icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

Microsoftアプリケーション用のカスタムZscalerコネクターの承認

Zscalerサービスは、Exchange、Microsoft Information Protection (MIP)ラベル、OneDrive、SharePoint、Microsoft Azure Blob Storage、TeamsなどのMicrosoftアプリケーションにアクセスするためのカスタムのクライアント側コネクター オンボーディングをサポートしています。この機能により、完全な管理者資格情報を要求する代わりに、Zscalerサービスは最小限の資格情報セットを使用してMicrosoftアプリケーションにアクセスできます。

Microsoftアプリケーション用のカスタム コネクターを作成するときは、Zscalerサービスがアプリケーションにアクセスできるように、ZIA管理ポータルにクライアントID、クライアント シークレット、テナントIDを指定する必要があります。

Microsoftアプリケーション用のカスタム コネクターを作成するには、以下の手順を実行します。

  • このセクションでは、ZIA APIクライアント アプリケーションをMicrosoft Entra IDに登録し、クライアント資格情報を設定する方法について説明します。

      1. Azureポータルにサインインします。
      2. [Azureサービス]セクションで、[アプリ登録]をクリックします。
        [アプリ登録]ページが表示されます。
      3. [新規登録]をクリックします。

      アプリケーションの登録のウィンドウが開きます。

      1. アプリケーションの登録のウィンドウで、次の操作を行います。

        • [名前]:作成するZscalerの接続を表すアプリケーションの名前を入力します(例:Zscaler OneDrive Connector)。
        • [サポートされているアカウントのタイプ]:このオプションが[任意の組織ディレクトリー内のアカウント(任意のMicrosoft Entra IDテナント-マルチテナント)]という値に設定されていることを確認します。
        • [リダイレクトURI (省略可)]: [Web]をプラットフォームとして選択し、ZscalerアカウントのURLを指定します(例:https://admin.zscalertwo.net/)。後で使用するためにURLを保存します。

      2. [登録]をクリックします。

      アプリケーションが登録され、アプリケーションの[概要]ページが表示されます。[概要]ページから[アプリケーション(クライアント) ID]と[ディレクトリー(テナント) ID]の値をコピーし、後で使用するために保存します。

      閉じる
      1. アプリの左側のナビゲーションで[証明書とシークレット]に移動し、[クライアント シークレット]タブで[新規クライアント シークレット]をクリックします。

      クライアント シークレットの追加のウィンドウが開きます。

      1. [クライアント シークレットの追加のウィンドウで、次の操作を行います。
        • [定義]:クライアント シークレットに関する情報を提供します。
        • [有効期限]:ドロップダウン メニューから適切な有効期限を選択します。

      1. [追加]をクリックします。

      クライアント シークレットの値が生成され、表示されます。

      1. シークレット値をすぐにコピーし、後で使用するために保存します。

      クライアント シークレットの値は一度だけ表示され、ページから移動した後に取得することはできません。

      閉じる
    閉じる
  • Zscalerサービス用に作成するMicrosoftコネクターごとに、特定のAPIアクセス権限を割り当てる必要があります。

    1. 左側のナビゲーションで[API権限]に移動し、[設定済み権限]の下の[権限を追加]をクリックします。
      [API権限をリクエスト]ペインが表示されます。
    2. [Microsoft API]タブで、権限を割り当てるAPI ([Microsoft Graph]など)をクリックします。詳細は、「API権限の完全なリスト」を参照してください。
    3. [アプリケーション権限]をクリックします。
    4. [権限を選択]リストで、コネクターに必要な各権限を選択します。
    5. [権限を追加]をクリックします。
      権限は、[API権限]ページの[設定済み権限]リストに表示されます。
    6. 管理者の同意が必要な場合(SharePointの権限など)は、[管理者の同意を付与する]を選択します。
    7. [管理者同意の付与]確認ウィンドウで、[はい]をクリックします。
    閉じる
  • Microsoft Azure Blobストレージのカスタム コネクターをセットアップする場合は、Zscalerサービスがアプリケーションに適切にアクセスできるように、Azureで追加のロール割り当てを追加する必要があります。

    1. [Azureサービス]>[エンタープライズ アプリケーション]に移動します。

    2. カスタム コネクターとクライアント シークレットを作成したときのIDと一致する[テナントID]と[アプリケーション名]をコピーします。

    3. Azure ポータルのホーム ページに戻り、[サブスクリプション] に移動して サブスクリプション を選択します。

    4. [アクセス制御(IAM)]>[ロールの割り当て]>[追加]>[ロールの割り当てを追加]に移動します。

    5. Storage Contributorと検索します。[ストレージBlobデータ コントリビューター]と[ストレージ アカウント コントリビューター]を選択し、[次へ]をクリックします。これは、ロールごとに個別に行う必要があります。
    6. [メンバーを選択]をクリックし、アプリケーションを[ストレージBlobデータ コントリビューター]と[ストレージ アカウント コントリビューター]に追加し、[レビュー+割り当て]を選択します。

    閉じる
  • SharePointをSaaSアプリケーション テナントとしてZIAに追加する場合は、秘密キーのJSONファイルを作成し、公開証明書をAzureにアップロードする必要があります。

      1. コンピューターでターミナルを開きます。
      2. 次のスクリプトを実行します。

        Keytool -genkey -alias selfsigned -keyalg RSA -keypass <keypassword> -storepass <keystorepass> -keystore Keystore.pfx -keysize 2048 -validity 1461
      3. カスタム情報を入力し、Enterキーを押します。

      4. 次のスクリプトを実行します。

        Keytool -export -keystore keystore.pfx -alias selfsigned -file ketstore.cer
      5. 最初のスクリプトで設定したソース キーストア パスワードを入力します。

        keystore.pfxkeystore.cerの2つのファイルが作成されます。

      閉じる
      1. Azureポータルで、[アプリの登録]に移動し、作成したClient Connectorをクリックします。左側のナビゲーションで、[管理]>[証明書とシークレット]に移動します。

      2. [証明書]タブをクリックし、[証明書をアップロード]をクリックします。

      3. [説明]フィールドに、証明書の説明を入力します。
      4. 公開証明書のCERファイルをアップロードし、[追加]をクリックします。
      閉じる
      1. Azureポータルにアップロードした証明書にアクセスします。これを表示する方法は、Microsoftのドキュメンテーションを参照してください。
      2. PFXファイルに対して次のコマンドを入力して実行し、公開証明書を取得します。ここで<certname>は前のステップの証明書名です。このコマンドは、前のステップで設定したソース キーストア パスワードを要求します。

        openssl pkcs12 -in <certname>.pfx
      3. 次のコマンドを入力して実行し、解読された秘密キーを取得します。

        openssl pkcs12 -in <certname>.pfx -nocerts -nodes -out
      4. 次の形式で新規ファイルを作成し、秘密キーと証明書を貼り付けます。

        {“private_key”: ”<Private Key>”,
           “public_cert”: ”<Certificate>”
        }

        秘密キーと証明書は、括弧で囲んだ1行としてフォーマットします。元の書式では、改行ごとに\nと入力します。次の例を参照してください。

        { "private_key":"-----BEGIN PRIVATE KEY-----\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\n-----END PRIVATE KEY-----\n",
        "public_cert":"-----BEGIN CERTIFICATE-----\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\n-----END CERTIFICATE-----\n" 
        } 
      5. ファイルをJSON形式で保存します。
      閉じる
    閉じる
  • カスタム コネクターを承認するには、まずAzureログインURLを手動で更新して、テナント上のアプリケーションに権限を許可する必要があります。その後、Zscalerサービスがアプリケーションにアクセスできるために、ZIA管理ポータルでクライアントID、クライアント シークレット、テナントIDを指定する必要があります。Microsoft SaaSアプリケーション テナントまたはMIPアカウント用のカスタム コネクターを作成できます。

      1. ZIA管理ポータルで、[管理]>[SaaSアプリケーション テナント]に移動します。
      2. [SaaSアプリケーション テナントを追加]をクリックします。
        [SaaSアプリケーション テナントを追加]ページが表示されます。
      3. [SaaSアプリケーション プロバイダーを選択]の下で、Microsoft SaaSアプリケーションを選択します。
      4. [テナント名]フィールドに名前を入力します。
      5. https://login.microsoftonline.com/common/adminconsent?<client_id>&state=administration/add-casb-tenants&<redirect_uri>のURLをコピーして、別のブラウザー タブに貼り付けます。
      6. URLで、[client_id]パラメーターを以前にコピーした[アプリケーション(クライアント) ID]で置換し、[redirect_uri]を以前にコピーした[リダイレクトURI]で置換します。
      7. キーボードの Enter キーを押します。
        Microsoft ウィンドウが表示され、 Zscalerサービスから要求された権限が一覧表示されます。
      8. [承諾]をクリックします。
        [SaaSアプリケーション テナントを追加]ページに戻ります。
      9. [SaaSアプリケーションを承認]セクションで、[SaaSコネクター]に[カスタム]を選択します。
      10. 以前にコピーした[クライアントID]、[クライアント シークレット]および[テナントID]の値を入力し、[承認]をクリックします。

        SharePointをオンボーディングする場合は、前のセクションで作成およびフォーマットしたJSONファイルもアップロードします。

      11. ZIA管理ポータルで、[保存]をクリックし、変更をアクティブ化します。

      テナントを追加した後、保存データ スキャンのDLPポリシーマルウェア検出ポリシースキャン構成を設定できます。テナントのレポートとデータは、SaaSセキュリティ レポートインサイトログで表示することもできます。

      閉じる
      1. [管理]>[ラベルとタグ]の順にアクセスします。
      2. [Microsoft Information Protection(MIP)のラベル]タブで、[MIPアカウントの追加]をクリックします。

      [MIPアカウントの追加]ウィンドウが表示されます。

      1. https://login.microsoftonline.com/common/adminconsent?client_id=<client_id>&state=administration/mip-labels&redirect_uri=<redirect_uri>というURLをコピーして、別のブラウザー タブに貼り付けます。
      2. URLで、[client_id]パラメーターを以前にコピーした[アプリケーション(クライアント) ID]で置換し、[redirect_uri]を以前にコピーした[リダイレクトURI]で置換します。
      3. キーボードの Enter キーを押します。
        Microsoft ウィンドウが表示され、 Zscalerサービスから要求された権限が一覧表示されます。
      4. [承諾]をクリックします。
      5. [MIPアカウントを追加]ウィンドウに戻ります。
      6. [SaaSコネクター]に[カスタム]を選択します。
      7. 前にコピーした[クライアントID]、[クライアント シークレット]および[テナントID]の値を入力し、[検証]をクリックします。

      [MIPアカウントの追加]ウィンドウが再び表示され、アカウントの詳細を示す次のウィンドウが表示されます。

      1. [MIPアカウントの追加]ウィンドウの[アカウント名]の下で、Microsoftアカウントに関連付ける名前を入力します。一意的である必要があります。
      2. 保存変更を有効にする をクリックします。

      MIPアカウントがZIA管理ポータルに追加されます。MIPアカウントが承認されている場合、MIPアカウントには[検証成功]ステータスが表示されます。アカウントが承認されていない場合は、[検証失敗]ステータスが表示されます。MIPアカウントのステータスが[検証失敗]の場合は、[MIPアカウントを編集]ウィンドウで[承認]をクリックして、承認プロセスを再試行できます。

      1. MIPアカウントの[ラベルの取得]フィールドを変更します
      閉じる
    閉じる

カスタム コネクターを作成するときは、次のアプリケーション固有のAPI権限を指定して、Zscalerサービスに必要なアクセス権があることを確認します。

  • 次のAPIテーブルでは、[Microsoft API]列の各列に対して、[API許可のリクエスト]ページから異なるアプリケーションを選択する必要があります。たとえば、Azureでは、[Azure Storage]と[Windows Azureサービス管理]の両方で同じ[user_impersonation]権限を選択する必要があります。

    • Microsoft APIMicrosoft権限関連付けられたZscalerのアクション
      Microsoft Graph APIMail.ReadWrite[メール タグの適用]ラベル
      MailboxSettings.Readスキャン中
      Directory.Read.Allスキャン中
      User.Read.Allスキャン中
      Mail.Send検疫
      Organization.Read.Allスキャン中
      AuditLog.Read.Allスキャン中
      Member.Read.Hiddenスキャン中
      Reports.Read.Allスキャン中
      閉じる
    • Microsoft APIMicrosoft権限関連付けられたZscalerのアクション
      Azure Storage APIuser_impersonation
      • ストレージ アカウントを検出する
      • スキャン中
      Windows Azureサービス管理APIuser_impersonation
      • ストレージ アカウントを検出する
      • スキャン中
      閉じる
    • Microsoft APIMicrosoft権限関連付けられたZscalerのアクション
      Microsoft Graph APIInformationProtectionPolicy.Read.Allスキャン中
      Microsoft情報保護同期サービスAPIUnifiedPolicy.Tenant.Readスキャン中
      Microsoft権利管理サービスAPIContent.DelegatedWriterMIPラベルをファイルに適用する
      Content.WriterMIPラベルをファイルに適用する
      Content.SuperUserスキャン中
      Content.DelegatedReaderスキャン中
      閉じる
    • Microsoft APIMicrosoft権限関連付けられたZscalerのアクション
      Office 365管理APIActivityFeed.Readスキャン中
      Microsoft GraphPeople.Read.Allスキャン中
      Group.Read.Allスキャン中
      Sites.Manage.Allスキャンと隔離
      Sites.ReadWrite.All
      • 共有を削除
      • 隔離済みファイルを復元する
      • 外部コラボレータ―を削除
      • 外部コラボレーターと共有可能リンクを削除
      • 共有可能な公開リンクの削除
      • 内部共有可能リンクを削除
      • 検疫
      • ユーザー ルート フォルダーへの隔離
      • ファイルの削除
      Files.ReadWrite.All
      • スキャンと隔離
      • ユーザー ルート フォルダーへの隔離
      Directory.Read.Allスキャン中
      GroupMember.Read.Allスキャン中
      Organization.Read.Allスキャン中
      AuditLog.Read.Allスキャン中
      Application.Read.Allスキャン中
      Reports.Read.Allスキャン中
      閉じる
    • Microsoft APIMicrosoft権限関連付けられたZscalerのアクション
      SharePoint APISites.Read.Allスキャン中
      Office 365管理APIActivityFeed.Readスキャン中
      Microsoft Graph APIPeople.Read.Allスキャン中
      Group.Read.Allスキャン中
      Sites.Manage.Allスキャン中
      Sites.ReadWrite.All
      • 共有を削除
      • 隔離済みファイルを復元する
      • 外部コラボレータ―を削除
      • 外部コラボレーターと共有可能リンクを削除
      • 共有可能な公開リンクの削除
      • 内部共有可能リンクを削除
      • 検疫
      • ユーザー ルート フォルダーへの隔離
      • ファイルの削除
      Files.ReadWrite.All
      • スキャンと隔離
      • ユーザー ルート フォルダーへの隔離
      Directory.Read.Allスキャン中
      GroupMember.Read.Allスキャン中
      Organization.Read.Allスキャン中
      AuditLog.Read.Allスキャン中
      Application.Read.Allスキャン中
      Reports.Read.Allスキャン中
      閉じる
    • Microsoft APIMicrosoft権限関連付けられたZscalerのアクション
      Office 365管理APIActivityFeed.Readスキャン中
      Microsoft Graph APITeamMember.Read.Allスキャン中
      Chat.UpdatePolicyViolation.Allブロック メッセージ
      TeamsAppInstallation.ReadForUser.Allスキャン中
      TeamsAppInstallation.ReadWriteSelfForUser.Allユーザーに通知(Zscalerワークフローの自動化)
      TeamsAppInstallation.ReadWriteAndConsentForTeam.Allユーザーに通知(Zscalerワークフローの自動化)
      Sites.Selectedスキャン中
      TeamsActivity.Read.Allスキャン中
      TeamsAppInstallation.ReadForChat.Allスキャン中
      ChannelSettings.Read.Allスキャン中
      Channel.ReadBasic.Allスキャン中
      People.Read.Allスキャン中
      Group.Read.Allスキャン中
      Sites.Read.Allスキャン中
      Sites.ReadWrite.All
      • 共有を削除
      • 隔離済みファイルを復元する
      • 外部コラボレータ―を削除
      • 外部コラボレーターと共有可能リンクを削除
      • 共有可能な公開リンクの削除
      • 内部共有可能リンクを削除
      • 検疫
      • ユーザー ルート フォルダーへの隔離
      • ファイルの削除
      ChatMessage.Read.Allスキャン中
      Directory.Read.Allスキャン中
      User.Read.Allスキャン中
      ChannelMember.Read.Allスキャン中
      GroupMember.Read.Allスキャン中
      Files.Read.Allスキャン中
      Team.ReadBasic.Allスキャン中
      Chat.Read.Allスキャン中
      ChannelMessage.Read.Allスキャン中
      ChannelMessage.UpdatePolicyViolation.All
      Organization.Read.Allスキャン中
      AuditLog.Read.Allスキャン中
      Chat.ReadBasic.Allスキャン中
      Application.Read.Allスキャン中
      ChatMember.Read.Allスキャン中
      TeamsAppInstallation.ReadForTeam.Allユーザーに通知(Zscalerワークフローの自動化)
      Reports.Read.Allスキャン中
      閉じる
    閉じる
関連記事s
Microsoftアプリケーション用のカスタムZscalerコネクターの承認Googleアプリケーション用のカスタムZscalerコネクターの承認SaaSアプリケーション テナントについてSaaSアプリケーション テナントの追加SaaSアプリケーションの検証エラーコードServiceNowテナント用オブジェクトタイプの追加