Microsoft Intuneポータルを使用してZscaler Client Connectorを展開する手順は次の通りです。

1. Microsoft Intuneポータルで、左側のメニューから[アプリ]を選択します。

2. [iOS/iPadOSアプリ]をクリックし、次いで[追加]をクリックします。

   画像を見る。

   

   閉じる

3. [アプリの種類]ドロップダウン メニューから[iOSストア アプリ]を選択し、[選択]をクリックします。

   画像を見る。

   

   閉じる

4. iOSストアアプリから追加する方法：
   1. [アプリ情報]タブで、[App Storeを検索]をクリックします。

   2. Zscaler Client Connectorを検索して選択し、[選択]をクリックします。

      画像を見る。

      

      閉じる

      Zscaler Client Connectorの詳細は自動的に入力されます。

   3. [最小オペレーティング システム]のフィールドで、[iOS 9.0]を選択します。

   4. [会社ポータルの注目アプリとして表示]のフィールドで[はい]を選択し、[次へ]をクリックします。

      画像を見る。

      

      閉じる

5. [割り当て]タブで、Zscaler Client Connectorを展開するグループ割り当てを選択し、[次へ]をクリックします。

6. (省略可)[含まれる]をクリックし、[割り当て設定]を編集します。

   • デバイスがIntuneから削除された場合にZscaler Client Connectorを自動的にアンインストールするには、[デバイスの削除時にアンインストール]で[はい]を選択します。
   • ユーザーがデバイスからZscaler Client Connectorを削除できないようにするには、[リムーバブルとしてインストール]で[いいえ]を選択します。

   画像を見る。

   

   閉じる

7. [確認+作成]タブで、値と設定を確認し、[作成]をクリックします。

Microsoft Intune ポータルでカスタム ポリシー設定を構成するには、デバイス構成プロファイルまたはアプリ構成ポリシーを使用する必要があります。

Zscalerでは、デバイス構成プロファイルを使用してカスタム ポリシー設定を構成することを推奨しますが、代わりにアプリ構成ポリシーを使用することもできます。[所有権変数]のデバイス ポスチャー チェックを使用する場合は、ownership設定(アプリ構成ポリシーを使用して設定する必要がある)を除くすべての設定にデバイス構成プロファイルを使用できます。デバイス ポスチャーのセット アップについての詳細は、デバイス ポスチャー プロファイルの構成を参照してください。

• オンデマンドVPNのデバイス構成ポリシーを構成します(推奨)。

  オンデマンドVPNのデバイス構成ポリシーを構成する手順は次の通りです。

  1. Microsoft Intune for iOS管理ポータルで、左側のメニューから[デバイス]をクリックします。

  2. [デバイスを管理>構成]を選択します。

     画像を見る。

     

     閉じる

  3. [作成]をクリックし、[新規ポリシー]を選択します。

     画像を見る。

     

     閉じる

  4. [プロファイルの作成]セクションで、以下のことを行います。

     • プラットフォーム：iOS/iPadOSを選択します。
     • [プロファイル タイプ]：[テンプレート]を選択します。
     • [テンプレート名]: [VPN]を選択します。

     画像を見る。

     

     閉じる

  5. 作成 をクリックします。

  6. [基本]セクションで、次の操作を行います。

     • 名前：名前を入力します。
     • [説明]: (省略可)説明を入力します。

     画像を見る。

     

     閉じる

  7. 次をクリック.

  8. [構成設定]セクションの[接続タイプ]で、[Zscaler] を選択します。

     画像を見る。

     

     閉じる

  9. 次のパラメーターを入力します。

     • [接続名]:プロファイルのラベル。
     • [カスタム ドメイン名]:Zscalerテナント ドメインを入力します。これにより、ユーザーがZscaler Client Connector登録ページをスキップしてシングル サインオン(SSO)ログインページに直接移動できるように、ユーザー ドメインを構成できます。

     • [厳格な適用を有効化]:このオプションを有効にすると、以下のときユーザーがZscaler Client Connectorに登録する前にインターネット トラフィックがブロックされます。

       • 新規インストール後にユーザーがログインしていない。
       • ユーザーはログインしてからログアウトします。
       • 管理者がデバイスを Zscaler Client Connector Portalから削除します。

       厳格な適用を有効にする場合は、デバイス構成ポリシーで[除外URL]を使用するか、アプリ構成ポリシーでexcludeListを使用する必要があります。必須の追加の構成設定もあります。詳細は、追加の厳格な適用設定を構成を参照してください

     • [組織のクラウド名]:組織がプロビジョニングされているクラウドの名前。たとえば、クラウド名がzscalertwo.netの場合、zscalertwoと入力します。詳細は、ZIAのクラウド名は何か?を参照してください。
     • [除外URL]:バイパスするURLを入力します。たとえば、アイデンティティー プロバイダー(IdP)、MDM(モバイル デバイス管理)サーバー、または登録前にユーザーがアクセスする必要があるその他のものを入力します。Zscaler Private Access (ZPA)サービスを使用する場合は、authsp.prod.zpath.netを入力する必要があります。追加のIntuneの要件のリストについては、Microsoftのドキュメントを参照してください。

     画像を見る。

     

     閉じる

  10. (省略可)[追加]をクリックし、1つ以上の構成キーとそれに対応する構成値を入力します。

      • deviceToken

        Zscaler Client Connector PortalをIdPとして使用する場合のZscaler Client Connector Portalからの適切なデバイス トークン。

        閉じる
      • ユーザー名

        ユーザーのユーザー名。 たとえば、ユーザー名がj.doe@zscaler.com の場合、 j.doeを入力します。

        Intuneへの登録に使用したのと同じユーザー名を使用するには、{{partialupn}}トークンを使用できます。利用可能なIntuneトークンの完全なリストを表示するには、Microsoftのドキュメンテーションを参照してください。

        閉じる
      • authByTunnel

        Zscaler Client Connector Portalが認証のためのアイデンティティー プロバイダー(IdP)として使用される場合のユーザーの自動登録の設定。ユーザーが手動でログアウトされたり、ポータルから強制的に削除されたりした場合でも、常に自動登録されるようにするには、この構成キーを1に設定します。1回限りの自動登録では、2に設定します。自動登録を無効にするには、0に設定します。

        閉じる
      • enableFips

        このオプションを有効にすると、Zscaler Client ConnectorはFIPS準拠のライブラリーを使用してZscalerインフラストラクチャーと通信します。このオプションを有効にするには1と入力し、無効にするには0と入力します。

        このオプションは、組織内でFIPSレベルのセキュリティが必要な場合のみ有効にしてください。

        閉じる
      • newBindFlow

        Zscaler Client Connector仮想インターフェイスとバインディングするZscaler Client Connectorマイクロサービスのマルチスレッド実装を有効化します。このオプションを有効にするには1と入力し、無効にするには0と入力します。

        閉じる
      • DropNonRoutingTraffic

        ルートのないトラフィックをドロップします。このオプションを有効にするには1と入力し、無効にするには0と入力します。

        閉じる
      • SkipInterfaceInstallation

        有効にすると、ユーザーがログインしていない場合、Zscaler Client Connectorは仮想インターフェイスをインストールしません。これにより、ユーザーがログインしていないときにVPNアイコンがデバイスに表示されなくなります。このオプションを有効にするには1と入力し、無効にするには0と入力します。デフォルトでは、値は0です。

        閉じる

      画像を見る。

      

      閉じる

  11. [自動VPNのタイプ]では、[オンデマンドVPN]を選択します。

      画像を見る。

      

      閉じる

  12. [オンデマンド ルール]のセクションで、[追加]をクリックし、[VPNに接続]を選択し、プライマリー ルールとして[すべてのドメイン]に制限して、[保存]をクリックします。

      画像を見る。

      

      閉じる

  13. 監視対象デバイスを使用している場合は、ユーザーが自動VPNを無効にするのをブロックできます。このオプションを有効にするには、ドロップダウンメニューから[はい]を選択します。

      画像を見る。

      

      閉じる

  14. 次をクリック.
  15. [割り当て]セクションで、プロファイル用のユーザー、グループ、およびデバイスを選択し、[次へ]をクリックします。
  16. [レビュー＋作成]セクション、概要を確認し、[作成]をクリックします。

  閉じる
• アプリ構成ポリシーを構成します。

  ポリシーを追加する手順は次の通りです。

  1. [アプリ]>[アプリ構成ポリシー]>[追加]>[管理対象デバイス]の順にアクセスします。

  2. [基本]タブで、以下のパラメータを構成し、[次へ]をクリックします。

     • 名前: 「Zscaler Client Connector.
     • [説明]:(オプション)Zscaler Client Connectorについての関連の説明を入力します。
     • プラットフォーム：iOS/iPadOSを選択します。
     • [ターゲットのアプリ]:[アプリの選択]をクリックします。[関連付けられたアプリ]のウィンドウで、Zscaler Client Connectorを選択し、[OK]をクリックします。

     [デバイス登録タイプ]のフィールドは、自動的に[管理対象デバイス]に設定されます。編集することはできません。

  3. [設定] タブの [構成設定の形式] で、[構成デザイナーを使用する] を選択します。

  4. 構成キーとそれに対応する構成値を入力します。値タイプをすべてについて[文字列]として設定し、[次へ]をクリックします。

     • deviceToken

       Zscaler Client Connector PortalをIdPとして使用する場合のZscaler Client Connector Portalからの適切なデバイス トークン。

       閉じる
     • ユーザー名

       ユーザーのユーザー名。 たとえば、ユーザー名がj.doe@zscaler.com の場合、 j.doeを入力します。

       Intuneへの登録に使用したのと同じユーザー名を使用するには、{{partialupn}}トークンを使用できます。利用可能なIntuneトークンの完全なリストを表示するには、Microsoftのドキュメンテーションを参照してください。

       閉じる
     • authByTunnel

       Zscaler Client Connector Portalが認証のためのアイデンティティー プロバイダー(IdP)として使用される場合のユーザーの自動登録の設定。ユーザーが手動でログアウトされたり、ポータルから強制的に削除されたりした場合でも、常に自動登録されるようにするには、この構成キーを1に設定します。1回限りの自動登録では、2に設定します。自動登録を無効にするには、0に設定します。

       閉じる
     • enableFips

       このオプションを有効にすると、Zscaler Client ConnectorはFIPS準拠のライブラリーを使用してZscalerインフラストラクチャーと通信します。このオプションを有効にするには1と入力し、無効にするには0と入力します。

       このオプションは、組織内でFIPSレベルのセキュリティが必要な場合のみ有効にしてください。

       閉じる
     • newBindFlow

       Zscaler Client Connector仮想インターフェイスとバインディングするZscaler Client Connectorマイクロサービスのマルチスレッド実装を有効化します。このオプションを有効にするには1と入力し、無効にするには0と入力します。

       閉じる
     • PAVConnectionSynced

       Zscaler Client Connectorが接続されるまで、アプリごとのVPN接続を遅らせます。このオプションを有効にするには1と入力し、無効にするには0と入力します。

       閉じる
     • DropNonRoutingTraffic

       ルートのないトラフィックをドロップします。このオプションを有効にするには1と入力し、無効にするには0と入力します。

       閉じる
     • userDomain

       組織のドメイン名(例：safemarch.com)。インスタンスに複数のドメインが関連付けられている場合は、インスタンスのプライマリー ドメインを入力します。

       閉じる
     • cloudName

       組織がプロビジョニングされているクラウドの名前。たとえば、クラウド名がzscalertwo.netの場合、zscalertwoと入力します詳細は、ZIAの私のクラウド名は？を参照してください。

       閉じる
     • 所有権

       デバイスのポスチャ タイプである[所有権変数]を使用する場合は、キーownershipを追加します。構成値フィールドには、最大32文字の英数字を入力できます。詳細は、デバイス ポスチャー プロファイルの構成を参照してください。

       閉じる
     • strictEnforcement

       このオプションは、以下のときユーザーがZscaler Client Connectorに登録する前にインターネット トラフィックをブロックする場合に有効にします。

       • 新規インストール後にユーザーがログインしていない。
       • ユーザーはログインしてからログアウトします。
       • 管理者がデバイスを Zscaler Client Connector Portalから削除します。

       厳格な適用を有効にする場合は、デバイス構成ポリシーで[除外URL]を使用するか、アプリ構成ポリシーでexcludeListを使用する必要があります。必須の追加の構成設定もあります。詳細は、追加の厳格な適用設定を構成を参照してください。

       閉じる
     • excludeList

       バイパスするURLを入力します。IdP、MDMサーバー、または登録前にユーザーがアクセスすることが推奨されるその他のものを入力します。Zscaler Private Access (ZPA)サービスを使用する場合は、authsp.prod.zpath.netを入力します。追加のIntuneの要件のリストについては、Microsoftのドキュメンテーションを参照してください。

       閉じる
     • SkipInterfaceInstallation

       有効にすると、ユーザーがログインしていない場合、Zscaler Client Connectorは仮想インターフェイスをインストールしません。これにより、ユーザーがログインしていないときにVPNアイコンがデバイスに表示されなくなります。このオプションを有効にするには1と入力し、無効にするには0と入力します。デフォルトでは、値は0です。

       閉じる

     画像を見る。

     

     閉じる

  5. [割り当て]タブで、アプリ構成ポリシーを割り当てるグループ割り当てを選択し、[次へ]をクリックします。
  6. [確認+作成]のタブで、値と設定を確認し、[作成]をクリックします。Intuneは、選択したグループ内のデバイスにZscaler Client Connectorをプッシュします。

  ユーザーのデバイスにZscaler Client Connectorをインストールした後、Zscalerサービスに登録するには、アプリを起動してログインする必要があります。

  閉じる

Zscaler Internet Access (ZIA)を使用してSSLインスペクションを実行する場合は、SSLインスペクションに必要な認証局(CA)証明書をプッシュするように証明書プロファイルを構成する必要があります。デフォルトのZscaler CA証明書またはカスタムのルートCA証明書を使用できます。

詳細は、SSLインスペクションのCA証明書の選択および証明書のピン留めおよびSSLインスペクションを参照してください。

• (省略可)Zscaler CA証明書をダウンロードします。

  証明書をダウンロードする手順は次の通りです。

  1. Zscaler Internet Access (ZIA)管理ポータルで、[ポリシー>SSLインスペクション>中間CA証明書]の順にアクセスします。

  2. Zscaler中間CA証明書に対応する[編集]アイコンをクリックします。

     [Zscaler中間CA証明書の表示]ウィンドウが表示されます。

  3. [Zscaler中間CA証明書を表示]のウィンドウの[ルート証明書]のフィールドで、[ダウンロード]をクリックします。

     ルート証明書がZIPファイルとしてダウンロードされます。

  4. ZscalerRootCerts.zipファイルに移動し、解凍します。

  閉じる
• 証明書プロファイルを構成します。

  プロファイルを構成する手順は次の通りです。

  1. Microsoft Intune for iOS 管理ポータルで、左側のメニューから [ デバイス] を選択します。
  2. [ Manage Devices] > [Configuration] をクリックします。
  3. [作成]をクリックし、[新規ポリシー]を選択します。

  4. [プロファイルの作成]セクションで、以下のことを行います。

     • プラットフォーム：iOS/iPadOSを選択します。
     • [プロファイル タイプ]：[テンプレート]を選択します。
     • テンプレート名: [信頼された証明書] を選択します。

     画像を見る。

     

     閉じる

  5. 作成 をクリックします。
  6. [基本]セクションで、次の操作を行います。
     • 名前: 名前を入力します。
       説明: (オプション) 説明を入力します。
  7. [構成設定] タブで、.crt をアップロードしますファイルをIntuneに移動し、[ 次へ] をクリックします。
     画像を参照してください。

     

     閉じる
  8. [割り当て]セクションで、プロファイル用のユーザー、グループ、およびデバイスを選択し、[次へ]をクリックします。
  9. [レビュー＋作成]セクション、概要を確認し、[作成]をクリックします。

  閉じる

特定のアプリケーションを Microsoft Intune に追加し、そのアプリケーションをアプリごとの VPN 構成プロファイルに関連付けて、選択したアプリケーションが ZIA によって保護され、他のアプリケーションにアクセスできるようにすることができます。 たとえば、特定のブラウザからのみプライベートアプリケーションへのアクセスを許可できます。

• ある。アプリケーションを Microsoft Intune に追加します。

  アプリケーションを追加する手順は次の通りです。

  1. Microsoft Intuneポータルで、左側のメニューから[アプリ]を選択します。
  2. [iOS/iPadOSアプリ]をクリックし、次いで[追加]をクリックします。

  3. [アプリのタイプ]ドロップダウン メニューから[iOSストア アプリ]を選択し、[選択]をクリックします。

     画像を見る。

     

     閉じる

  4. iOSストアアプリから追加する方法：

     1. [アプリ情報]タブで、[App Storeを検索]をクリックします。
     2. アプリケーションを検索し、[選択]をクリックします。

     画像を見る。

     

     閉じる

  5. [割り当て]タブで、アプリケーションを展開するグループ割り当てを選択し、[次へ]をクリックします。
  6. [確認+作成]タブで、値と設定を確認し、[作成]をクリックします。

  閉じる
• b.アプリごとのVPNのデバイス構成プロファイルを構成します。

  アプリごとのVPNのデバイス構成プロファイルを構成する手順は次の通りです。

  1. Microsoft Intune for iOS 管理ポータルで、左側のメニューから [ デバイス] を選択します。

  2. [デバイスを管理>構成]をクリックします。

     画像を見る。

     

     閉じる

  3. [作成]をクリックし、[新規ポリシー]を選択します。

     画像を見る。

     

     閉じる

  4. [プロファイルの作成]セクションで、以下のことを行います。

     • プラットフォーム：iOS/iPadOSを選択します。
     • [プロファイル タイプ]：[テンプレート]を選択します。
     • [テンプレート名]: [VPN]を選択します。

     画像を見る。

     

     閉じる

  5. 作成 をクリックします。

  6. [基本]タブで、次のように操作します。

     • 名前：名前を入力します。
     • [説明]: (省略可)説明を入力します。

     画像を見る。

     

     閉じる

  7. 次をクリック.

  8. [構成設定]タブの[接続タイプ]では、[Zscaler]を選択します。

     画像を見る。

     

     閉じる

  9. 次のパラメーターを入力します。

     • [接続名]:プロファイルのラベル。
     • [カスタム ドメイン名]:Zscalerテナント ドメインを入力します。これにより、ユーザーが Zscaler Client Connector 登録ページをスキップして SSO ログイン ページに直接移動できるように、ユーザー ドメインを構成できます。

     • [厳格な適用を有効化]:次のときに、ユーザーがZscaler Client Connectorに登録する前にインターネット トラフィックをブロックする場合は、このオプションを有効にします。

       • 新規インストール後にユーザーがログインしていない。
       • ユーザーはログインしてからログアウトします。
       • 管理者がデバイスを Zscaler Client Connector Portalから削除します。

       厳格な適用を有効にする場合は、デバイス構成ポリシーで[除外URL]を使用するか、アプリ構成ポリシーでexcludeListを使用する必要があります。必須の追加の構成設定もあります。詳細は、追加の厳格な適用設定を構成を参照してください。

     • [組織のクラウド名]:組織がプロビジョニングされているクラウドの名前。たとえば、クラウド名がzscalertwo.netの場合、zscalertwoと入力します。詳細は、ZIAのクラウド名は何か?を参照してください。
     • [除外URL]:バイパスするURLを入力します。IdP、MDMサーバー、または登録前にユーザーがアクセスすることが推奨されるその他のものを入力します。Zscaler Private Access (ZPA)サービスを使用する場合は、authsp.prod.zpath.netを入力する必要があります。追加のIntuneの要件のリストについては、Microsoftのドキュメントを参照してください。

     画像を見る。

     

     閉じる

  10. (省略可)[追加]をクリックし、1つ以上の構成キーとそれに対応する構成値を入力します。すべての構成キーについて、値のタイプを[文字列]として設定します。

      • deviceToken

        Zscaler Client Connector PortalをIdPとして使用する場合のZscaler Client Connector Portalからの適切なデバイス トークン。

        閉じる
      • ユーザー名

        ユーザーのユーザー名。 たとえば、ユーザー名がj.doe@zscaler.com の場合、 j.doeを入力します。

        Intuneへの登録に使用したのと同じユーザー名を使用するには、{{partialupn}}トークンを使用できます。利用可能なIntuneトークンの完全なリストを表示するには、Microsoftのドキュメンテーションを参照してください。

        閉じる
      • authByTunnel

        Zscaler Client Connector Portalが認証のためのアイデンティティー プロバイダー(IdP)として使用される場合のユーザーの自動登録の設定。ユーザーが手動でログアウトされたり、ポータルから強制的に削除されたりした場合でも、常に自動登録されるようにするには、この構成キーを1に設定します。1回限りの自動登録では、2に設定します。自動登録を無効にするには、0に設定します。

        閉じる
      • enableFips

        このオプションを有効にすると、Zscaler Client ConnectorはFIPS準拠のライブラリーを使用してZscalerインフラストラクチャーと通信します。このオプションを有効にするには1と入力し、無効にするには0と入力します。

        このオプションは、組織内でFIPSレベルのセキュリティが必要な場合のみ有効にしてください。

        閉じる
      • newBindFlow

        Zscaler Client Connector仮想インターフェイスとバインディングするZscaler Client Connectorマイクロサービスのマルチスレッド実装を有効化します。このオプションを有効にするには1と入力し、無効にするには0と入力します。

        閉じる
      • PAVConnectionSynced

        Zscaler Client Connectorが接続されるまで、アプリごとのVPN接続を遅らせます。このオプションを有効にするには1と入力し、無効にするには0と入力します。

        閉じる
      • DropNonRoutingTraffic

        ルートのないトラフィックをドロップします。このオプションを有効にするには1と入力し、無効にするには0と入力します。

        閉じる
      • SkipInterfaceInstallation

        有効にすると、ユーザーがログインしていない場合、Zscaler Client Connectorは仮想インターフェイスをインストールしません。これにより、ユーザーがログインしていないときにVPNアイコンがデバイスに表示されなくなります。このオプションを有効にするには1と入力し、無効にするには0と入力します。デフォルトでは、値は0です。

        閉じる

      画像を見る。

      

      閉じる

  11. [自動VPN]セクションで、次の操作を行います。

      • [自動VPNのタイプ]で、[アプリごとのVPN]を選択します。
      • SafariがZscaler Client Connector経由で特定の宛先にトラフィックを選択的に送信するようにするには、[このVPNをトリガーするSafariのURL]にドメインを入力します。
      • 特定のドメインへのトラフィックを除外する場合は、[除外ドメイン]にドメインを入力します。
      • 監視対象デバイスを使用している場合は、ユーザーが自動VPNを無効にするのをブロックできます。このオプションを有効にするには、ドロップダウンメニューから[はい]を選択します。

      画像を見る。

      

      閉じる

  12. 次をクリック.
  13. [割り当て]タブで、プロファイルのユーザー、グループ、およびデバイスを選択し、[次へ]をクリックします。
  14. [レビュー＋作成]セクション、概要を確認し、[作成]をクリックします。

  閉じる
• c.アプリケーションをアプリごとのVPNデバイス構成プロファイルに関連付けます。

  アプリケーションを関連付ける手順は次の通りです。

  1. Microsoft Intuneポータルで、左側のメニューから[アプリ]を選択します。

  2. [すべてのアプリ]をクリックし、Zscaler Client Connectorを使用して転送するアプリケーションを選択し、[プロパティ]を選択します。

     画像を見る。

     

     閉じる

  3. 割り当ての横にある[編集]をクリックし、[包含]をクリックして割り当て設定にアクセスします。

  4. 前のステップで作成したアプリごとのVPNプロファイルを選択して、アプリケーションをプロファイルに関連付けます。

     画像を見る。

     

     閉じる

  閉じる

IdPとしてEntra ID (Azure AD)を使用する場合は、Zscaler Client ConnectorをMicrosoft Enterprise SSOプラグインと統合して、ユーザーが登録または再認証中にZscaler Client Connectorにログインする必要がないようにすることができます。

プラグインと統合するには、作成するデバイス設定プロファイルでプラグインの特定のURLを除外し、VPNプロファイルに値が{{partialupn}}に設定されたusernameキーが含まれていることを確認する必要があります。詳細は、必須ポリシー設定を構成を参照してください。URLのリストについては、Microsoftのドキュメンテーションを参照してください。

プラグインを構成する手順は次の通りです。

1. Microsoft Intune for iOS 管理ポータルで、左側のメニューから [ デバイス] を選択します。
2. [ Manage Devices] > [Configuration] をクリックします。
3. [作成]をクリックし、[新規ポリシー]を選択します。
4. [プロファイルの作成]セクションで、以下のことを行います。
   • [プロファイル タイプ]：[テンプレート]を選択します。
   • [テンプレート名]:[デバイス機能]を選択します。
5. 作成 をクリックします。
6. [基本]タブで、次のように操作します。
   • 名前：名前を入力します。
   • [説明]: (省略可)説明を入力します。
7. 次をクリック.
8. [デバイス機能]タブで、次の操作を行います。
   1. [シングル サインオン アプリ拡張機能]をクリックします。
   2. [SSOアプリの拡張機能のタイプ]では、[Microsoft Entra ID]を選択します。
   3. SSOの使用が許可されている[アプリ バンドルID]を入力します。
      • com.apple.:すべてのAppleアプリにSSOの使用を許可します(必須)。
      • com.Microsoft.:すべてのMicrosoftアプリがSSOを使用できるようにします(必須)。
      • com.Zscaler.:すべてのZscalerアプリがSSOを使用できるようにします(必須)。
   4. 追加の構成パラメーターを入力します。
      • browser_sso_interaction_enabled: Zscaler Client ConnectorがSafariを使用して認証できるように、integerのタイプを持つ1の値を入力します。
      • disable_explicit_app_prompt:エンドユーザーのプロンプトを減らすため、integerのタイプを持つ1の値を入力します。一部のアプリでは、プロトコル レイヤーでエンド ユーザーのプロンプトが誤って適用され、Microsoft Enterprise SSOプラグインが他のアプリでも機能していても、ユーザーがサインインをプロンプトされる場合があります。
      • AppPrefixAllowList: SSOの使用が許可されているアプリのプレフィックスのリストを入力します。次のプレフィックスが必須です。
        • com.zscaler.
        • com.microsoft.
        • com.apple.
9. 画像を見る。

   

   閉じる
10. [割り当て]タブで、ポリシーを割り当てるグループ割り当てを選択し、[次へ]をクリックします。
11. [確認+作成]タブで、値と設定を確認し、[作成]をクリックします。

厳格な適用でZscaler Client Connectorをインストールしている場合は、追加の構成ステップを完了する必要があります。

1. 以前に作成したデバイス構成プロファイルに次のものが含まれていることを確認します。

   • [厳格な適用を有効化]は、[構成設定]タブで選択されています。

     画像を見る。

     

     閉じる

   • [除外URL]のリストには、次のホスト名が含まれます。

     • ZPAに必須のホスト：
       • authsp.prod.zpath.net
       • samlsp.private.zscaler.com
       • samlsp-pdx2.private.zscaler.com
     • Intuneに必須の必要なホスト。 詳細は、Microsoftのドキュメンテーションを参照してください。
     • Appleに必須のホスト。詳細は、Appleのドキュメンテーションを参照してください。
     • 組織のIdPに必須のホスト。詳細は、IdPのドキュメンテーションを参照してください。

     厳格な適用を展開する際、[除外URL]リストには最低1つのエントリーが含まれている必要があります。

     画像を見る。

     

     閉じる

Zscaler Client Connectorが厳格な適用でインストール後にサイトをブロックした場合は、ZSATunnel_[DATETIME].logファイルで文字列プロキシ=プロキシを検査できます。ファイルにホスト向け「ローカル キャプティブ モード!HTTPリクエストのドロップ」のメッセージが含まれる場合は、デバイス構成プロファイルの[除外URL]フィールドにホスト名を追加することで問題を解決できます。

画像を見る。