icon-zpa.svg
セキュアなプライベート アクセス(ZPA)

アプリケーション検出について

アプリケーション検出を有効にすると、ユーザーがアプリケーションを要求したときに、ZPAが特定のドメイン名とIPサブネットを使用してアプリケーションを検出することができます。アプリケーションセグメントを設定してアプリケーションの検出を可能にすると、組織で使用されているさまざまなアプリケーションと、それにアクセスするユーザーについて知ることができ、便利です。たとえば、同じドメイン名で終わる一連のアプリケーション(例:safemarch.com)がある場合、各アプリケーションに対してポリシーを設定するのではなく、これらのアプリケーションをセットで参照するアクセスポリシーを設定することが可能です。

ドメインまたはIPサブネットに指定されたTCPおよびUDPのポート範囲が広く、アプリケーションポリシーが幅広いユーザーへのアクセスを許可している場合、アプリケーション検出は効率的に機能します。

ユーザーがドメインまたはIPサブネットに一致するアプリケーションへのアクセスを要求すると、ユーザーのデバイス上のZscaler Client Connectorは、そのアプリケーション用に構成されているApp Connectorsに要求をリダイレクトします。アプリケーションがドメインまたは IPアドレスを使用して要求されたかどうかに応じて、App ConnectorはDNSルックアップを実行するか、要求を処理するためのIP到達可能性をチェックします。要求が成功すると、ユーザーはアプリケーションにアクセスでき、アプリケーションダッシュボードの[検出されたアプリケーション]ウィジェットにリストされます。

ダッシュボード内の[検出されたアプリケーション]ウィジェット

[検出されたアプリケーション]ウィジェットには、過去14日以内に発生したアプリケーションの検出時刻が表示されます。また、検出されたアプリケーションをクリックすると、アクセスしたユーザーや使用されたTCPまたはUDPポートなど、アプリケーション要求の詳細を表示することも可能です。

ZPAは、ユーザーがアプリケーションへのアクセスを要求したときにのみ、そのアプリケーションを検出します。新しいアプリケーションを探すために常にネットワークをスキャンするようなサービスがバックグラウンドで実行されるわけではありません。アプリケーションの検出後、検出したアプリケーションに対してきめ細かいポリシーを定義し、アクセスを制御することができます。

アプリケーション検出の設定

アプリケーションセグメント内でアプリケーション検出を設定するには、以下の1つ以上を入力する必要があります。

  • ドメイン名や完全修飾ドメイン名(FQDN)をワイルドカード形式で入力できます。

    • *.<FQDNまたはドメイン名>
    • .<FQDNまたはドメイン名>

    例えば、アプリケーションの末尾がドメイン名safemarch.comである場合、どちらかを入力します。

    ユーザーがそのドメイン名で終わるアプリケーション(例:benefits.safemarch.com)を要求すると、ZPAは設定により要求されたアプリケーションを検出し、設定されたポリシーを適用します。

    ドメインに対するアプリケーション検出を有効にしている場合、組織のDNS検索ドメインと一致させることを検討してください。これにより、非FQDN(ホストの短縮名)としてアプリケーションにアクセスするZPAユーザーには、ドメインの接尾辞が付加され、アプリケーション検出のためにFQDNが送信されるようになります。詳しくは、DNS検索ドメインの追加を参照してください。

    閉じる

  • IPサブネットは、10.0.0.0/24の形式で入力することができます。

    ユーザーがIPアドレス192.0.0.17のアプリケーションを要求した場合、ZPAは上記で追加したIPサブネットによりアプリケーションを検出します。

    閉じる

ワイルドカード(つまり、*)だけで定義されたアプリケーションは、アプリケーションの検出には使用できません。

検出されたアプリケーションに対してのみ、[On Access health reporting]を選択できます。App Connectorは、ユーザーがアプリケーションにアクセスするとすぐに、そしてユーザーがアプリケーションの使用を完了してから最大30分間、アプリケーションの健全性をレポートします。この期間中、アプリケーションの現在のステータスは、正常性ダッシュボードで確認することができます。30分後、アプリケーションの正常性状態は[不明]に変わり、ユーザーがアプリケーションに再アクセスするとすぐに更新されます。

検出されたアプリケーションのポリシーを作成したり、そのアプリケーションの特定の設定を構成したりする場合(たとえば、Continuous health reportingの選択など)、アプリケーションダッシュボードの[検出されたアプリケーション]ウィジェットで、検出されたアプリケーションを定義できます。詳細については、動的に検出されるアプリケーションの定義を参照してください。

アプリケーション検出を設定したいが、ZPAを介してアクセスさせたくないアプリケーションがいくつかある場合、[バイパス]フィールドを使用して、それらのアプリケーションへのアクセスを無効にすることができます。詳しくは、バイパス設定の構成を参照してください。

関連記事s
アプリケーションについて定義済みApplication Segmentの設定定義済みApplication Segmentsの編集AIを活用したApplication Segment向けの推奨事項についてAIを活用した推奨事項の設定AIを活用した推奨事項のマージ定義済みApplication Segmentsの共有 AIを活用した推奨事項設定の構成クライアントホスト名の検証DNS検索ドメインの追加アプリケーションセグメント構成警告の設定AppProtectionアプリケーションについて特権リモート アクセス アプリケーションについて アプリケーション検出についてアプリケーションアクセスについて二重暗号化について正常性レポートについて動的に検出されるアプリケーションの定義バイパス設定の設定アプリケーションへのアクセスの無効化送信元IPアンカリング ダイレクトの詳細説明Application Segment複数一致の使用Application SegmentのインポートについてApplication Segmentインポートの使用インポートしたApplication Segmentのマージ