F61068B29FCC8FFFF1A7E99B78DA9E9C4635 611E5B662C593A08FF58D14AE22452D198DF6C60

        macOS用Zscaler Client Connectorバージョン4.3以降では、一致するサムプリントがない場合でも、CrowdStrike がインストールされ、プロセスが実行されていれば、ポスチャー チェックは合格します。

        閉じる
      • CrowdStrike ZTAスコア

        これは、WindowsまたはmacOSについてZscaler Client Connectorバージョン3.4以降を使用している場合にのみ適用されます。[CrowdStrike ZTAスコア]を選択します。ユーザーは、ポスチャ検証チェックに合格するために、デバイスでCrowdStrikeを実行している必要があります。

        ユーザーは、CrowdStrikeでCrowdStrike ZTA機能を有効にする必要があります。この機能を有効にするには、CrowdStrikeサポートにお問い合わせください。

        1から100までのスコアを入力します。この数値は、デバイスのセキュリティ レベルを判断するのに役立つリスクスコアを表します。指定する数値が大きいほど、デバイスのセキュリティが高くなります。Zscaler Client Connectorは、この数値を、CrowdStrikeのユーザー エージェントによって割り当てられた総合スコア(デバイスのOS設定とセンサー設定に基づく合計スコア)と比較します。その全体スコアが入力したスコア以上の場合、ポスチャー チェックは合格します。全体スコアが入力したスコアよりも小さい場合、ポスチャー チェックは失敗します。ZTAスコアの詳細については、CrowdStrikeのドキュメントを参照してください。

        

        閉じる
      • SentinelOneの検出

        これは、WindowsまたはmacOSついてZscaler Client Connectorバージョン2.1.2を使用している場合にのみ適用されます。[SentinelOneを検出]を選択します。ユーザーがポスチャ検証チェックに合格するには、デバイス上でSentinelOneが実行されている必要があります。

        

        Windows用SentinelOne [SentinelAgent.exe]実行ファイルでは、以下の署名証明書の一致サムプリントがサポートされています。

        Windows用Zscaler Client Connectorバージョン3.6以降	Windows用Zscaler Client Connectorバージョン3.5以降
        f1654692e31c02872d73507de97617fd6dc14c8c 910b496dc984d3818001dbfe1a75cf75e46aef0e 2b90394e9b094f067f84d9a0b15009d51fda20dd 22c492673c2651b397ac13750978220a87e03cd5 69640f124bafc9a891fc4b51fcfd0ddf8785a6e5 5dfc737f10a570899baf8209e9e5cd4cfdfd6aed 403e7374894c743e3ebd2ecc15f8a46091ff6a4d 2349D742850CAFB6F691B5D2B79B3D47576EC52A	f1654692e31c02872d73507de97617fd6dc14c8c 910b496dc984d3818001dbfe1a75cf75e46aef0e 2b90394e9b094f067f84d9a0b15009d51fda20dd

        Windows用のZscaler Client Connectorバージョン4.5以降では、一致するサムプリントがない場合でも、SentinelOneがインストールされ、Windowsセキュリティ センターでオンになっている場合は、ポスチャー チェックは合格します。

        次のテーブルでは、macOS用の次のSentinelOneバイナリでサポートされている署名者証明書の一致するサムプリントを表示します。

        /Library/Sentinel/sentinel-agent.bundle/Contents/MacOS/sentineld

        古いバージョンのZscaler Client Connectorを使用している場合は、SentinelOneリリースのサムプリントを調べて、サムプリントがポスチャーでサポートされていることを確認します。

        macOS用Zscaler Client Connector 3.7以降

        CAF5A626546E84A2036913B07FCB835EB60D4F95 c885b2ee5abf5815455f274990215f1b29514b49

        macOS用Zscaler Client Connectorバージョン4.3以降では、一致するサムプリントがない場合でも、SentinelOneがインストールされ、プロセスが実行されている場合、ポスチャー チェックは合格します。

        閉じる
      • 所有権変数

        AndroidまたはiOSに適用されます。ドロップダウン メニューから[所有権変数]を選択します。32文字以内の英数字を使用して変数を入力します。

        ユーザーのデバイスは、ポスチャの検証チェックをパスするために、この変数を持っている必要があります。デバイス管理ソリューションは、インストール時にこの変数をデバイスにプッシュします。

        所有権変数は、Zscaler Client Connectorを展開するときにモバイル デバイス管理を通じて設定する必要があります。ユーザーのデバイスにZscaler Client Connectorを正常に展開するには、次の記事を参照してください。

        • Android用インストール オプションによるZscaler Client Connectorのカスタマイズ
        • iOSのインストール オプションによるZscaler Client Connectorのカスタマイズ

        

        閉じる
      • 不正な変更

        AndroidまたはiOSに適用されます。ドロップダウンメニューから[不正な変更]を選択します。Zscaler Client Connectorは、ジェイルブレイクやルート化など、デバイスでの不正な変更をチェックします。ユーザーのデバイスには、ポスチャ検証チェックに合格するために不正な変更があってはなりません。

        

        iOS用のZscaler Client Connectorバージョン1.5.2またはAndroid用のZscaler Client Connectorバージョン1.5.0を使用している場合、既知の問題について「不正な変更デバイス ポスチャー プロファイルの使用」を参照してください。

        閉じる
      • Microsoft Defenderの検出

        WindowsまたはmacOSについてはZscaler Client Connectorバージョン2.1.1以降、LinuxについてはZscaler Client Connectorバージョン1.4以降に適用されます。[Microsoft Defenderの検出]を選択します。ユーザーがポスチャ検証チェックに合格するには、デバイスでMicrosoft Defenderの高度な脅威対策が実行されている必要があります。

        Linuxの場合のみ、Linux上のMicrosoft Defenderエンドポイントの実行可能ファイルのパスを入力します。

        

        次のテーブルでは、macOS用の次のDetect Microsoft Defenderバイナリでサポートされている署名者証明書の一致するサムプリントを表示します。

        /Library/SystemExtensions/<UUID>/com.microsoft.wdav.epsext.systemextension/Contents/MacOS/epsext

        macOS用Zscaler Client Connectorバージョン3.7以降

        2ED71A71E4BFC746CBB0C0B1C80AADCE899A67F2 7D4DE827C9FA532C2C65684AD5DDB003231DDF9F

        閉じる
      • ウイルス対策の検出

        これは、WindowsまたはmacOSについてZscaler Client Connectorバージョン3.6以降を使用している場合にのみ適用されます。ドロップダウン メニューから[ウイルス対策の検出]を選択します。

        Windowsの場合、[AVの名前]フィールドにウイルス対策名を入力し、[AV定義が最新かどうかを確認]を有効にできます。有効にすると、Zscaler Client Connectorはシステムでウイルス対策が実行中かどうかを検出します。ウイルス対策の名前を指定した場合、ポスチャー チェックに合格するには、ウイルス対策がシステムで実行中である必要があります。[AVの名前]フィールドを空白のままにすると、Zscaler Client Connectorはシステムで実行中のウイルス対策が検出されます。

        macOSの場合は、[AVの名前]フィールドにウイルス対策の名前を指定する必要があります。ウイルス対策の名前の一部としてシステム拡張子の名前を含めます。コマンド ライン ツールsystemextensionsctlを使用して、完全な名前を識別できます。

        

        閉じる
      • OSバージョン

        WindowsまたはmacOSの場合はZscaler Client Connectorバージョン3.6以降、Linuxの場合はZscaler Client Connector 1.4以降、Androidの場合はZscaler Client Connector 3.7以降に適用されます。ドロップダウン メニューから[OSバージョン]を選択します。

        Windowsの場合のみ、[OSエディション]ドロップダウン メニューからエディションを選択し、[OSの追加]をクリックして追加します。その後、[OSビルド]ドロップダウン メニューからビルドを選択します。マシンがこのバージョン以降を実行している場合、ポスチャー チェックは成功します。最初のOSの選択後にさらに多くのOSエディションが利用可能な場合は、追加のOSエディションを追加できます。

        

        macOSの場合のみ、[OSバージョン]ドロップダウン メニューからバージョンを選択し、[OSの追加]をクリックして追加し、OSバージョンを入力します。最初の選択後にさらに多くのOSバージョンが利用可能な場合は、追加のOSバージョンを追加できます。

        

        Linuxの場合のみ、[Linuxディストリビューション]ドロップダウン メニューからディストリビューションを選択し、[OSの追加]をクリックして、OSバージョンを入力します。最初の選択後にさらに多くのLinuxディストリビューションが利用可能な場合は、追加のLinuxディストリビューションを追加できます。

        

        Androidの場合のみ、[OSエディション]ドロップダウン メニューからエディションを選択し、[OSの追加]をクリックして追加し、[カレンダー]アイコンをクリックして、パッチ日付の月を選択します。最初のOSの選択後にさらに多くのOSエディションが利用可能な場合は、追加のOSエディションを追加できます。

        

        閉じる
      • JAMF検出

        macOS用Zscaler Client Connectorバージョン4.3以降に適用されます。

        • [JAMF検出]: Zscaler Client Connectorは、JAMFがデバイスで実行されているかどうかをチェックします。
        • [JAMFリスク レベル]: Zscaler Client Connectorは、JAMF提供のリスク レベルを確認します。[セキュア]、[低リスク]、[中]、[高]から選択します。

        JAMF検出ポスチャー チェックを使用している場合、デバイスからMDMプロファイルを削除する際、JAMFデーモンがまだ実行されている可能性があります。JAMFデーモンが実行されていないことを確認するには、登録解除時に、管理者はコマンドsudo jamf -removeFrameworkをJAMF Proに追加して、JAMFデーモンをシステム上で実行しないように完全に削除する必要があります。

        閉じる
      • AzureADドメインに参加済み

        Windowsにのみ適用されます。ドロップダウン メニューから[AzureADドメイン参加]を選択し、[テナントID]フィールドにグローバル一意識別子を入力します。Zscaler Client Connectorは、デバイスが指定されたテナントIDへのAzureADドメイン参加であるかどうかを確認します。

        デバイスは、ドメイン参加のみ、AzureADドメイン参加のみ、または AzureAD ドメイン参加とドメイン参加の両方(つまり、ハイブリッド参加)にすることができます。

        閉じる
      • サーバー検証済みクライアント証明書

        Windows用Zscaler Client Connectorバージョン4.4にのみ適用されます。

        ドロップダウン メニューから[サーバー検証済みクライアント証明書]を選択し、組織のユーザーが信頼する内部ルートCentral Authorityによって発行された証明書をアップロードします。証明書は、ポスチャー プロファイルにアップロードされた証明書と一致するCAによって発行されたエンドポイントのユーザー ストアにある必要があります。ユーザーは、指定されたCAによって発行された秘密キーと公開キーのペアを持っている必要があります。

        このポスチャ検証チェックでは、サーバーはクライアントにチャレンジを送信します。証明書チェーン上で秘密キーとルートCAを見つけた後、クライアントは署名付きチャレンジをサーバーに送り返して検証に合格します。

        ZscalerはBase64でエンコードされた.pemおよび.cerファイルを承諾し、次のいずれかをアップロードできます。

        • ルートCA証明書
        • 中間証明書

        証明書をアップロードした後、[エクスポート不可の秘密キー]を有効または無効にします。有効にすると、Zscaler Client Connectorは、証明書の秘密キーをエクスポートできるかどうか確認する必要があります。[エクスポート不可の秘密キー]が有効で、そのキーがエクスポート可能な場合、ポスチャ検証は失敗します。

        多数の証明書(50を超える証明書)をアップロードすると、サーバーからのレスに時間がかかる場合があります(約10秒)。

        [CRLチェックを実行]オプションを有効にすると、証明書が取り消したかどうかをZscaler Client Connectorで検出できます。証明書取り消すリスト(CRL)には、スケジュール済み有効期限より前に発行元CAによって取り消されたデジタル証明書が含まれており、それらの証明書は信頼されなくなります。証明書が取り消した場合、ポスチャー チェックは失敗します。

        

        閉じる
      • CrowdStrike ZTAデバイスOSスコア

        これは、WindowsまたはmacOS用のZscaler Client Connectorバージョン4.6以降を使用している場合にのみ適用されます。[CrowdStrike ZTAデバイスOSスコア]を選択します。ユーザーは、ポスチャー検証チェックに合格するために、デバイスでCrowdStrikeを実行している必要があります。

        ユーザーは、CrowdStrikeでCrowdStrike ZTA機能を有効にする必要があります。この機能を有効にするには、CrowdStrikeサポートにお問い合わせください。

        1から100までのスコアを入力します。この数値は、デバイスのセキュリティ レベルを判断するのに役立つリスクスコアを表します。指定する数値が大きいほど、デバイスのセキュリティが高くなります。Zscaler Client Connectorは、この数値をCrowdStrikeのユーザー エージェントによって割り当てられたOSスコアと比較します。その全体スコアが入力したスコア以上の場合、ポスチャー チェックは合格します。全体スコアが入力したスコアよりも小さい場合、ポスチャー チェックは失敗します。OSスコアについては、CrowdStrikeドキュメントを参照してください。

        

        閉じる
      • CrowdStrike ZTAセンサー設定スコア

        これは、WindowsまたはmacOS用のZscaler Client Connectorバージョン4.6以降を使用している場合にのみ適用されます。[CrowdStrike ZTAセンサー設定スコア]を選択します。ユーザーは、ポスチャー検証チェックに合格するために、デバイスでCrowdStrikeを実行している必要があります。

        ユーザーは、CrowdStrikeでCrowdStrike ZTA機能を有効にする必要があります。この機能を有効にするには、CrowdStrikeサポートにお問い合わせください。

        1から100までのスコアを入力します。この数値は、デバイスのセキュリティ レベルを判断するのに役立つリスクスコアを表します。指定する数値が大きいほど、デバイスのセキュリティが高くなります。Zscaler Client Connectorでは、この数値をCrowdStrikeのユーザー エージェントによって割り当てられたセンサー設定スコアと比較します。その全体スコアが入力したスコア以上の場合、ポスチャー チェックは合格します。全体スコアが入力したスコアよりも小さい場合、ポスチャー チェックは失敗します。センサー設定スコアについては、CrowdStrikeのドキュメントを参照してください。

        

        閉じる

      すべてのデバイス ポスチャ タイプがすべてのプラットフォームで機能するわけではありません。特定のポスチャ タイプをサポートしていないデバイスを選択した場合、ポスチャ タイプは使用できません。

   8. (省略可)デバイスのポスチャの説明を入力します。
   9. [保存]をクリックします。

ポスチャ プロファイルを構成した後、これらのプロファイルを使用してZPA Admin Portalでアクセス ポリシーを構成し、ZIA用にポスチャー プロファイル信頼レベルを追加できます。