icon-zpa.svg
セキュアなプライベート アクセス(ZPA)

定義済みApplication Segmentの設定

アプリケーションセグメント内で新しいアプリケーションを定義する場合、以下のことが可能です。

機能ごとの範囲と制限の完全なリストについては、範囲と制限を参照してください。

IdPがアプリケーションセグメント内のアプリケーションとして定義されている場合、IdPアプリケーションの[認証タイムアウト]は、[全くない]に設定する必要があります。IdPドメインがアプリケーション検出用に構成されたドメインと重複している場合、ユーザーの再認証の失敗を避けるために、ZPAでIdPドメインを迂回する必要があります。

アプリケーションセグメントを追加するには、次のようにします。

  1. [リソース管理]>[アプリケーション管理]>[Application Segments]>[定義済みApplication Segments]の順にアクセスします。
  2. [Application Segmentを追加]をクリックします。

[Application Segmentを追加]ウィンドウが表示されます。

  1. [Application Segmentを追加]ウィンドウで、以下のことを行います。
      1. [アプリケーションの定義]タブで、以下のセクションに必要な詳細を入力します。
        • [名前]: Application Segmentの名前を入力します。名前に特殊文字を含めることはできません(ピリオド(.)、ハイフン(-)、アンダースコア(_)を除く)。
        • [ステータス]: Application Segmentを有効にします。無効にすると、Application Segment内で定義されたアプリケーションはユーザーにアクセスできなくなります。
        • [ディザスター リカバリー]:ディザスター リカバリーApplication Segmentsを指定できます。ディザスター リカバリー用に指定されたアプリケーション セグメントは、災害シナリオが発生した場合のビジネス継続性を確保します。エクストラネットで、ディザスター リカバリーがサポートされていないため、[無効]を選択します。この設定はデフォルトで無効になっています。詳細は、「ディザスター リカバリーの説明」「ディザスター リカバリーApplication Segmentsについて」を参照してください。

        ディザスタリカバリモードは、ディザスタリカバリドメイン名のDNS TXTレコードをDNSサーバにアップロードすると起動されます。詳細については、DNS TXTレコードの作成を参照してください。

        • 送信元IPアンカー:(省略可)送信元IPアンカーを有効にします。

        この設定は、ZIAの送信元IPアンカーに関連付けられています。有効にすると、ZIAで接続できます。ZIAエンティティーによる使用中は、アプリケーションを削除することはできません。送信元IPアンカーには範囲と制限があります。詳細は、「送信元IPアンカーについて」「範囲と制限事項」を参照してください。

        • [説明]: (省略可)説明を入力します。
        • [ZIAによるトラフィックの検査]:これを有効にすれば、インターネット/SaaSおよびプライベート アプリケーションをセキュリティで保護するために単一のポスチャーを活用し、作成しているApplication Segmentに情報漏洩防止ポリシーを適用することができます。[送信元IPアンカー]が有効になっている場合は、両方の機能を同時に有効にできないため、[ZIAによるトラフィックの検査]を有効にする前に無効にする必要があります。

        閉じる
        • [Active Directoryインスペクション]:これを有効にすると、このApplication SegmentのトラフィックをActive Directoryインスペクションで検査できます。Active Directoryインスペクションのデータは、AD保護診断のページにあります。この設定はデフォルトで無効になっています。
        • [自動AppProtection]:有効にすると、AppProtectionによる、このApplication Segmentのトラフィックの検査を許可します。これを有効にすると、登録(CA)証明書を生成する必要があります。このセグメントをエクストラネットのリソース用に作成する場合は、AppProtectionが利用できないため、[無効]を選択します。この設定はデフォルトで無効になっています。
        • [API保護]:有効にすると、このApplication SegmentのトラフィックがAPI保護によって検査されます。API保護データは、[API保護診断]ページにあります。このセグメントをエクストラネットのリソース用に作成する場合は、API保護が使用できないため、[無効]を選択します。この設定はデフォルトで無効になっています。[API保護]が有効になっている場合、[自動AppProtection]を有効にできますが、必須ではありません。

        [Active Directoryインスペクション]が有効になっている場合、[自動AppProtection]とAPI保護を有効にすることはできません。[自動AppProtection]が有効になっている場合、Active Directoryインスペクションを有効にすることはできません。

        閉じる
        1. 完全修飾ドメイン名(FQDN)、IPアドレス、ローカル ドメインまたはワイルドカード ドメイン(例:*.safemarch.com)を入力します。アプリケーションに関連付けられています。ハイフンでつながれたIPアドレス範囲(例:192.168.0.1~10)を使用してアプリケーションを定義することはできません。

        ワイルドカード(つまり、*)のみを使用してアプリケーションを定義することもできますが、これはApplication Segment内の唯一のアプリケーションである必要があります。Zscalerによって承認されない限り、この方法でアプリケーションを定義することはできません。詳細については、Zscalerサポートにお問い合わせください。

        FQDNの設定には、以下のガイドラインが適用されます。

        • アプリケーションによっては、ドメイン名がサーバー名と同じになる場合があります(RDPやファイル サーバーなど)。
        • ユーザーがホスト名を使用してアクセスするアプリケーション(DFSなど)の場合、ZPAが自動的に検索ドメインをホスト名に追加できるように、DNS検索サフィックスを構成してください。

        Browser Access用のアプリケーションを定義する場合、FQDNのみ設定可能です。

        詳しくは、アプリケーションの定義アプリケーション検出の設定を参照してください。

        1. チェックボックスを選択してアプリケーションの[ブラウザー アクセス]を有効にし、

          ZPAブラウザー アクセスでは、アプリケーション サーバーがTLS 1.2暗号化をサポートしている必要があります。

          1. ドロップダウンメニューから、Webサーバ証明書を選択します。[選択の削除]をクリックすると、選択した項目を削除することができます。詳しくは、(Webサーバ)証明書についてを参照してください。
          2. (省略可) [ブラウザー分離のドメイン]フィールドに、ZPAがブラウザー分離のアプリケーション ドメインの代わりに使用できるドメインを入力します。詳細は、分離とはを参照してください。
          3. アプリケーションへのアクセス要求時にZPAに使用させたい証明書を、ドロップダウンメニューから選択します。WebサーバがHTTPSをサポートしている場合は、ドロップダウンメニューからこのプロトコルを選択します。それ以外の場合は、HTTPを選択します。[選択の削除]をクリックすると、選択した項目を削除することができます。

          4. ドロップダウン メニューから、プロトコル([動的]、[HTTP]または[HTTPS])を選択します。[動的]プロトコル オプションを使用すると、AppProtection証明書によって証明書を生成できます。このオプションは、アプリケーション ドメインがマッピングされているバック エンドによって処理されます。このオプションを選択すると、[プロトコル検出ダッシュボード]ページでプロトコル検出の詳細を表示し、[プロトコル検出診断]ページで関連ポートの診断を表示できます。[HTTP]または[HTTPS]を選択する場合、Webサーバーが[HTTPS]をサポートしている場合は、このプロトコルを選択します。それ以外の場合は、[HTTP]を選択します。[選択をクリア]をクリックすると、選択を削除できます。

            ZPAは、Browser Accessを使用したHTTPリクエストにViaヘッダを挿入します。

          [Active Directoryインスペクション]についての[有効にする]を選択した場合、ドロップダウン メニューには、[Active Directoryプロトコル]オプションである[LDAP]、[SMB]、[Kerberos]が含まれます。

          [デフォルトのポート範囲]ドロップダウン メニューからActive Directoryプロトコル オプションを選択することもできます。

          1. ポート番号を入力します。デフォルトでは、ポート80HTTP443HTTPSに入力されます。

          [Active Directoryインスペクション]が有効になっている場合、ポート範囲フィールドの右側に、[検査しない]、[LDAPを検査]、[SMBを検査]、[Kerberosを検査]の各オプションを含む追加のドロップダウン メニューが表示されます。

          Active Directoryインスペクションが有効になったApplication Segmentに設定されたプロトコルと異なるドメインまたはポート範囲が含まれている場合、それは検査できません。

          1. ステップivで[HTTPS]を選択した場合は、デフォルトで[信頼されていない証明書を使用]が選択されています。この設定が選択されていない場合、信頼されていないWebサーバー証明書を使用したアプリケーションへのアクセス リクエストは成功しません。

            [信頼されていない証明書を使用する]を選択すると、証明書の検証に関係なく、アプリケーションの接続が成功します。

          2. (省略可)認証されていないオプション要求を許可する]を選択して、認証されていないHTTPプリフライトOPTIONSリクエストをブラウザーからアプリケーションに転送することをZPAに許可します。

          ZPAは、HTTPリクエストにAccess-Control-Request-Headers、Access-Control-Request-Methodおよびオリジンなどのヘッダーを含む有効なOPTIONSリクエストのみを受け入れます。これらが存在しない場合、ZPAはOPTIONSリクエストをアプリケーションに転送しません。

          ZPAは、1つの有効なブラウザー アクセス ドメインから別のブラウザー アクセス ドメインにリクエストが発行された場合、CORSリクエストを受け入れます。アプリケーション サーバーはwith credentials modeをJavaScriptに追加する必要があります。これは、ブラウザーがJavaScriptフロント エンドにCookieを渡すことができるようにするためです。アプリケーション サーバーは、Originヘッダーがnullまたは有効なブラウザー アクセス アプリケーションに設定されているリクエストも許可する必要があります。

          閉じる
        2. チェックボックスを選択して、アプリケーションの[AppProtectionアプリケーションを検査]を有効にし、

          [AppProtection]を有効にすると、デフォルトで[AppProtectionアプリケーションを検査]が選択されます。

          1. ドロップダウンメニューから、Webサーバ証明書を選択します。[選択の削除]をクリックすると、選択した項目を削除することができます。詳しくは、(Webサーバ)証明書についてを参照してください。

          [ブラウザーアクセス]も選択されている場合は、同じ証明書が使用されます。

          1. ドロップダウン メニューから、アプリケーションへのアクセス リクエストが行われたときにZPAが使用するプロトコル([動的]、[HTTPS]または[HTTP])を選択します。[動的プロトコル]オプションを使用すると、AppProtection証明書によって証明書を生成できます。このオプションは、アプリケーション ドメインがマッピングされているバック エンドによって処理されます。このオプションを選択すると、[プロトコル検出ダッシュボード]ページでプロトコル検出の詳細を表示し、[プロトコル検出診断]ページで関連ポートの診断を表示できます。[HTTP]または[HTTPS]を選択する場合、Webサーバーが[HTTPS]をサポートしている場合は、このプロトコルを選択します。それ以外の場合は、[HTTP]を選択します。[選択をクリア]をクリックすると、選択を削除できます。

          [ブラウザー アクセス]と[AppProtection]の両方を選択するには、[HTTP]または[HTTPS]を選択する必要があります。

          1. ステップiiで[HTTP]を選択した場合は、[信頼されていない証明書を使用する]がデフォルトで選択されています。[信頼されていない証明書を使用する]を選択して、プライベート証明書による検査を許可します。このオプションは、インスペクションとアプリケーション間のTLS接続を維持します。それ以外の場合、このオプションが選択されていない場合、プライベートCA証明書の検証は失敗します。[信頼できない証明書を使用する]を選択せず、ZPAによって検証されていないプライベートCA証明書を使用している場合、検査でアプリケーションにアクセスするリクエストは失敗します。AppProtectionを有効にした場合、デフォルトで[信頼されていない証明書を使用する]オプションが選択されます。これは、AppProtection対応アプリケーションに関連するCA証明書を検証するために選択する必要があるためです。[信頼されていない証明書を使用する]チェックボックスの選択を解除すると、App Connectorはサーバーの証明書を検証します。これは自己署名証明書であり、CAによって認識されないため、確立できず、失敗します。

          [信頼できない証明書を使用する]を選択すると、証明書の検証に関係なく、アプリケーションの接続が成功します。

          [ブラウザー アクセス]と[AppProtection]が選択されている場合、[信頼されていない証明書を使用する]のチェックボックスが自動的に選択されます。ブラウザー アクセス機能を使用するには、このオプションを選択したままにしておく必要があります。

          閉じる
        3. チェックボックスを選択して、アプリケーションの[特権リモート アクセス]を有効にし、

          特権リモート アクセスでは、アプリケーション サーバーがVNC、RealVNC、SSHまたはRDPをサポートする必要があります。

          1. [プロトコル]ドロップダウン メニューから特権コンソールを選択します。[VNC]、[RealVNC]、[SSH]または[RDP]を選択できます。

          WindowsでRDPを選択する場合、Microsoftはネットワーク レベルの認証を設定することをお勧めします。詳細は、「Microsoftのドキュメント」を参照してください。

          1. VNC、RealVNC、SSHまたはRDPのポート番号を入力します。デフォルトでは、VNCとRealVNCにはポート5900が入力され、RDPにはポート3389が入力され、SSHにはポート22が入力されます。

          VNC対応またはRealVNC対応の特権コンソールでファイル転送機能を使用する場合は、TCPポート範囲とUDPポート範囲の両方にポート22を追加で入力する必要があります。VNCまたはRealVNCサーバーが実行されているターゲットマシンのポート22でSSHを実行する必要があります。SSH資格情報は、VNCまたはRealVNC資格情報と同じである必要があります。

          1. (省略可) [RDP]を選択した場合は、接続セキュリティを入力する必要があります。[TLS]、[RDP]または[NLA]を選択できます。選択したアプリケーションサーバでネットワークレベル認証が使用可能になっている場合は、[任意]を選択してサーバーへのアクセスを提供します。

          クライアントベースのリモート アシスタンスは、Zscaler Client Connectorを使用してZPAに接続するエンド ユーザーのみが使用できます。

          1. [さらに追加]をクリックして、定義するアプリケーションごとにさらにドメインまたはIPアドレスを追加します。

          2つ以上のApplication Segmentが同じ宛先アドレスを利用している場合、Zscaler Client Connectorはトラフィックをより詳細なApplication Segmentに一致させようとします。このApplication Segmentに一致するものがない場合、Zscaler Client ConnectorはZPAをバイパスし、トラフィックを直接送信します。詳細は、「アプリケーション アクセスについて」を参照してください。

          閉じる
        閉じる
        • [デフォルトのポート範囲]: Application Segmentのデフォルトとして設定するポート範囲を入力します。
        • [TCPキープアライブ]:ユーザーがTCPポートでそのサーバーにアクセスした後、App Connectorが定期的にTCPキープアライブをアプリケーション サーバーに送信できるようにします。この設定は、デフォルトでは無効になっています。詳細は、「展開済みApp Connectorのネットワーキング」を参照してください。
        • TCPポート範囲:アプリケーションへのアクセスに使用できるTCPポート範囲を入力します。

        たとえば、ポート範囲を80から90に指定する場合は、[開始...]に80と入力し、[終了...]に90と入力します。ポートを1つだけ指定する場合は、[開始...]と[終了...]に同じ番号(80など)を入力できます。

        任意のアプリケーションでBrowser Accessを選択した場合、ポート範囲に指定したポートが含まれている必要があります。

        [さらに追加]をクリックすると、さらにTCPポート範囲を追加することができます。

        • UDPポート範囲:アプリケーションへのアクセスに使用できるUDPポートレンジを入力します。

        たとえば、ポート範囲を90から94に指定する場合は、[開始...]に90と入力し、[終了...]に94と入力します。ポートを1つだけ指定する場合は、[開始...]と[終了...]に同じ番号(90など)を入力できます。

        任意のアプリケーションでBrowser Accessを選択した場合、TCPポートレンジを使用する必要があります。

        [さらに追加]をクリックすると、さらにUDPポート範囲を追加することができます。

        Zscalerでは、TCPおよびUDPポート範囲からDNSトラフィック(ポート53)を除外することをお勧めします。

        • [二重暗号化]:Zscaler Client ConnectorとZPAPublic Service Edge間のトラフィックは、デフォルトでTLS 1.2を使用して暗号化されます。ユーザーのデバイス上のZscaler Client Connectorと、エンタープライズ アプリケーションへのアクセスを提供するApp Connectorとの間のトラフィックに対して、2番目の暗号化レイヤーを有効にする場合は、二重暗号化を有効にします。

        [Browser Access]または[送信元IPアンカリング]をいずれかのアプリケーションで選択した場合、[二重暗号化]を有効にすることはできません。また、エクストラネット アプリケーションは従来のApp Connectorを使用しないため、Application Segmentを作成する場合は二重暗号化を無効にする必要があります。

        詳細は、「二重暗号化について」を参照してください。

        • バイパス:ドロップダウンメニューから、ユーザーがアプリケーションにアクセスするためにZPAをバイパスできるタイミングを選択します。次のオプションから選択できます。
          • [クライアント転送ポリシーの使用]:このオプションはデフォルトで選択されています。選択すると、ユーザーのアプリケーション リクエストをZPAに転送するかどうかの決定は、クライアント転送ポリシーによって定義されます。どのポリシー ルールも適用されない場合、アプリケーションへのアクセスは暗黙的に[ZPAに転送]に設定されます。詳細は、「クライアント転送ポリシーの設定」を参照してください。これは、ZPA Admin Portal内でクライアント転送ポリシー ルールをまったく定義しない場合にも当てはまります。
          • 常に:このオプションを選択すると、ユーザーはアプリケーションにアクセスするときに常にZPAをバイパスすることができます。
          • [企業ネットワーク上]:選択すると、ユーザーは信頼できるネットワークからアプリケーションにアクセスするときにZPAをバイパスできます。ZPAは、ユーザーがZscaler Client Connector転送プロファイルで定義された信頼できるネットワーク上にいるかどうかを確認します。

        [選択のクリア]をクリックすると、選択内容を削除できます。

        アプリケーションセグメント内の[バイパス]設定は、新しく追加されたクライアント転送ポリシールールよりも常に優先されます。詳細については、バイパス設定の設定を参照してください。また、同じFQDNが複数のアプリケーションセグメントで定義されていて、そのうちの1つに[バイパス]設定が[常に]に設定されている場合、そのアプリケーションセグメントが優先されます。

        • [ICMPアクセス]:さまざまなZPAクライアント(Zscaler Client Connector、Cloud ConnectorとBranch Connector、送信元IPアンカー)に対して有効にして、このApplication Segment内のアプリケーションへのICMP通信を許可します。デフォルトでは、[無効]に設定されています。ZPAは、アクセス ポリシーに基づいてICMPリクエストを許可またはブロックします。ICMPアクセス用のアプリケーションを設定する場合、ZPAでICMPを使用する際に注意すべき点があります。
          • ICMPがApplication Segment内の特定のアプリケーションに対して有効になっていて、同じアプリケーションが別のApplication SegmentのICMPに対して無効になっている場合、Zscaler Client Connectorはそのアプリケーションに対してICMPが有効になっていると見なし、ICMPリクエストをZPAに転送します。
          • Zscaler Client Connectorは、ユーザーのマシンと同じサブネットを持つ宛先IPへのICMPリクエストを、到達不能なホストと見なして傍受しません。
          • IPデータが表示され、[ユーザー アクティビティーの診断]ページの内部ステータス コードは、App Connectorが選択された後、到達不能であっても成功(BRK_MT_TERMINATEDなど)として表示されます。これは、正常性レポートがICMPで適切に機能しないため、App Connectorが正常性レポートを、アクセス時に提供するように設定されている場合、または提供しないように設定されている場合に発生することがあります。
          • アクセス ポリシーに基づいてアプリケーションがブロックされている場合、Zscaler Client ConnectorはICMPエコー要求ごとに新しいマイクロトンネル要求を作成します。
          • ICMPは二重暗号化では機能しないため、ICMPを有効にしたApplication Segmentに対して二重暗号化を有効にしたくない場合があります。
        • [再認証中にバイパス]:再認証中のアプリケーション アクセスがZPAをバイパスするか([有効])、しないか([無効])を選択します。たとえば、IdPがオフプレミス ユーザーに対して多要素認証(MFA)を行うように設定されている場合、このオプションを有効にすると、ユーザーはインターネット経由でIdPにリダイレクトされ、IdPはユーザーにMFAの入力を求めます。オンプレミス ユーザーの場合、このオプションを有効にすると、ユーザーはインターネット経由でIdPにリダイレクトされ、IdPはMFAを求めます。この機能を使用するには、WindowsおよびmacOS用のZscaler Client Connectorバージョン4.3以降が必要です。

        [バイパス]オプションで[常時]を選択すると、[再認証時のバイパス]は自動的に無効になり、有効にできません。

        閉じる
        • [正常性レポート]: App ConnectorがApplication Segment内のすべてのアプリケーションの正常性ステータスを継続的に報告するか([継続])、ユーザーがアクセスしている間のみ報告するか([アクセス時])、またはまったく報告しないか([なし])を選択します。デフォルトの設定は[アクセス時]です。エクストラネット アプリケーションのセグメントを作成する場合は、[なし]を選択します。アプリケーションのステータスは、正常性ダッシュボードで確認できます。詳細は、正常性レポートについての理解を参照してください。

        10以上のポートで構成されたアプリケーション用や、アプリケーションセグメント内のいずれかのアプリケーションがワイルドカード(*など)のみで定義されている場合は、[継続的]正常性レポートを選択することができません。また、クライアント間のリモートアシスタンスを容易にするために、アプリケーションでクライアントのホスト名検証を有効にしている場合、そのアプリケーションは正常性ダッシュボードに表示されません。詳細については、クライアントホスト名の検証を参照してください。

        • [App Connectorの選択方法]:アプリケーションに最も近いApp Connectorを選択する場合は、[アプリケーションに近づける]を選択します。デフォルトでは、ZPAはユーザーに最も近いApp Connectorを選択します(ユーザーに近い)。選択を行うと、ZPAは、要求されたアプリケーションへの往復時間が最短のApp Connectorを選択します。

        この設定は、TCPアプリケーションのみをサポートします。App Connectorで定義されたアプリケーションの正常性をチェックするターゲットの数の制限は6,000です。この制限を超えると、アプリケーションの[正常性レポート]が[なし]に設定され、ランダムに選択されたApp Connectorが選択されます。

        [正常性レポート]が[なし]に設定されている場合、[App Connectorの選択方法]機能は有効にできず、エラー メッセージが表示されます。

        • [Cloud ConnectorはCNAMEを受信できる]: App ConnectorがCNAMEレコードを解決するかどうかを選択します。この設定はデフォルトで有効になっており、Zscaler Client ConnectorはApp ConnectorからCNAME DNSレコードを受信します。App Connectorは、無効にされた場合、CNAME DNSレコードを送信しません。

        この設定はブラウザー アクセス アプリケーションには適用されず、ZPAはオプションが無効になっているかのように機能します。Zscaler Client ConnectorがmacOSまたはiOSデバイス上にあり、CNAMEでアプリケーションにアクセスする必要がある場合は、この設定を無効にすることをお勧めします。

        • [マルチマッチ]:有効にして、アプリケーション リクエストが複数のApplication Segmentに一致することを許可する包括的なポリシーを設定します。詳細は、「Application Segmentマルチマッチの使用」を参照してください。

        マルチマッチは、ブラウザー アクセス、特権リモート アクセス、AppProtection、または送信元IPアンカーが有効になっているアプリケーションではサポートされません。マルチマッチが有効な場合、App Segmentの正常性レポートは[アクセス時]または[なし]にのみ設定できます。

        閉じる
      1. [次へ]をクリックします。
      閉じる

    • このアプリケーションセグメントが所属するセグメントグループを特定する必要があります。アプリケーションセグメントをセグメントグループに配置すると、そのグループに基づいてユーザーのアクセスポリシーを設定することができます。

      [セグメントグループ]タブで、以下のいずれかのオプションを選択し、それに応じてグループを構成します。

      • ドロップダウンメニューから既存のセグメントグループを選択し、[次へ]をクリックします。特定のグループを検索するか、[選択の削除]をクリックして選択内容を削除できます。

        閉じる
        1. [セグメント グループを追加]をクリックします。
        • 名前セグメントグループの名前を入力します。名前には、ピリオド(.)、ハイフン(-)、アンダースコア(_)を除く、特殊文字を含めることはできません。
        • 説明(省略可)セグメントグループの説明を入力します。
        • ステータス:セグメントグループが有効であることを確認します。

        1. [次へ]をクリックします。
        閉じる
      閉じる

    • 定義したアプリケーションをホストする企業データセンター内のサーバーグループを特定する必要があります。

      [サーバグループ]タブで、以下のいずれかのオプションを選択し、それに応じてサーバグループを構成するか、クライアント間リモートアシスタンスを使用可能にする場合は[スキップ]を選択します。詳細については、クライアントホスト名の検証を参照してください。

      サーバーグループを構成する際は、同じアプリケーションをホストできるサーバーのみをグループ化します。

        1. [サーバー グループのタイプ]の下で、次のようにします。
          • ネットワーク上で利用可能なアプリケーションに接続するには、[App Connector]を選択します。

          • [エクストラネット]を選択して、組織のネットワークで直接利用できないパートナー サイトまたはオフショア開発センターに接続します。

            [エクストラネット]は、組織でエクストラネットのアプリケーション サポート機能が有効になっている場合にのみ表示されます。 詳細は、「エビデンスについて」を参照してください。

            [エクストラネット]を選択した場合は、[エクストラネット リソース]を選択し、アプリケーションに接続するためにZIAで設定されたパートナーを選択します。パートナーは1つだけ選択できます。

        2. ドロップダウン メニューから既存のサーバー グループを選択し、[次へ]をクリックします。特定のグループを検索したり、[選択内容をクリア]をクリックして選択を解除したり、[スキップ]を選択したりできます。

        閉じる
        1. [サーバグループの追加]をクリックします。
        • 名前サーバグループの名前を入力します。名前には、ピリオド(.)、ハイフン(-)、アンダースコア(_)を除く、特殊文字を含めることはできません。
        • 説明(省略可)サーバグループの説明を入力します。
        • ステータスサーバーグループが有効であることを確認します。
        • 動的サーバー検出:使用可能にすると、ZPAはユーザーがアプリケーションを要求すると、アプリケーションの適切なサーバーを自動的に検出します。無効にする場合は、定義済みのサーバーをサーバーグループに手動で追加する必要があります。
        • [コネクター タイプ]:次のいずれかのオプションを選択します。

          • ZPA App Connectorを使用してネットワーク上で使用可能なアプリケーションに接続するには、[App Connector]を選択します。

            [App Connector]を選択した場合は、このサーバー グループ内のサーバーを含むデータ センターまたは仮想プライベート クラウド(VPC)にアクセスできる[App Connectorグループ]を選択し、[完了]をクリックします。特定のグループを検索するか、[選択をクリア]をクリックして選択を解除できます。

          • [エクストラネット]を選択して、組織のネットワーク上で直接利用できないパートナー サイトまたはオフショア開発センターのアプリケーションにZPAを使用して接続し、そのサイトに接続するためのオプションを選択します。

            マイクロテナントはサポートされていませんので、エクストラネット オプションはテナント レベルで設定していることを確認してください。

            • [エクストラネット リソース]:アプリケーションに接続するためにZIAで設定された組織外のパートナーを選択します。サーバー グループごとに選択できるパートナーは1つだけです。

            • [管理画面のロケーション グループ]:組織がZIAでエクストラネットのロケーション グループを作成した場合は、ロケーション グループを選択します。ロケーション グループは、パートナー ロケーションにあるアプリケーションに到達できるすべてのIPSecトンネルのセットを表します。

              ロケーション グループを展開すると、そのグループに関連付けられているすべてのロケーションを表示できます。これらすべてのロケーションを含める場合は、[エクストラネットのロケーション]オプションを選択する必要はありません。これらのロケーションの一部を選択する場合は、[エクストラネットのロケーション]でロケーションを選択できます。

            • [エクストラネットのロケーション]: IPSecトンネルを使用してパートナー サイトのアプリケーションに到達できるロケーションを選択します。

        1. [次へ]をクリックします。
        閉じる
      閉じる

    • サーバー グループに[App Connector]を選択した場合は、作成したばかりのサーバー グループにサーバーを追加する必要があります。[サーバー]タブで、次のいずれかのオプションを選択し、それに応じてサーバーを構成します。

        1. ドロップダウンメニューから1つまたは複数の既存のサーバを選択し、[完了]をクリックします。特定のグループを検索したり、[選択の削除]をクリックして、選択したものを削除することも可能です。前のステップで既存のサーバグループを選択した場合、そのグループ内のすべてのサーバが自動的にこのフィールドに入力されます。

        1. [次へ]をクリックします。
        閉じる
        1. [サーバの追加]をクリックします。
        • 名前:サーバーの名前を入力します。名前には、ピリオド(.)、ハイフン(-)、アンダースコア(_)を除く、特殊文字を入れられません。
        • 説明:(省略可)サーバの説明を入力します。
        • ステータス:サーバーが有効になっていることを確認します。
        • ドメインまたはIPアドレス:サーバーの完全修飾ドメイン名(FQDN)またはIPアドレスを入力します。

        1. [次へ]をクリックします。
        閉じる

      サーバー グループに[エクストラネット]を選択した場合は、ステップ5:確認に進みます。

      閉じる

    • [確認]タブで、Application Segment構成を確認し、[保存]をクリックします。

      閉じる

    • [ポリシー]タブに、Application Segment内で定義されたアプリケーションに適用されるアクセス ポリシーのリストが表示されます。新しいポリシーを追加するか、既存のポリシーを変更する必要がある場合は、[ポリシーの編集]をクリックします。詳細は、「アクセス ポリシーについて」を参照してください。

      ポリシーを変更する必要がない場合は、[キャンセル]をクリックします。

      [ポリシー]タブの[アプリケーションの追加]ウィンドウ

      閉じる
  2. このアプリケーションセグメント内でBrowser Access有効のアプリケーションを定義した場合、設定を保存した後、以下の手順を実行します。
    1. [Browser Access]ページにアクセスします。
    2. 拡大すると、テーブル内のアプリケーションが表示されます。
    3. [正規名(CNAME)]の横にある[コピー]アイコンをクリックします。このCNAMEレコードは、パブリックDNSに必要です。

  1. コピーしたCNAME情報をパブリックDNSに追加し、Browser Access対応アプリケーションのFQDNがレコードに解決されることを確認します。

ブラウザー アクセスが有効なアプリケーションを適切に解決するために、App Connectorは内部DNSを使用する必要があります。内部DNSが使用されない場合、DNSループが発生します。

次のCNAMEの例です。

marketing.mockcompany.com. CNAME 3077.217246660302995456.h.d.zpa-app.net.

marketing.mockcompany.com3077.217246660302995456.h.d.zpa-app.netに解決されることを確認する必要があります。

これで、ユーザーは、適用されたポリシーに基づいて、アプリケーションセグメント内で定義したアプリケーションにアクセスできるようになります。

関連記事s
アプリケーションについて定義済みApplication Segmentの設定定義済みApplication Segmentsの編集AIを活用したApplication Segment向けの推奨事項についてAIを活用した推奨事項の設定AIを活用した推奨事項のマージ定義済みApplication Segmentsの共有 AIを活用した推奨事項設定の構成クライアントホスト名の検証DNS検索ドメインの追加アプリケーションセグメント構成警告の設定AppProtectionアプリケーションについて特権リモート アクセス アプリケーションについて アプリケーション検出についてアプリケーションアクセスについて二重暗号化について正常性レポートについて動的に検出されるアプリケーションの定義バイパス設定の設定アプリケーションへのアクセスの無効化送信元IPアンカリング ダイレクトの詳細説明Application Segment複数一致の使用Application SegmentのインポートについてApplication Segmentインポートの使用インポートしたApplication Segmentのマージ