すべてのプロダクト
Search
ドキュメントセンター

Secure Access Service Edge:プライベートアクセスの初期設定

最終更新日:Apr 24, 2026

このトピックでは、Secure Access Service Edge (SASE) を有効化した企業の管理者向けに、プライベートアクセス機能の仕組みと初期設定について説明します。

プライベートアクセスのセキュリティ

プライベートアクセス機能は、ソフトウェアデファインドペリメター (SDP) 技術を利用して、SaaS ベースのゼロトラストアクセスを提供します。パブリック IP アドレスを公開したり、既存の企業ネットワークアーキテクチャを変更したりすることなく、従業員が内部のクラウドリソースにアクセスできるようにし、管理者がアクセス権限を管理できるようにします。

操作手順

ステップ 1:ID プロバイダー (IdP) の設定

ID プロバイダー (IdP) は、主に企業従業員の ID 認証を提供します。SASE は、サードパーティおよび自社構築の ID 認証システムをサポートしています。現在サポートされている IdP には、LDAP、DingTalk、WeChat Work、Feishu、IDaaS、およびカスタム ID プロバイダーが含まれます。業務で複数の ID プロバイダーが関わる場合は、それらを設定して認証ステータスを有効にすることができます。これにより、異なる ID プロバイダーで SASE サービスを利用できます。

この機能の検証を迅速に行うために、このトピックではカスタム ID プロバイダーを例として使用します。

  1. SASE コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、Identity Authentication > Identity Access を選択します。

  3. Identity synchronization タブで Custom IdP を見つけ、Actions 列の Edit をクリックし、ウィザードに従ってカスタム ID プロバイダーを設定します。詳細については、「カスタム IdP への接続」をご参照ください。

  4. User Group Management タブで、Create User Group をクリックします。

  5. Create User Group パネルで、ユーザーグループの Organizational StructureAccount NameEmail AddressMobile Phone Number などの情報を設定します。その後、OK をクリックします。詳細については、「ユーザーグループ管理」をご参照ください。

ステップ 2:ユーザーグループの設定

各アクセスポリシーは、特定のユーザーグループに適用する必要があります。

  1. 左側のナビゲーションウィンドウで、Identity Authentication > Identity Access を選択します。

  2. User Group Management タブで、Create User Group をクリックします。

  3. Create User Group パネルで、ユーザーグループの Organizational StructureAccount NameEmail AddressMobile Phone Number などの情報を設定します。その後、OK をクリックします。詳細については、「ユーザーグループ管理」をご参照ください。

ステップ 3:プライベートアプリケーションとリソースの設定

オフィスアプリケーションは、従業員が業務で使用するアプリケーション、サーバー、データベースなどの内部 IT リソースです。従業員は、これらのアプリケーションにパブリック IP アドレスを設定する必要はありません。SASE クライアントをインストールすることで、従業員は業務デバイスを使用して、ID とセキュリティのチェックを通過した後、これらの内部アプリケーションとリソースにアクセスできます。

  1. 左側のナビゲーションウィンドウで、Private Access > Application Management を選択します。

  2. Office Application ページの Custom Tags セクションで Add をクリックし、タグ名を設定してから OK をクリックします。

    最大 100 個のカスタムタグを作成できます。

  3. Add Application をクリックし、以下の手順でアプリケーションを設定します。

    お使いのビジネスで DNS サーバーを使用して内部ネットワークのドメイン名を解決している場合は、Internal DNS Configuration をクリックできます。DNS Address ダイアログボックスで、Default DNS ServiceOther DNS Services を手動で入力します。デフォルトの DNS グループ (DNS グループには最大 2 つの DNS サーバー IP を含めることができます) は、企業のプライマリ DNS として SASE セキュアクライアントにプッシュされます。従業員は、クライアント上で DNS グループを切り替えることで、業務の特定のアクセス要件を満たすことができます。

    DNS サービスを設定しない場合、SASE はデフォルトで Alibaba Cloud DNS を使用して内部ネットワークの CIDR ブロックを解決します。お使いのビジネスで Alibaba Cloud DNS PrivateZone が設定されている場合、SASE はそれを優先して IP アドレスとドメイン名を解決します。

    1. Manual Configuration タブで、次の表の説明に従って基本設定パラメーターを設定します。

      パラメーター

      説明

      Application Name

      プライベートアプリケーションの名前。

      名前は 1~128 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_)、ピリオド (.) を使用できます。

      勤怠管理アプリケーション

      Description

      プライベートアプリケーションの説明。

      従業員向けの勤怠管理アドレス

      Tag

      アプリケーションのカスタムタグ。タグは、アプリケーションの分類、検索、管理に役立ちます。

      OA システム

      Status

      アプリケーションのアクセスステータス。有効値:

      • Enable:アプリケーションは利用可能です。

      • Disable:アプリケーションは利用できません。

      有効

    2. [次へ] をクリックし、次の表の説明に従ってアプリケーションアドレス情報を設定します。

      パラメーター

      説明

      Application Address

      アプリケーションのプライベートアクセスアドレス。IP アドレス、CIDR ブロック、ドメイン名、ワイルドカードドメイン名を使用して、エンタープライズアプリケーションまたはリソースを定義します。業務要件に応じて、1 つのアプリケーションに複数のプライベートアクセスアドレスを設定できます。

      10.10.XX.XX

      Port

      アプリケーションが使用するポート番号またはポート範囲。

      80-200

      Protocol

      アプリケーションのプロトコルタイプ。有効な値:All ProtocolsTCPUDP

      すべて

    image.png

ステップ 4:ネットワーク接続の有効化

正しい接続ソリューションを選択するには、まずサービスがどのようにデプロイされているかを判断する必要があります。

サービスデプロイメント環境

ソリューション

環境要件

エンタープライズサービスとリソースが Alibaba Cloud にデプロイされている

ネットワーク設定機能を使用して、指定された Alibaba Cloud VPC リソースと SASE エンドユーザー間のネットワーク接続を確立します。

[ネットワーク設定] > [Alibaba Cloud サービス] ページで、ターゲットサービスサーバーが配置されている VPC のネットワーク接続を有効にします。

オフィスコンピュータの要件:

  • Windows (64 ビット、32 ビット、.msi 64 ビット、.msi 32 ビット):Windows 7 以降

  • macOS:macOS 10.10 以降

  • Linux:Ubuntu 18.04 以降、UOS

エンタープライズサービスとリソースが AWS や Tencent Cloud などの Alibaba Cloud 以外の環境にデプロイされており、ネットワーク接続に Alibaba Cloud 仮想ボーダールーター (VBR)、クラウド相互接続ネットワーク (CCN)、または VPN ゲートウェイが既に使用されている。

[専用線、SAG、または IPsec-VPN] などの Alibaba Cloud ネットワークチャネルを使用して、SASE クライアントが Alibaba Cloud 以外の環境のサービスリソースにアクセスできるようにします。

[ネットワーク設定] > [Alibaba Cloud 以外のサービス] > [クラウドネットワークインスタンス] タブで、オリジン取得 VPC を設定し、ネットワーク接続を有効にします。

オフィスコンピュータの要件:

  • Windows (64 ビット、32 ビット、.msi 64 ビット、.msi 32 ビット):Windows 7 以降

  • macOS:macOS 10.10 以降

  • Linux:Ubuntu 18.04 以降、UOS

エンタープライズサービスとリソースが Alibaba Cloud 以外の環境にデプロイされている

SASE は、Alibaba Cloud 以外のネットワークに接続するために使用できるコネクタ機能を提供します。これにより、SASE アプリを使用して Alibaba Cloud 以外の環境のサービスにアクセスできます。

この方法は、ネットワークアクセスに他のネットワーク製品に依存しません。

[ネットワーク設定] > [Alibaba Cloud 以外のサービス] > [コネクタリスト] タブで、SASE コネクタを手動で追加します。次に、コマンドを実行してコネクタをデプロイし、コネクラインスタンスが有効になっていることを確認します。

オフィスコンピュータの要件:

  • Windows (64 ビット、32 ビット、.msi 64 ビット、.msi 32 ビット):Windows 7 以降

  • macOS:macOS 10.10 以降

  • Linux:Ubuntu 18.04 以降、UOS

コネクタをデプロイするためのサーバー要件:

  • 仮想マシンまたはサーバーの設定:

    • CPU:4 コア

    • メモリ:8 GB

    • ディスク:40 GB

    • オペレーティングシステム:CentOS 7 以降

  • ネットワーク設定:サーバーはインターネットにアクセスできる必要があります。ファイアウォールが設定されている場合は、コネクタがデプロイされているサーバーまたは仮想マシンで、ポート 443 および 8000 のアウトバウンドトラフィックを許可する必要があります。

  • 仕様制限:200 MB のトラフィック転送。

  • ポート要件:ポート 9000~9010 が占有されていないことを確認してください。

このトピックでは、ビジネスリソースが Alibaba Cloud の外部にデプロイされているシナリオを使用して、ネットワークチャネルを確立する方法を説明します。

  1. 左側のナビゲーションウィンドウで、Private Access > Network Settingsを選択します。

  2. Network Settings ページで、Services Outside Alibaba Cloud をクリックします。

  3. コネクタを追加し、アプリケーションに関連付けます。

    1. Connectors タブで、Add Connector をクリックします。

      最大 5 つのコネクタを追加できます。

    2. Add Connector パネルで、ビジネス要件に基づいてパラメーターを設定します。その後、OK をクリックします。

      パラメーター

      説明

      Region

      コネクタのリージョン。アクセス品質を確保するために、サーバーに最も近いリージョンを選択することを推奨します。

      中国 (北京)

      Instance Name

      コネクタの名前。

      A 社プライベートアクセスコネクタ

      Instance Switch

      SASE ユーザーエンドポイントは、インスタンススイッチが [有効] の場合にのみ、コネクタに関連付けられたアプリケーションにアクセスできます。

      重要

      Instance Switch を無効にすると、ユーザーエンドポイントは SASE クライアントを使用してプライベートアプリケーションにアクセスできなくなります。操作にはご注意ください。

      有効

      image

  4. コネクタをインストールしてデプロイします。

    1. Actions 列で、Deploy をクリックします。Deploy パネルで、デプロイコマンドをコピーします。

      image

    2. コネクタをデプロイするサーバーまたは仮想マシンに root ユーザーとしてログインし、コマンドを実行します。

ステップ 5:ゼロトラストポリシーの作成

ゼロトラストポリシーは、従業員やビジネスパートナーのアプリケーションやリソースへのアクセスを制御するのに役立ちます。デフォルトでは、SASE はすべてを拒否するアクセスポリシーを適用します。ユーザーグループにリソースへのアクセスを許可するには、特定の許可ポリシーを作成する必要があります。

  1. 左側のナビゲーションウィンドウで、Private Access > Access Control を選択します。

  2. Zero Trust Policies タブで、Create Policy をクリックします。

  3. Create Policy パネルで、次の表の説明に従って基本情報を設定し、OK をクリックします。

    ゼロトラストポリシーの数に制限はありません。ビジネス要件に基づいて複数のポリシーを作成できます。

    パラメーター

    説明

    Policy Name

    ゼロトラストポリシーの名前。

    名前は 2~100 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_) を使用できます。

    勤怠管理アプリの許可ポリシー

    Description

    ゼロトラストポリシーの説明。

    すべてのユーザーが勤怠管理アプリケーションにアクセスできます。

    Priority

    ポリシーの優先度。最も高い優先度は 1 です。新しいポリシーの最大優先度は N+1 です。N はアカウント内の現在のポリシー数です。たとえば、17 個のゼロトラストポリシーがある場合、新しいポリシーの優先度は 1~18 の範囲になります。

    ポリシーが競合する場合、優先度の高い方が有効になります。

    1

    Action

    ポリシーのアクセス権限。有効値:

    • Allow Access:ポリシーは、ユーザーまたはエンドポイントが指定されたアプリケーションにアクセスすることを許可します。

    • Access Denied: ポリシーは、ユーザーまたはエンドポイントが指定されたアプリケーションにアクセスすることを拒否します。

    アクセスを許可

    Applicable User

    ゼロトラストポリシーは、ポリシーに指定したユーザーグループのエンドポイントデバイスで有効になります。SASE は、ポリシーに一致するアクセス試行を許可またはブロックして処理します。

    Add をクリックします。User Group タブで、ユーザーグループを選択します。既存のユーザーグループがニーズを満たさない場合は、Custom User Group タブで新しいユーザーグループを設定できます。ユーザーグループの設定方法の詳細については、「ユーザーグループ管理」をご参照ください。

    会社の全従業員

    Selected Applications

    Action (アクセスを許可またはアクセスを拒否) が適用されるアプリケーション。

    Add をクリックします。[タグ] タブで、タグに基づいてアプリケーションを選択します。[アプリケーション] タブで直接アプリケーションを選択することもできます。

    勤怠管理アプリケーション

    Security Baselines

    企業のオフィス要件を満たすセキュリティベースラインテンプレートを選択します。

    -

    Policy Status

    ポリシーの有効ステータス。

    有効

    image.png

ステップ 6:設定の検証

  1. インストールした SASE クライアントを開きます。

  2. 企業認証 ID を入力し、OK をクリックします。

    Secure Access Service Edge コンソールにログインできます。左側のナビゲーションウィンドウの Settings ページで、Enterprise Authentication Identifier を取得できます。

  3. メールまたはテキストメッセージで受け取った初期ユーザー名とパスワードを使用してログインします。

  4. [イントラネットに接続] をクリックします。

  5. 企業の勤怠管理アプリケーションにアクセスします。

    アプリケーションにアクセスできれば、設定は成功です。