インターネットとSaaSへのセキュアなアクセス(ZIA)
クラウドのアプリケーションコントロール用のWebメールルールの追加
特定のクラウド アプリケーションへのアクセスを制御するルールを作成できます。クラウド アプリは、同様のアプリケーションのルールを定義しやすくするためにカテゴリーに分類されています。
企業は、次のようなさまざまな理由でWebメールに関心を持っています。
- ユーザーが個人の電子メールにあまりにも多くの時間を費やす場合の生産性の低下。
- 添付ファイルによる企業の知的財産の流出。
- メールの添付ファイルが大きいため、ネットワーク帯域を削減。
Webメール ルールは、生産性の低下、企業の知的財産の漏洩などを防ぐのに役立ちます。たとえば、ユーザーが1日あたり最大30分間個人のWebメールを読んだり送信したりできる(休憩中に個人のEmailにアクセスできるようにする)が、アウトバウンドのファイル添付をブロックするWebメール ルールを構成できます。
Webメールアプリのルールの追加
Webメールアプリのルールを追加するには、次のようにします。
- [ポリシー]>[URLとクラウドアプリのコントロール]の順にアクセスします。
- [クラウド アプリ制御ポリシー]タブで、[追加]をクリックし、[Webメール]を選択します。
- ルールの属性を入力します。
- ルールの順序:ポリシー ルールは数値の昇順(ルール2の前にルール1など)で評価され、ルールの順序には順序内のこのルールの位置が反映されます。この値は変更できますが、[管理者ランク]が有効な場合は、選択できるルールの順序の値は、自分に割り当てられている管理者ランクによって決まります。
- [管理者ランク]:0~7の値を入力します(0が最高ランク)。選択できる値は、割り当てられている管理者ランクによって決まります。自分のランクよりも高いランクを選択することはできません。[ルールの順番]で選択できる値はルールの管理者ランクによって決定されるので、管理者ランクが高いルールは管理者ランクが低いルールよりも常に優先されます。
- ルール名:ルールの一意の名前を入力するか、デフォルト名を使用します。
- [ルールのステータス]:有効なルールは、アクティブに実施されます。無効なルールはアクティブに実施されませんが、ルールの順番でその場所を失うことはありません。サービスはこのルールをスキップして、次のルールに移動します。
- [ルールラベル]:ルールラベルを選択して、ルールと関連付けます。詳しくは、ルールラベルについてを参照してください。
- 基準を明確にする。
クラウド アプリケーション:[すべて]を選択して、このカテゴリーのすべてのクラウド アプリケーションにルールを適用するか、任意の数のクラウド アプリケーションを選択します。アプリケーションを検索することもできます。
デフォルトでは、このフィールドには最初の100個のクラウド アプリケーションが表示されます。後続の100個のクラウド アプリケーションは、リストの下部にある[クリックしてその他を表示]リンクをクリックすると表示されますクリックkこのプロセスを繰り返して、残りのクラウド アプリケーションを表示できます。
クラウド アプリケーション インスタンス:ルールを適用するクラウド アプリケーション インスタンスを選択します。ルールごとに最大8つのインスタンスを選択できます。
クラウド アプリケーション インスタンスは、その親アプリケーションがクラウド アプリケーションとして選択されている場合にのみ表示されます。
[クラウドアプリケーションリスクプロファイル]:ルールの適用先となるプロファイルを選択します。
ルールには、[クラウド アプリケーションのリスク プロファイル]または[クラウド アプリケーション]フィールドのいずれかを選択できます。
- ユーザー:[すべて]を選択してすべてのユーザーにルールを適用するか、[一般ユーザー]で最大4人のユーザーを選択します。未認証のトラフィックに対するポリシーを有効にしている場合は、[特別ユーザー]を選択してすべての未認証ユーザーにこのルールを適用するか、特定種類の未認証ユーザーを選択できます。ユーザーを検索するか、追加アイコンをクリックして新しいユーザーを追加できます。
- グループ:[すべて]を選択してすべてのグループにルールを適用するか、最大8つのグループを選択します。グループを検索するか、追加アイコンをクリックして新しいグループを追加できます。
部署:[すべて]を選択してすべての部署にルールを適用するか、最大8つの部署を選択します。[未認証トラフィック用ポリシー]を有効にしている場合、特別部署を選択して、このルールをすべての未認証トランザクションに適用することが可能です。部署を検索するか、追加]アイコンをクリックして新しい部署を追加できます。
未認証のトラフィックに適用されるすべてのルールは、すべてのグループと部署に適用する必要があります。したがって、[ユーザー]または[部署]のいずれかの未認証のトラフィックにこのルールを適用することを選択した場合は、[グループ]と[部署]のドロップダウン メニューから[すべて]を選択します。
- ロケーション:[すべて]を選択してすべてのロケーションにルールを適用するか、最大8つの場所を選択します。ロケーションを検索するか、[追加]アイコンをクリックして新しいロケーションを追加することもできます。
- [ロケーション グループ]:[すべて]を選択して、ルールをすべてのロケーション グループに適用するか、または最大32のロケーション グループを選択します。また、ロケーション グループを検索することもできます。
- 時間:[常時]を選択してこのルールをすべての時間間隔に適用するか、最大2つの時間間隔を選択します。時間間隔を検索するか、追加アイコンをクリックして新しい時間間隔を追加することもできます。
- デバイス:ルールが適用されるデバイスを選択します。デバイスを検索することもできます。値を選択しない場合、ポリシー評価の条件は無視されます。
デバイス グループ:ルールが適用されるデバイス グループを選択します。Zscaler Client Connectorトラフィックについて、デバイス プラットフォームに基づいて適切なグループを選択します。[クラウド ブラウザー分離]または[Client Connectorなし]を選択して、クラウド ブラウザー分離トラフィックまたはZscaler Client Connector経由でトンネル化されないトラフィックにそれぞれルールを適用します。デバイス グループを検索することもできます。値を選択しない場合、ポリシー評価の条件は無視されます。
[Cloud Browser Isolation]グループは、お客様の組織で Cloud Browser Isolation が有効になっている場合のみ利用可能です。
[デバイス信頼レベル]:ルールを適用するデバイス信頼レベル([信頼性:高]、[信頼性:中]、[信頼性:低]、[不明])を選択します。[信頼性:高]、[信頼性:中]、[信頼性:低]の評価は、Zscaler Client Connectorトラフィックにのみ適用されますが、[不明]の評価はすべてのトラフィックに適用されます。値を選択しない場合、ポリシー評価の条件は無視されます。
デバイスに割り当てられる信頼レベルは、Zscaler Client Connector Portalのポスチャー設定に基づきます。
- [ユーザー エージェント]:[Any]を選択して、すべてのユーザー エージェントにルールを適用するか、任意の数のユーザー エージェントを選択します。また、エージェントを検索することもできます。
ユーザー リスク プロファイル:ルールを適用するユーザー リスク スコア レベルを選択します。値を選択しない場合、ポリシー評価の条件は無視されます。
ユーザーには、閲覧アクティビティに基づいてリスク スコアが割り当てられます。リスク スコアの範囲は、リスク スコア レベルとしてグループ化されます。
デフォルトでは、次のユーザー リスク スコア レベルを使用できます。
- 低:ユーザー リスク スコアが0から29の範囲のレベル
- 中:ユーザー リスク スコアが30から59の範囲のレベル
- 高:ユーザー リスク スコアが60から79の範囲のレベル
- クリティカル:ユーザー リスク スコアが80から100の範囲のレベル
Zscalerサポートに連絡して、組織のこれらのレベルのユーザー リスク スコア範囲をカスタマイズしてください。
- 次のようにルールの有効期限を定義します。
- [Enable Rule Expiration]:このオプションを有効にすると、ルールの有効期間が設定されます。
- 開始日時:開始日時を選択します。ルールはこの日時から有効になります。
- 終了日時:終了日時を選択します。この日時にルールは効力を失います。
- [タイムゾーン]:ルールを有効にするタイムゾーンを選択します。
- [Enable Rule Expiration]:このオプションを有効にすると、ルールの有効期間が設定されます。
アクションを指定するには、[メールの表示]、[メールの送信]、[添付ファイルの送信]のいずれかのオプションを選択します。
[メールの送信]と[添付ファイルの送信]の[許可]または[ブロック]のいずれかを選択できます。
- 許可
選択したアプリケーションでユーザーがWebメールを表示、Webメールを送信、添付ファイル付きのWebメールの送信を許可するためにこれを選択します。
- 1日あたりの利用帯域幅:(オプション)帯域幅のクォータには、クラウド アプリケーションにアップロードされたデータとクラウド アプリケーションからダウンロードされたデータが含まれます。各ロケーションにクォータを適用するため、特定のユーザー、グループ、部署を選択しないでください。特定のユーザー、グループ、または部署に割り当てを適用するには、SSLインスペクションと認証を有効にする必要があります。ユーザーが既知のロケーションから来た場合、クォータはそのロケーションのタイムゾーンに基づいて深夜にリセットされます。リモート ユーザーの場合、クォータは組織のタイムゾーンに基づいてリセットされます。入力できる最小値は10 MB、最大値は100,000 MBです。
- 1日当たりの利用時間:(オプション)時間のクォータは、データのアップロードおよびダウンロード中にセッションで経過した時間に基づいています。セッションのアイドル時間は無視されます。入力できる最小値は15分、最大値は600分です。
テナント プロファイル:クラウド アプリケーションとしてGmailが選択されている場合にのみ表示されます。ルールを適用するテナント プロファイルを選択できます。詳細は、テナント プロファイルについてを参照してください。
GmailがSSLインスペクションから除外されていないことを確認します。
- 警告
選択したアプリケーションでのWebメールの表示を許可する前に、ユーザーに警告するEUNを表示することを選択します。
このアクションは、CONNECT、GETまたはHEADのいずれかの要求方式に対してのみ選択できます。
- 1日あたりの利用帯域幅:(オプション)帯域幅のクォータには、クラウド アプリケーションにアップロードされたデータとクラウド アプリケーションからダウンロードされたデータが含まれます。各ロケーションにクォータを適用するため、特定のユーザー、グループ、部署を選択しないでください。特定のユーザー、グループ、または部署に割り当てを適用するには、SSLインスペクションと認証を有効にする必要があります。ユーザーが既知のロケーションから来た場合、クォータはそのロケーションのタイムゾーンに基づいて深夜にリセットされます。リモート ユーザーの場合、クォータは組織のタイムゾーンに基づいてリセットされます。入力できる最小値は10 MB、最大値は100,000 MBです。
- 1日当たりの利用時間:(オプション)時間のクォータは、データのアップロードおよびダウンロード中にセッションで経過した時間に基づいています。セッションのアイドル時間は無視されます。入力できる最小値は15分、最大値は600分です。
- ブロック
選択したアプリケーションでユーザーがWebメールを表示、Webメールを送信、添付ファイル付きのWebメールの送信できないようにブロックするためにこれを選択します。
閉じる - 分離
クラウドのアプリケーション コントロール ルールに一致するすべてのトラフィックをリモート ブラウザー経由で分離するためにこれを選択します。詳細は、分離とは何か?を参照してください。
分離プロファイル:[分離]を選択すると表示されます。ルールが適用される分離プロファイルを選択することができます。
必ず組織の分離プロファイルを作成してください。
- 1日あたりの利用帯域幅:(オプション)帯域幅のクォータには、クラウド アプリケーションにアップロードされたデータとクラウド アプリケーションからダウンロードされたデータが含まれます。各ロケーションにクォータを適用するため、特定のユーザー、グループ、部署を選択しないでください。特定のユーザー、グループ、または部署に割り当てを適用するには、SSLインスペクションと認証を有効にする必要があります。ユーザーが既知のロケーションから来た場合、クォータはそのロケーションのタイムゾーンに基づいて深夜にリセットされます。リモート ユーザーの場合、クォータは組織のタイムゾーンに基づいてリセットされます。入力できる最小値は10 MB、最大値は100,000 MBです。
- 1日当たりの利用時間:(オプション)時間のクォータは、データのアップロードおよびダウンロード中にセッションで経過した時間に基づいています。セッションのアイドル時間は無視されます。入力できる最小値は15分、最大値は600分です。
テナント プロファイル:クラウド アプリケーションとしてGmailが選択されている場合にのみ表示されます。ルールを適用するテナント プロファイルを選択できます。詳細は、テナント プロファイルについてを参照してください。
GmailがSSLインスペクションから除外されていないことを確認します。
分離オプションは、組織で分離が有効になっている場合にのみ利用可能です。
[URLフィルタリングへのカスケード]:クラウド アプリ コントロール ポリシーによって明示的に許可された後でも、トランザクションにURLフィルタリング ポリシーを適用する場合に有効にします。ただし、クラウド アプリ コントロール ポリシーがトランザクションをブロックする場合、URLフィルタリング ポリシーは適用されません。
このフィールドは、高度な設定のページ([管理]>[高度な設定])でURLフィルタリングのカスケードを許可オプションが無効になっているときにのみ表示されます。
- 許可
- (省略可)通知設定を定義するには、以下の手順を実行します。
[ブラウザー通知テンプレート]:ドロップダウン メニューからブラウザーベースのEUNメッセージを選択すると、ユーザー アクティビティーによってクラウド アプリ制御ポリシー ルールがトリガーされたときにブラウザーにメッセージが表示されます。
このフィールドは、アプリケーション アクセスが[注意]または[ブロック]に設定されている場合に表示されます。
- [エンド ユーザー通知]:選択したアプリケーション詳細なアクションがブロックされている、またはテナント プロファイルが選択されているときにのみ表示されます。ユーザー アクティビティーによってクラウド アプリ制御ポリシー ルールがトリガーされたときにエンドポイントにZscaler Client ConnectorベースのEUNメッセージを表示するには、[表示]を選択し、EUNメッセージを表示したくない場合は[非表示]を選択します。このフィールドは、デフォルトで[表示]に設定されています。
- [カスタム メッセージ]: Zscaler Client ConnectorベースのEUNとして表示するカスタム通知メッセージを選択します。このフィールドは、ドロップダウン メニューからメッセージが選択されていない場合、[デフォルト]の通知メッセージに設定されます。
- [説明]フィールドに追加のメモや情報を入力します(省略可)。説明は10,240文字以内にしてください。
- 保存 と 変更を有効にする をクリックします。
このポリシーがポリシー適用の全体的な順序の中でどのように位置づけられるかを確認するには、ポリシー適用についての理解を参照してください。