インターネットとSaaSへのセキュアなアクセス(ZIA)
Microsoftアプリケーション用のカスタムZscalerコネクターの承認
Zscalerサービスは、Exchange、Microsoft Information Protection (MIP)ラベル、OneDrive、SharePoint、Microsoft Azure Blob Storage、TeamsなどのMicrosoftアプリケーションにアクセスするためのカスタムのクライアント側コネクター オンボーディングをサポートしています。この機能により、完全な管理者資格情報を要求する代わりに、Zscalerサービスは最小限の資格情報セットを使用してMicrosoftアプリケーションにアクセスできます。
Microsoftアプリケーション用のカスタム コネクターを作成するときは、Zscalerサービスがアプリケーションにアクセスできるように、ZIA管理ポータルにクライアントID、クライアント シークレット、テナントIDを指定する必要があります。
Microsoftアプリケーション用のカスタム コネクターを作成するには、以下の手順を実行します。
- 1.カスタム コネクターとクライアント シークレットを作成します。
このセクションでは、ZIA APIクライアント アプリケーションをMicrosoft Entra IDに登録し、クライアント資格情報を設定する方法について説明します。
- a.プリケーションまたはサービスを登録します。
- Azureポータルにサインインします。
- [Azureサービス]セクションで、[アプリ登録]をクリックします。
[アプリ登録]ページが表示されます。 - [新規登録]をクリックします。
アプリケーションの登録のウィンドウが開きます。
アプリケーションの登録のウィンドウで、次の操作を行います。
- [名前]:作成するZscalerの接続を表すアプリケーションの名前を入力します(例:
Zscaler OneDrive Connector
)。 - [サポートされているアカウントのタイプ]:このオプションが[任意の組織ディレクトリー内のアカウント(任意のMicrosoft Entra IDテナント-マルチテナント)]という値に設定されていることを確認します。
- [リダイレクトURI (省略可)]: [Web]をプラットフォームとして選択し、ZscalerアカウントのURLを指定します(例:
https://admin.zscalertwo.net/
)。後で使用するためにURLを保存します。
- [名前]:作成するZscalerの接続を表すアプリケーションの名前を入力します(例:
- [登録]をクリックします。
アプリケーションが登録され、アプリケーションの[概要]ページが表示されます。[概要]ページから[アプリケーション(クライアント) ID]と[ディレクトリー(テナント) ID]の値をコピーし、後で使用するために保存します。
閉じる - b.クライアント シークレットを構成およびコピーします。
- アプリの左側のナビゲーションで[証明書とシークレット]に移動し、[クライアント シークレット]タブで[新規クライアント シークレット]をクリックします。
クライアント シークレットの追加のウィンドウが開きます。
- [クライアント シークレットの追加のウィンドウで、次の操作を行います。
- [定義]:クライアント シークレットに関する情報を提供します。
- [有効期限]:ドロップダウン メニューから適切な有効期限を選択します。
- [追加]をクリックします。
クライアント シークレットの値が生成され、表示されます。
- シークレット値をすぐにコピーし、後で使用するために保存します。
クライアント シークレットの値は一度だけ表示され、ページから移動した後に取得することはできません。
閉じる
- a.プリケーションまたはサービスを登録します。
- 2.コネクターのAPI権限を生成します。
Zscalerサービス用に作成するMicrosoftコネクターごとに、特定のAPIアクセス権限を割り当てる必要があります。
- 左側のナビゲーションで[API権限]に移動し、[設定済み権限]の下の[権限を追加]をクリックします。
[API権限をリクエスト]ペインが表示されます。
画像を参照してください。 - [Microsoft API]タブで、権限を割り当てるAPI ([Microsoft Graph]など)をクリックします。詳細は、「API権限の完全なリスト」を参照してください。
- [アプリケーション権限]をクリックします。
画像を参照してください。 - [権限を選択]リストで、コネクターに必要な各権限を選択します。
- [権限を追加]をクリックします。
画像を参照してください。権限は、[API権限]ページの[設定済み権限]リストに表示されます。
画像を参照してください。 - 管理者の同意が必要な場合(SharePointの権限など)は、[管理者の同意を付与する]を選択します。
- [管理者同意の付与]確認ウィンドウで、[はい]をクリックします。
- 左側のナビゲーションで[API権限]に移動し、[設定済み権限]の下の[権限を追加]をクリックします。
- 3.ロールの割り当てを追加します(Microsoft Azure Blob Storage専用)。
Microsoft Azure Blobストレージのカスタム コネクターをセットアップする場合は、Zscalerサービスがアプリケーションに適切にアクセスできるように、Azureで追加のロール割り当てを追加する必要があります。
[Azureサービス]>[エンタープライズ アプリケーション]に移動します。
カスタム コネクターとクライアント シークレットを作成したときのIDと一致する[テナントID]と[アプリケーション名]をコピーします。
Azure ポータルのホーム ページに戻り、[サブスクリプション] に移動して サブスクリプション を選択します。
[アクセス制御(IAM)]>[ロールの割り当て]>[追加]>[ロールの割り当てを追加]に移動します。
Storage Contributor
と検索します。[ストレージBlobデータ コントリビューター]と[ストレージ アカウント コントリビューター]を選択し、[次へ]をクリックします。これは、ロールごとに個別に行う必要があります。[メンバーを選択]をクリックし、アプリケーションを[ストレージBlobデータ コントリビューター]と[ストレージ アカウント コントリビューター]に追加し、[レビュー+割り当て]を選択します。
- 4. 秘密キーのJSONファイルを作成します(Microsoft SharePoint専用)。
SharePointをSaaSアプリケーション テナントとしてZIAに追加する場合は、秘密キーのJSONファイルを作成し、公開証明書をAzureにアップロードする必要があります。
- a. 自己署名付き証明書を作成します。
- コンピューターでターミナルを開きます。
Keytool -genkey -alias selfsigned -keyalg RSA -keypass <keypassword> -storepass <keystorepass> -keystore Keystore.pfx -keysize 2048 -validity 1461
カスタム情報を入力し、
Enter
キーを押します。次のスクリプトを実行します。
Keytool -export -keystore keystore.pfx -alias selfsigned -file ketstore.cer
最初のスクリプトで設定したソース キーストア パスワードを入力します。
keystore.pfx
とkeystore.cer
の2つのファイルが作成されます。
- b. 作成したClient Connectorに証明書ファイルをアップロードします。
- c. 秘密キーのJSONファイルを作成します。
- Azureポータルにアップロードした証明書にアクセスします。これを表示する方法は、Microsoftのドキュメンテーションを参照してください。
PFXファイルに対して次のコマンドを入力して実行し、公開証明書を取得します。ここで<certname>は前のステップの証明書名です。このコマンドは、前のステップで設定したソース キーストア パスワードを要求します。
openssl pkcs12 -in
<certname>
.pfx
次のコマンドを入力して実行し、解読された秘密キーを取得します。
openssl pkcs12 -in
<certname>
.pfx -nocerts -nodes -out
次の形式で新規ファイルを作成し、秘密キーと証明書を貼り付けます。
{“private_key”: ”<Private Key>”, “public_cert”: ”<Certificate>” }
秘密キーと証明書は、括弧で囲んだ1行としてフォーマットします。元の書式では、改行ごとに\nと入力します。次の例を参照してください。
{ "private_key":"-----BEGIN PRIVATE KEY-----\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\n-----END PRIVATE KEY-----\n", "public_cert":"-----BEGIN CERTIFICATE-----\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\n-----END CERTIFICATE-----\n" }
- ファイルをJSON形式で保存します。
- a. 自己署名付き証明書を作成します。
- 5. カスタム コネクターを承認します。
カスタム コネクターを承認するには、まずAzureログインURLを手動で更新して、テナント上のアプリケーションに権限を許可する必要があります。その後、Zscalerサービスがアプリケーションにアクセスできるために、ZIA管理ポータルでクライアントID、クライアント シークレット、テナントIDを指定する必要があります。Microsoft SaaSアプリケーション テナントまたはMIPアカウント用のカスタム コネクターを作成できます。
- SaaSアプリケーション テナント用のカスタム コネクターの作成
- ZIA管理ポータルで、[管理]>[SaaSアプリケーション テナント]に移動します。
- [SaaSアプリケーション テナントを追加]をクリックします。
[SaaSアプリケーション テナントを追加]ページが表示されます。 - [SaaSアプリケーション プロバイダーを選択]の下で、Microsoft SaaSアプリケーションを選択します。
- [テナント名]フィールドに名前を入力します。
https://login.microsoftonline.com/common/adminconsent?
<client_id>
&state=administration/add-casb-tenants&
<redirect_uri>
のURLをコピーして、別のブラウザー タブに貼り付けます。- URLで、[
client_id
]パラメーターを以前にコピーした[アプリケーション(クライアント) ID]で置換し、[redirect_uri
]を以前にコピーした[リダイレクトURI]で置換します。 - キーボードの
Enter
キーを押します。
Microsoft ウィンドウが表示され、 Zscalerサービスから要求された権限が一覧表示されます。
画像を参照してください。 - [承諾]をクリックします。
[SaaSアプリケーション テナントを追加]ページに戻ります。 - [SaaSアプリケーションを承認]セクションで、[SaaSコネクター]に[カスタム]を選択します。
以前にコピーした[クライアントID]、[クライアント シークレット]および[テナントID]の値を入力し、[承認]をクリックします。
SharePointをオンボーディングする場合は、前のセクションで作成およびフォーマットしたJSONファイルもアップロードします。
画像を参照してください。- ZIA管理ポータルで、[保存]をクリックし、変更をアクティブ化します。
テナントを追加した後、保存データ スキャンのDLPポリシー、マルウェア検出ポリシー、スキャン構成を設定できます。テナントのレポートとデータは、SaaSセキュリティ レポート、インサイト、ログで表示することもできます。
閉じる - MIPアカウント用のカスタム コネクターの作成
- [管理]>[ラベルとタグ]の順にアクセスします。
- [Microsoft Information Protection(MIP)のラベル]タブで、[MIPアカウントの追加]をクリックします。
[MIPアカウントの追加]ウィンドウが表示されます。
https://login.microsoftonline.com/common/adminconsent?client_id=<client_id>&state=administration/mip-labels&redirect_uri=
<redirect_uri>
というURLをコピーして、別のブラウザー タブに貼り付けます。- URLで、[
client_id
]パラメーターを以前にコピーした[アプリケーション(クライアント) ID]で置換し、[redirect_uri
]を以前にコピーした[リダイレクトURI]で置換します。 - キーボードの
Enter
キーを押します。
Microsoft ウィンドウが表示され、 Zscalerサービスから要求された権限が一覧表示されます。
画像を参照してください。 - [承諾]をクリックします。
- [MIPアカウントを追加]ウィンドウに戻ります。
- [SaaSコネクター]に[カスタム]を選択します。
- 前にコピーした[クライアントID]、[クライアント シークレット]および[テナントID]の値を入力し、[検証]をクリックします。
画像を参照してください。
[MIPアカウントの追加]ウィンドウが再び表示され、アカウントの詳細を示す次のウィンドウが表示されます。
- [MIPアカウントの追加]ウィンドウの[アカウント名]の下で、Microsoftアカウントに関連付ける名前を入力します。一意的である必要があります。
- 保存 と 変更を有効にする をクリックします。
MIPアカウントがZIA管理ポータルに追加されます。MIPアカウントが承認されている場合、MIPアカウントには[検証成功]ステータスが表示されます。アカウントが承認されていない場合は、[検証失敗]ステータスが表示されます。MIPアカウントのステータスが[検証失敗]の場合は、[MIPアカウントを編集]ウィンドウで[承認]をクリックして、承認プロセスを再試行できます。
- MIPアカウントの[ラベルの取得]フィールドを変更します。
- SaaSアプリケーション テナント用のカスタム コネクターの作成
カスタム コネクターを作成するときは、次のアプリケーション固有のAPI権限を指定して、Zscalerサービスに必要なアクセス権があることを確認します。
- MicrosoftアプリケーションのAPI権限
次のAPIテーブルでは、[Microsoft API]列の各列に対して、[API許可のリクエスト]ページから異なるアプリケーションを選択する必要があります。たとえば、Azureでは、[Azure Storage]と[Windows Azureサービス管理]の両方で同じ[user_impersonation]権限を選択する必要があります。
- 交換閉じる
Microsoft API Microsoft権限 関連付けられたZscalerのアクション Microsoft Graph API Mail.ReadWrite [メール タグの適用]ラベル MailboxSettings.Read スキャン中 Directory.Read.All スキャン中 User.Read.All スキャン中 Mail.Send 検疫 Organization.Read.All スキャン中 AuditLog.Read.All スキャン中 Member.Read.Hidden スキャン中 Reports.Read.All スキャン中 - Microsoft Azure Blob Storage閉じる
Microsoft API Microsoft権限 関連付けられたZscalerのアクション Azure Storage API user_impersonation - ストレージ アカウントを検出する
- スキャン中
Windows Azureサービス管理API user_impersonation - ストレージ アカウントを検出する
- スキャン中
- Microsoft Information Protection (MIP)閉じる
Microsoft API Microsoft権限 関連付けられたZscalerのアクション Microsoft Graph API InformationProtectionPolicy.Read.All スキャン中 Microsoft情報保護同期サービスAPI UnifiedPolicy.Tenant.Read スキャン中 Microsoft権利管理サービスAPI Content.DelegatedWriter MIPラベルをファイルに適用する Content.Writer MIPラベルをファイルに適用する Content.SuperUser スキャン中 Content.DelegatedReader スキャン中 - OneDrive閉じる
Microsoft API Microsoft権限 関連付けられたZscalerのアクション Office 365管理API ActivityFeed.Read スキャン中 Microsoft Graph People.Read.All スキャン中 Group.Read.All スキャン中 Sites.Manage.All スキャンと隔離 Sites.ReadWrite.All - 共有を削除
- 隔離済みファイルを復元する
- 外部コラボレータ―を削除
- 外部コラボレーターと共有可能リンクを削除
- 共有可能な公開リンクの削除
- 内部共有可能リンクを削除
- 検疫
- ユーザー ルート フォルダーへの隔離
- ファイルの削除
Files.ReadWrite.All - スキャンと隔離
- ユーザー ルート フォルダーへの隔離
Directory.Read.All スキャン中 GroupMember.Read.All スキャン中 Organization.Read.All スキャン中 AuditLog.Read.All スキャン中 Application.Read.All スキャン中 Reports.Read.All スキャン中 - sharepoint
- チーム閉じる
Microsoft API Microsoft権限 関連付けられたZscalerのアクション Office 365管理API ActivityFeed.Read スキャン中 Microsoft Graph API TeamMember.Read.All スキャン中 Chat.UpdatePolicyViolation.All ブロック メッセージ TeamsAppInstallation.ReadForUser.All スキャン中 TeamsAppInstallation.ReadWriteSelfForUser.All ユーザーに通知(Zscalerワークフローの自動化) TeamsAppInstallation.ReadWriteAndConsentForTeam.All ユーザーに通知(Zscalerワークフローの自動化) Sites.Selected スキャン中 TeamsActivity.Read.All スキャン中 TeamsAppInstallation.ReadForChat.All スキャン中 ChannelSettings.Read.All スキャン中 Channel.ReadBasic.All スキャン中 People.Read.All スキャン中 Group.Read.All スキャン中 Sites.Read.All スキャン中 Sites.ReadWrite.All - 共有を削除
- 隔離済みファイルを復元する
- 外部コラボレータ―を削除
- 外部コラボレーターと共有可能リンクを削除
- 共有可能な公開リンクの削除
- 内部共有可能リンクを削除
- 検疫
- ユーザー ルート フォルダーへの隔離
- ファイルの削除
ChatMessage.Read.All スキャン中 Directory.Read.All スキャン中 User.Read.All スキャン中 ChannelMember.Read.All スキャン中 GroupMember.Read.All スキャン中 Files.Read.All スキャン中 Team.ReadBasic.All スキャン中 Chat.Read.All スキャン中 ChannelMessage.Read.All スキャン中 ChannelMessage.UpdatePolicyViolation.All - ユーザーに通知(Zscalerワークフローの自動化)
- ユーザーへの通知
Organization.Read.All スキャン中 AuditLog.Read.All スキャン中 Chat.ReadBasic.All スキャン中 Application.Read.All スキャン中 ChatMember.Read.All スキャン中 TeamsAppInstallation.ReadForTeam.All ユーザーに通知(Zscalerワークフローの自動化) Reports.Read.All スキャン中
- 交換