Zscalerサービスは、Exchange、Microsoft Information Protection (MIP)ラベル、OneDrive、SharePoint、Microsoft Azure Blob Storage、TeamsなどのMicrosoftアプリケーションにアクセスするためのカスタムのクライアント側コネクター オンボーディングをサポートしています。この機能により、完全な管理者資格情報を要求する代わりに、Zscalerサービスは最小限の資格情報セットを使用してMicrosoftアプリケーションにアクセスできます。

Microsoftアプリケーション用のカスタム コネクターを作成するときは、Zscalerサービスがアプリケーションにアクセスできるように、ZIA管理ポータルにクライアントID、クライアント シークレット、テナントIDを指定する必要があります。

Microsoftアプリケーション用のカスタム コネクターを作成するには、以下の手順を実行します。

• 1.カスタム コネクターとクライアント シークレットを作成します。

  このセクションでは、ZIA APIクライアント アプリケーションをMicrosoft Entra IDに登録し、クライアント資格情報を設定する方法について説明します。

  • a.プリケーションまたはサービスを登録します。

    1. Azureポータルにサインインします。
    2. [Azureサービス]セクションで、[アプリ登録]をクリックします。
       [アプリ登録]ページが表示されます。
    3. [新規登録]をクリックします。

    画像を見る。

    

    閉じる

    アプリケーションの登録のウィンドウが開きます。

    4. アプリケーションの登録のウィンドウで、次の操作を行います。

       • [名前]:作成するZscalerの接続を表すアプリケーションの名前を入力します(例：Zscaler OneDrive Connector)。
       • [サポートされているアカウントのタイプ]:このオプションが[任意の組織ディレクトリー内のアカウント(任意のMicrosoft Entra IDテナント-マルチテナント)]という値に設定されていることを確認します。
       • [リダイレクトURI (省略可)]: [Web]をプラットフォームとして選択し、ZscalerアカウントのURLを指定します(例：https://admin.zscalertwo.net/)。後で使用するためにURLを保存します。

       画像を見る。

       

       閉じる

    5. [登録]をクリックします。

    アプリケーションが登録され、アプリケーションの[概要]ページが表示されます。[概要]ページから[アプリケーション(クライアント) ID]と[ディレクトリー(テナント) ID]の値をコピーし、後で使用するために保存します。

    画像を見る。

    

    閉じる

    閉じる
  • b.クライアント シークレットを構成およびコピーします。

    1. アプリの左側のナビゲーションで[証明書とシークレット]に移動し、[クライアント シークレット]タブで[新規クライアント シークレット]をクリックします。

    画像を見る。

    

    閉じる

    クライアント シークレットの追加のウィンドウが開きます。

    3. [クライアント シークレットの追加のウィンドウで、次の操作を行います。
       • [定義]：クライアント シークレットに関する情報を提供します。
       • [有効期限]：ドロップダウン メニューから適切な有効期限を選択します。

    画像を見る。

    

    閉じる

    4. [追加]をクリックします。

    クライアント シークレットの値が生成され、表示されます。

    5. シークレット値をすぐにコピーし、後で使用するために保存します。

    クライアント シークレットの値は一度だけ表示され、ページから移動した後に取得することはできません。

    画像を見る。

    

    閉じる

    閉じる

  閉じる
• 2.コネクターのAPI権限を生成します。

  Zscalerサービス用に作成するMicrosoftコネクターごとに、特定のAPIアクセス権限を割り当てる必要があります。

  1. 左側のナビゲーションで[API権限]に移動し、[設定済み権限]の下の[権限を追加]をクリックします。
     [API権限をリクエスト]ペインが表示されます。
     画像を参照してください。

     

     閉じる
  2. [Microsoft API]タブで、権限を割り当てるAPI ([Microsoft Graph]など)をクリックします。詳細は、「API権限の完全なリスト」を参照してください。
  3. [アプリケーション権限]をクリックします。
     画像を参照してください。

     

     閉じる
  4. [権限を選択]リストで、コネクターに必要な各権限を選択します。
  5. [権限を追加]をクリックします。
     画像を参照してください。

     

     閉じる
     権限は、[API権限]ページの[設定済み権限]リストに表示されます。
     画像を参照してください。

     

     閉じる
  6. 管理者の同意が必要な場合(SharePointの権限など)は、[管理者の同意を付与する]を選択します。
  7. [管理者同意の付与]確認ウィンドウで、[はい]をクリックします。

  閉じる
• 3.ロールの割り当てを追加します(Microsoft Azure Blob Storage専用)。

  Microsoft Azure Blobストレージのカスタム コネクターをセットアップする場合は、Zscalerサービスがアプリケーションに適切にアクセスできるように、Azureで追加のロール割り当てを追加する必要があります。

  1. [Azureサービス]>[エンタープライズ アプリケーション]に移動します。

     画像を見る。

     閉じる

  2. カスタム コネクターとクライアント シークレットを作成したときのIDと一致する[テナントID]と[アプリケーション名]をコピーします。

     画像を見る。

     

     閉じる

  3. Azure ポータルのホーム ページに戻り、[サブスクリプション] に移動して サブスクリプション を選択します。

     画像を見る。

     

     閉じる

  4. [アクセス制御(IAM)]>[ロールの割り当て]>[追加]>[ロールの割り当てを追加]に移動します。

     画像を見る。

     

     閉じる

  5. Storage Contributorと検索します。[ストレージBlobデータ コントリビューター]と[ストレージ アカウント コントリビューター]を選択し、[次へ]をクリックします。これは、ロールごとに個別に行う必要があります。

  6. [メンバーを選択]をクリックし、アプリケーションを[ストレージBlobデータ コントリビューター]と[ストレージ アカウント コントリビューター]に追加し、[レビュー+割り当て]を選択します。

     画像を見る。

     

     閉じる

  閉じる
• 4. 秘密キーのJSONファイルを作成します(Microsoft SharePoint専用)。

  SharePointをSaaSアプリケーション テナントとしてZIAに追加する場合は、秘密キーのJSONファイルを作成し、公開証明書をAzureにアップロードする必要があります。

  • a. 自己署名付き証明書を作成します。
    1. コンピューターでターミナルを開きます。

    2. 次のスクリプトを実行します。

       Keytool -genkey -alias selfsigned -keyalg RSA -keypass <keypassword> -storepass <keystorepass> -keystore Keystore.pfx -keysize 2048 -validity 1461

    3. カスタム情報を入力し、Enterキーを押します。

       画像を見る。

       

       閉じる

    4. 次のスクリプトを実行します。

       Keytool -export -keystore keystore.pfx -alias selfsigned -file ketstore.cer

    5. 最初のスクリプトで設定したソース キーストア パスワードを入力します。

       keystore.pfxとkeystore.cerの2つのファイルが作成されます。

    閉じる
  • b. 作成したClient Connectorに証明書ファイルをアップロードします。

    1. Azureポータルで、[アプリの登録]に移動し、作成したClient Connectorをクリックします。左側のナビゲーションで、[管理]>[証明書とシークレット]に移動します。

       画像を見る。

       

       閉じる

    2. [証明書]タブをクリックし、[証明書をアップロード]をクリックします。

       画像を見る。

       

       閉じる

    3. [説明]フィールドに、証明書の説明を入力します。
    4. 公開証明書のCERファイルをアップロードし、[追加]をクリックします。

    閉じる
  • c. 秘密キーのJSONファイルを作成します。
    1. Azureポータルにアップロードした証明書にアクセスします。これを表示する方法は、Microsoftのドキュメンテーションを参照してください。

    2. PFXファイルに対して次のコマンドを入力して実行し、公開証明書を取得します。ここで<certname>は前のステップの証明書名です。このコマンドは、前のステップで設定したソース キーストア パスワードを要求します。

       openssl pkcs12 -in <certname>.pfx

    3. 次のコマンドを入力して実行し、解読された秘密キーを取得します。

       openssl pkcs12 -in <certname>.pfx -nocerts -nodes -out

    4. 次の形式で新規ファイルを作成し、秘密キーと証明書を貼り付けます。

       {“private_key”: ”<Private Key>”,
          “public_cert”: ”<Certificate>”
       }

       秘密キーと証明書は、括弧で囲んだ1行としてフォーマットします。元の書式では、改行ごとに\nと入力します。次の例を参照してください。

       { "private_key":"-----BEGIN PRIVATE KEY-----\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\n-----END PRIVATE KEY-----\n",
       "public_cert":"-----BEGIN CERTIFICATE-----\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\nXXXXXXXXXXXXXXXXXX\n-----END CERTIFICATE-----\n" 
       } 

    5. ファイルをJSON形式で保存します。

    閉じる

  閉じる
• 5. カスタム コネクターを承認します。

  カスタム コネクターを承認するには、まずAzureログインURLを手動で更新して、テナント上のアプリケーションに権限を許可する必要があります。その後、Zscalerサービスがアプリケーションにアクセスできるために、ZIA管理ポータルでクライアントID、クライアント シークレット、テナントIDを指定する必要があります。Microsoft SaaSアプリケーション テナントまたはMIPアカウント用のカスタム コネクターを作成できます。

  • SaaSアプリケーション テナント用のカスタム コネクターの作成

    1. ZIA管理ポータルで、[管理]>[SaaSアプリケーション テナント]に移動します。
    2. [SaaSアプリケーション テナントを追加]をクリックします。
       [SaaSアプリケーション テナントを追加]ページが表示されます。
    3. [SaaSアプリケーション プロバイダーを選択]の下で、Microsoft SaaSアプリケーションを選択します。
    4. [テナント名]フィールドに名前を入力します。
    5. https://login.microsoftonline.com/common/adminconsent?<client_id>&state=administration/add-casb-tenants&<redirect_uri>のURLをコピーして、別のブラウザー タブに貼り付けます。
    6. URLで、[client_id]パラメーターを以前にコピーした[アプリケーション(クライアント) ID]で置換し、[redirect_uri]を以前にコピーした[リダイレクトURI]で置換します。
    7. キーボードの Enter キーを押します。
       Microsoft ウィンドウが表示され、 Zscalerサービスから要求された権限が一覧表示されます。
       画像を参照してください。

       

       閉じる
    8. [承諾]をクリックします。
       [SaaSアプリケーション テナントを追加]ページに戻ります。
    9. [SaaSアプリケーションを承認]セクションで、[SaaSコネクター]に[カスタム]を選択します。

    10. 以前にコピーした[クライアントID]、[クライアント シークレット]および[テナントID]の値を入力し、[承認]をクリックします。

        SharePointをオンボーディングする場合は、前のセクションで作成およびフォーマットしたJSONファイルもアップロードします。
        画像を参照してください。

        

        閉じる

    11. ZIA管理ポータルで、[保存]をクリックし、変更をアクティブ化します。

    テナントを追加した後、保存データ スキャンのDLPポリシー、マルウェア検出ポリシー、スキャン構成を設定できます。テナントのレポートとデータは、SaaSセキュリティ レポート、インサイト、ログで表示することもできます。

    閉じる
  • MIPアカウント用のカスタム コネクターの作成

    1. [管理]>[ラベルとタグ]の順にアクセスします。
    2. [Microsoft Information Protection(MIP)のラベル]タブで、[MIPアカウントの追加]をクリックします。

    [MIPアカウントの追加]ウィンドウが表示されます。

    画像を見る。

    

    閉じる

    3. https://login.microsoftonline.com/common/adminconsent?client_id=<client_id>&state=administration/mip-labels&redirect_uri=<redirect_uri>というURLをコピーして、別のブラウザー タブに貼り付けます。
    4. URLで、[client_id]パラメーターを以前にコピーした[アプリケーション(クライアント) ID]で置換し、[redirect_uri]を以前にコピーした[リダイレクトURI]で置換します。
    5. キーボードの Enter キーを押します。
       Microsoft ウィンドウが表示され、 Zscalerサービスから要求された権限が一覧表示されます。
       画像を参照してください。

       

       閉じる
    6. [承諾]をクリックします。
       
    7. [MIPアカウントを追加]ウィンドウに戻ります。
    8. [SaaSコネクター]に[カスタム]を選択します。
    9. 前にコピーした[クライアントID]、[クライアント シークレット]および[テナントID]の値を入力し、[検証]をクリックします。
       画像を参照してください。

       

       閉じる

    [MIPアカウントの追加]ウィンドウが再び表示され、アカウントの詳細を示す次のウィンドウが表示されます。

    画像を見る。

    

    閉じる

    10. [MIPアカウントの追加]ウィンドウの[アカウント名]の下で、Microsoftアカウントに関連付ける名前を入力します。一意的である必要があります。
    11. 保存 と 変更を有効にする をクリックします。

    MIPアカウントがZIA管理ポータルに追加されます。MIPアカウントが承認されている場合、MIPアカウントには[検証成功]ステータスが表示されます。アカウントが承認されていない場合は、[検証失敗]ステータスが表示されます。MIPアカウントのステータスが[検証失敗]の場合は、[MIPアカウントを編集]ウィンドウで[承認]をクリックして、承認プロセスを再試行できます。

    10. MIPアカウントの[ラベルの取得]フィールドを変更します。

    閉じる

  閉じる

カスタム コネクターを作成するときは、次のアプリケーション固有のAPI権限を指定して、Zscalerサービスに必要なアクセス権があることを確認します。

• MicrosoftアプリケーションのAPI権限

  次のAPIテーブルでは、[Microsoft API]列の各列に対して、[API許可のリクエスト]ページから異なるアプリケーションを選択する必要があります。たとえば、Azureでは、[Azure Storage]と[Windows Azureサービス管理]の両方で同じ[user_impersonation]権限を選択する必要があります。

  画像を見る。

  

  閉じる

  • 交換

    Microsoft API	Microsoft権限	関連付けられたZscalerのアクション
    Microsoft Graph API	Mail.ReadWrite	[メール タグの適用]ラベル
    	MailboxSettings.Read	スキャン中
    	Directory.Read.All	スキャン中
    	User.Read.All	スキャン中
    	Mail.Send	検疫
    	Organization.Read.All	スキャン中
    	AuditLog.Read.All	スキャン中
    	Member.Read.Hidden	スキャン中
    	Reports.Read.All	スキャン中

    閉じる
  • Microsoft Azure Blob Storage

    Microsoft API	Microsoft権限	関連付けられたZscalerのアクション
    Azure Storage API	user_impersonation	ストレージ アカウントを検出する スキャン中
    Windows Azureサービス管理API	user_impersonation	ストレージ アカウントを検出する スキャン中

    閉じる
  • Microsoft Information Protection (MIP)

    Microsoft API	Microsoft権限	関連付けられたZscalerのアクション
    Microsoft Graph API	InformationProtectionPolicy.Read.All	スキャン中
    Microsoft情報保護同期サービスAPI	UnifiedPolicy.Tenant.Read	スキャン中
    Microsoft権利管理サービスAPI	Content.DelegatedWriter	MIPラベルをファイルに適用する
    	Content.Writer	MIPラベルをファイルに適用する
    	Content.SuperUser	スキャン中
    	Content.DelegatedReader	スキャン中

    閉じる
  • OneDrive

    Microsoft API	Microsoft権限	関連付けられたZscalerのアクション
    Office 365管理API	ActivityFeed.Read	スキャン中
    Microsoft Graph	People.Read.All	スキャン中
    	Group.Read.All	スキャン中
    	Sites.Manage.All	スキャンと隔離
    	Sites.ReadWrite.All	共有を削除 隔離済みファイルを復元する 外部コラボレータ―を削除 外部コラボレーターと共有可能リンクを削除 共有可能な公開リンクの削除 内部共有可能リンクを削除 検疫 ユーザー ルート フォルダーへの隔離 ファイルの削除
    	Files.ReadWrite.All	スキャンと隔離 ユーザー ルート フォルダーへの隔離
    	Directory.Read.All	スキャン中
    	GroupMember.Read.All	スキャン中
    	Organization.Read.All	スキャン中
    	AuditLog.Read.All	スキャン中
    	Application.Read.All	スキャン中
    	Reports.Read.All	スキャン中

    閉じる
  • sharepoint

    Microsoft API	Microsoft権限	関連付けられたZscalerのアクション
    SharePoint API	Sites.Read.All	スキャン中
    Office 365管理API	ActivityFeed.Read	スキャン中
    Microsoft Graph API	People.Read.All	スキャン中
    	Group.Read.All	スキャン中
    	Sites.Manage.All	スキャン中
    	Sites.ReadWrite.All	共有を削除 隔離済みファイルを復元する 外部コラボレータ―を削除 外部コラボレーターと共有可能リンクを削除 共有可能な公開リンクの削除 内部共有可能リンクを削除 検疫 ユーザー ルート フォルダーへの隔離 ファイルの削除
    	Files.ReadWrite.All	スキャンと隔離 ユーザー ルート フォルダーへの隔離
    	Directory.Read.All	スキャン中
    	GroupMember.Read.All	スキャン中
    	Organization.Read.All	スキャン中
    	AuditLog.Read.All	スキャン中
    	Application.Read.All	スキャン中
    	Reports.Read.All	スキャン中

    閉じる
  • チーム

    Microsoft API	Microsoft権限	関連付けられたZscalerのアクション
    Office 365管理API	ActivityFeed.Read	スキャン中
    Microsoft Graph API	TeamMember.Read.All	スキャン中
    	Chat.UpdatePolicyViolation.All	ブロック メッセージ
    	TeamsAppInstallation.ReadForUser.All	スキャン中
    	TeamsAppInstallation.ReadWriteSelfForUser.All	ユーザーに通知(Zscalerワークフローの自動化)
    	TeamsAppInstallation.ReadWriteAndConsentForTeam.All	ユーザーに通知(Zscalerワークフローの自動化)
    	Sites.Selected	スキャン中
    	TeamsActivity.Read.All	スキャン中
    	TeamsAppInstallation.ReadForChat.All	スキャン中
    	ChannelSettings.Read.All	スキャン中
    	Channel.ReadBasic.All	スキャン中
    	People.Read.All	スキャン中
    	Group.Read.All	スキャン中
    	Sites.Read.All	スキャン中
    	Sites.ReadWrite.All	共有を削除 隔離済みファイルを復元する 外部コラボレータ―を削除 外部コラボレーターと共有可能リンクを削除 共有可能な公開リンクの削除 内部共有可能リンクを削除 検疫 ユーザー ルート フォルダーへの隔離 ファイルの削除
    	ChatMessage.Read.All	スキャン中
    	Directory.Read.All	スキャン中
    	User.Read.All	スキャン中
    	ChannelMember.Read.All	スキャン中
    	GroupMember.Read.All	スキャン中
    	Files.Read.All	スキャン中
    	Team.ReadBasic.All	スキャン中
    	Chat.Read.All	スキャン中
    	ChannelMessage.Read.All	スキャン中
    	ChannelMessage.UpdatePolicyViolation.All	ユーザーに通知(Zscalerワークフローの自動化) ユーザーへの通知
    	Organization.Read.All	スキャン中
    	AuditLog.Read.All	スキャン中
    	Chat.ReadBasic.All	スキャン中
    	Application.Read.All	スキャン中
    	ChatMember.Read.All	スキャン中
    	TeamsAppInstallation.ReadForTeam.All	ユーザーに通知(Zscalerワークフローの自動化)
    	Reports.Read.All	スキャン中

    閉じる

  閉じる