すべてのプロダクト
Search

このプロダクト

    Secure Access Service Edge:SASE を使用して EDS に安全にアクセスする

    ドキュメントセンター

    Secure Access Service Edge:SASE を使用して EDS に安全にアクセスする

    最終更新日:Nov 15, 2025

    このトピックでは、Secure Access Service Edge (SASE) を使用して Alibaba Cloud Elastic Desktop Service (EDS) に安全にアクセスする方法について説明します。

    仕組み

    Cloud Enterprise Network (CEN) を使用して、SASE と EDS 間に安全な接続を確立できます。このソリューションは、ゼロトラストポリシーを使用して詳細なアクセスの制御を実装します。これにより、承認されたユーザーのみが SASE アプリを介してイントラネットに安全にアクセスできるようになり、EDS リソースへの安全なアクセスとリスク管理が可能になります。

    image

    前提条件

    手順

    ステップ 1: VPC の作成

    SASE は、CEN インスタンスにアタッチされた VPC を介して EDS に安全に接続します。まず、vpc-******* などの VPC を作成する必要があります。

    1. VPC コンソールの VPC の作成 ページに移動します。

    2. VPC の設定:

      1. リージョン: クラウドリソースを作成するリージョンを選択します。たとえば、中国 (北京) を選択します。

      2. IPv4 CIDR ブロック: コンソールから推奨される CIDR ブロックを選択するか、カスタム CIDR ブロックを入力します。複数の VPC が相互接続されている場合は、競合を防ぐために CIDR ブロックが他の VPC と重複しないようにしてください。CIDR ブロックの競合を防ぎ、ネットワークのスケーラビリティを確保するために、IPAM を使用して VPC を作成できます。

        1. VPC CIDR ブロックとして RFC 1918 で指定されたプライベート IPv4 アドレス範囲を使用し、ネットワークマスクは 16 から 28 ビットにします。例としては、10.0.0.0/16、172.16.0.0/16、192.168.0.0/16 などがあります。
        2. VPC の IPv4 CIDR ブロックとして 100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、または 169.254.0.0/16 を使用しないでください。

    3. vSwitch の設定:

      1. ゾーン: クラウドリソースを作成するゾーンを選択します。リソースの可用性と在庫状況に基づいてゾーンを選択します。

      2. IPv4 CIDR ブロック: コンソールが提供するデフォルトの CIDR ブロックを使用するか、必要に応じて範囲を調整します。

      3. vSwitch の追加: 単一ゾーンの障害からアプリケーションを保護するために、異なるゾーンに複数の vSwitch を作成できます。VPC の作成時に vSwitch を作成するか、後で VPC コンソールの vSwitch ページで追加できます。

    ステップ 2: CEN インスタンスとトランジットルーターの作成

    CEN インスタンスとトランジットルーターを作成し、VPC をそれらにアタッチします。

    1. CEN コンソールにログインします。

    2. [Cloud Enterprise Network] ページで、[CEN インスタンスの作成] をクリックします。

    3. [CEN インスタンスの作成] ダイアログボックスで、CEN インスタンスの [名前] (例: WUYING-Workspace-CEN) を入力し、[OK] をクリックします。

      説明

      名前は 1~128 文字で、http:// または https:// で始めることはできません。

    4. [接続の作成] をクリックします。

    5. [ピアネットワークインスタンスとの接続] ページで、パラメーターを次のように設定し、他の設定はデフォルト値のままにします。その後、[OK] をクリックします。

      パラメーター

      説明

      インスタンスタイプ

      CEN インスタンスにロードするネットワークインスタンスのタイプ。オプションには、Virtual Private Cloud (VPC)、仮想ボーダールーター (VBR)、クラウド相互接続ネットワーク (CCN)、リージョン間接続、および Virtual Private Network (VPN) が含まれます。

      VPC

      リージョン

      VPC または VBR が配置されているリージョン。

      中国 (北京)

      ネットワークインスタンス

      CEN インスタンスにアタッチできる VPC。作成した VPC を選択します。

      説明

      VPC を選択した後、右側の [ルートチェックの開始] をクリックして、VPC に 10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16 のルートが存在するかどうかを確認できます。そのようなルートが存在し、すべての TR ルートの自動設定が妨げられる場合は、アタッチメントを作成した後に VPC ルートを手動で設定します。

      vpc-*******

      vSwitch

      マルチゾーンのディザスタリカバリのために、少なくとも 2 つのゾーンを選択し、vSwitch を設定します。

      北京ゾーン H、北京ゾーン G

    ステップ 3: オフィスネットワークの作成と移行

    CEN を介して SASE と EDS 間のネットワーク通信を有効にするには、新しいオフィスネットワークを作成し、それを CEN インスタンスに接続する必要があります。

    1. EDS エンタープライズコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。

    3. 上部のメニューバーの左上隅で、ターゲットリージョンを選択します。

    4. [オフィスネットワーク] ページで、[オフィスネットワークの作成] をクリックします。

    5. [オフィスネットワークの作成] パネルで、次の表の説明に従ってパラメーターを設定します。

      パラメーター

      説明

      リージョン

      EDS が配置されているリージョン。

      中国 (北京)

      名前

      ビジネスニーズに基づいてオフィスネットワーク名を設定し、ネットワークタイプを選択します。サポートされているネットワークタイプ:

      説明

      名前は 2~255 文字である必要があります。文字または漢字で始まり、http:// または https:// で始めることはできません。文字、数字、漢字、コロン (:)、アンダースコア (_)、ハイフン (-) を含めることができます。

      • 基本オフィスネットワーク: EDS を試したい場合や、ビジネスで少数のワークスペース (50 以下) しか必要ない場合は、基本オフィスネットワークを使用して設定プロセスを簡素化します。

      • 高度なオフィスネットワーク: ビジネスシナリオに基づいて、オフィスネットワークのリージョン、名前、IPv4 CIDR ブロック、接続タイプを指定できます。多くのワークスペース (50 以上) が必要な場合や、基本オフィスネットワークではニーズを満たせない場合は、高度なオフィスネットワークを選択します。

      • オフィスネットワーク名: office_network

      • オフィスネットワークタイプ: 高度なオフィスネットワーク

      IPv4 CIDR ブロック

      オフィスネットワークでクラウドコンピューターを作成すると、システムは オフィスネットワークで使用される VPC の CIDR ブロックからクラウドコンピューターに IP アドレスを自動的に割り当てます。IP アドレスの数は CIDR ブロックによって異なります。詳細については、CIDR ブロックの計画」をご参照ください。

      デフォルトでは、オフィスネットワーク VPC を次の IPv4 CIDR ブロックとそのサブネットに設定できます:

      • 192.168.0.0/16

      • 10.0.0.0/12

      • 172.16.0.0/12

      192.168.0.0/16

      接続方法

      オフィスネットワークを作成するときは、エンドユーザーが Alibaba Cloud Workspace ターミナルからクラウドコンピューターに接続するために使用する方法を指定する必要があります。次の接続方法が提供されています:

      • インターネット (デフォルト): エンドユーザーはインターネット経由でのみクラウドコンピューターに接続できます。この方法を選択した場合、クラウドコンピューターに接続するために使用されるオンプレミスのマシンはインターネットにアクセスできる必要があります。

      • VPC: エンドユーザーは VPC 経由でのみクラウドコンピューターに接続できます。この方法を選択した場合は、オフィスネットワークCloud Enterprise Network (CEN) インスタンスにアタッチする必要があります。さらに、Express ConnectSmart Access Gateway (SAG)、または VPN Gateway を使用して、オンプレミスネットワークとクラウドネットワーク間の接続を確立する必要があります。詳細については、オフィスネットワークを CEN インスタンスにアタッチおよびデタッチする」および「プライベートネットワークサービスの選択」をご参照ください。

      • インターネットと VPC: エンドユーザーは VPC とインターネットの両方でクラウドコンピューターに接続できます。

      VPC

      CEN にアタッチ

      エンタープライズプライベートネットワーク (VPC) 接続方法を選択した場合は、[アタッチ] を選択し、作成した CEN インスタンスのインスタンス ID を設定してから、右側の [検証] をクリックします。

      CEN にアタッチ: はい

      CEN インスタンス ID: 作成した CEN インスタンスの ID

    6. CEN インスタンスが正常に検証されたら、[次へ: アカウントシステムの設定] をクリックし、[コンビニエンスアカウント] を選択して、[作成] をクリックします。

      説明

      検証に失敗した場合は、エラーメッセージに基づいて設定を調整し、再試行してください。

    7. 左側のナビゲーションウィンドウで、[リソース] > [クラウドコンピューター] を選択します。

    8. ターゲットワークスペースインスタンスの [操作] 列で、[その他] をクリックし、次に [移行] をクリックします。

      説明

      オフィスネットワークを移行する前に、ワークスペースがシャットダウンされていることを確認してください。

      image

    9. [オフィスネットワークの移行] ダイアログボックスで、作成したオフィスネットワーク (office_network) を選択し、[確認] をクリックします。

    ステップ 4: ID ソースの設定とユーザーの追加

    ID ソースは、従業員の ID 認証を提供します。SASE は、LDAP、DingTalk、WeCom、Lark、IDaaS、カスタム ID ソースなどのサードパーティおよびカスタム認証システムをサポートしています。ビジネスで複数の ID ソースを使用している場合は、それぞれを設定して有効にし、SASE サービスで使用できます。

    このトピックでは、カスタム ID ソースを例として使用して、この機能を説明します。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Identity Authentication > Identity Access を選択します。

    3. Identity synchronization タブで、Custom IdP を見つけ、Actions 列の Edit をクリックします。ウィザードに従って、カスタム ID ソースを設定します。詳細については、「SASE ID ソースの設定」をご参照ください。

    4. Employee Center タブで、カスタム ID ソースを選択し、Add User をクリックします。詳細については、「ユーザーセンター」をご参照ください。

    ステップ 5: ユーザーグループの設定と認証の有効化

    ゼロトラストポリシーを設定する際には、ポリシーを適用するユーザーグループを指定する必要があります。

    1. 左側のナビゲーションウィンドウで、Identity Authentication > Identity Access を選択します。

    2. User Group Management タブで、Create User Group をクリックします。

    3. Create User Group パネルで、ユーザーグループの Organizational StructureAccount NameEmail AddressMobile Phone Number を設定します。その後、OK をクリックします。詳細については、「ユーザーグループ管理」をご参照ください。

    4. Authentication Management タブで、カスタム ID ソースの認証を有効にします。詳細については、「認証の有効化」をご参照ください。

    ステップ 6: ネットワーク接続の確立

    SASE と Bastionhost をホストするビジネス VPC との間のネットワーク接続を確立します。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Private Access > Network Settings を選択します。

    3. Network Settings ページの Services on Alibaba Cloud > CEN Instance タブで、SASE が同期したネットワークリソースを表示します。

      パラメーター

      説明

      CEN インスタンス ID/名前

      現在の管理アカウントおよび追加されたメンバーアカウント配下のすべての CEN リソース。

      アカウント

      CEN インスタンスが属するアカウント。これは、現在の管理アカウントまたはメンバーアカウントです。

      オリジンフェッチアドレス

      SASE ゲートウェイが CEN に接続するためのオリジンフェッチアドレス。

      CEN に関連付けられた VPC 内の Bastionhost リソースの場合、オリジンフェッチアドレスを許可するセキュリティグループポリシーが自動的に追加されます。CEN に関連付けられた VBR や SAG などのリソースの場合、ACL ポリシーが存在する場合は、オリジンフェッチアドレスを許可する必要があります。

    4. ターゲット CEN インスタンス (WUYING-Workspace-CEN) の VPC (vpc-*******) で、[ネットワーク接続] スイッチをオンにします。

      image

    5. プライベートネットワーク経由でワークスペースを使用できるようにするには、次の表の説明に従ってカスタム CIDR ブロックを設定します。

      CIDR ブロックタイプ

      説明

      EDS プライベートネットワーク

      EDS オフィスネットワークの CIDR ブロック。

      192.168.0.0/16

      リージョンのコントロールプレーン CIDR ブロック

      プライベート接続用のリージョン内のコントロールプレーンの CIDR ブロック。これは、EDS インスタンスのリージョンに基づいて設定できます。詳細については、「プライベート接続用のコントロールプレーンのドメイン名とリージョン間のマッピング」をご参照ください。

      • 100.100.0.0/16

      • 100.103.0.0/16

    ステップ 7: プライベートアプリケーションの作成

    プライベートアクセスに SASE を使用する前に、EDS アプリケーションの IP アドレスまたはドメイン名を SASE アプリケーションリストに追加する必要があります。従業員は、SASE アプリで設定されたアプリケーションにのみアクセスできます。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Private Access > Application Management を選択します。

    3. Add Application をクリックします。Add Application パネルの Manual Configuration タブで、次の表の説明に従ってパラメーターを設定します。

      パラメーター

      説明

      Application Name

      アプリケーションの名前。

      名前は 2~100 文字で、漢字、文字、数字、ハイフン (-)、アンダースコア (_)、ピリオド (.) を含めることができます。

      EDS

      Status

      アプリケーションの有効化ステータス。

      Enable

      Access Mode

      設定するアクセスモードを選択します。

      • Client-based Access: オフィスアプリケーションにアクセスするには、SASE アプリをインストールする必要があります。レイヤー 4 およびレイヤー 7 アプリケーションへのアクセスをサポートし、オフィスと O&M の両方のニーズに対応します。また、豊富なエンドポイントセキュリティ検出および制御ポリシーもサポートしています。

      • Browser-based Access: SASE アプリをインストールせずに、ブラウザを使用して企業の Web アプリケーションにアクセスできます。このモードは、エンドポイントセキュリティの検出および制御ポリシーをサポートしていません。

      Client-based Access

    4. Next をクリックし、EDS にアクセスするための Application AddressPortProtocol を設定してから、OK をクリックします。

      パラメーター

      説明

      Application Name

      プライベートアプリケーションの名前を設定します。

      EDS

      Application Address

      EDS にアクセスするためのアドレス。これには、EDS VPC の IP アドレスとプライベートゲートウェイアドレスが含まれます。プライベートネットワーク経由で EDS にアクセスするには、対応するリージョンの コントロールプレーンのドメイン名 も設定する必要があります。詳細については、「プライベート接続用のコントロールプレーンのドメイン名とリージョン間のマッピング」をご参照ください。

      • EDS インスタンス関連

        • 192.168.0.0/16 (VPC IP)

        • gw-cn-beijing-******-.wuyinggw.com

          (プライベートゲートウェイアドレス)

      • コントロールプレーンリージョン関連

        • ecd-vpc.cn-beijing.aliyuncs.com

        • wyota-vpc.cn-beijing.aliyuncs.com

        • appstream-center-vpc.cn-beijing.aliyuncs.com

      Port

      アクセスポート番号を設定します。

      1-65535

      Protocol

      アクセスプロトコルを設定します。

      すべてのプロトコル

      Status

      ポリシーの有効化ステータスを設定します。

      有効

    ステップ 8: ゼロトラストポリシーの設定

    ゼロトラストポリシーを設定することで、承認されたユーザーのみがプライベートアプリケーションを介して EDS にアクセスできるようになり、詳細なアクセスの制御とセキュリティ強化を実現できます。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Private Access > Access Control を選択します。

    3. Zero Trust Policies タブで、Create Policy をクリックします。

    4. Create Policy パネルで、パラメーターを次のように設定し、他の設定はデフォルト値のままにして、OK をクリックします。

      パラメーター

      説明

      Policy Name

      ゼロトラストポリシーの名前。

      名前は 2~100 文字で、漢字、文字、数字、ハイフン (-)、アンダースコア (_) を含めることができます。

      EDS ポリシー

      Action

      ポリシーのアクセス権限を設定します。値:

      • Allow Access: ポリシーは、ユーザーまたはエンドポイントが指定されたアプリケーションにアクセスすることを許可します。

      • Access Denied: ポリシーは、ユーザーまたはエンドポイントが指定されたアプリケーションにアクセスすることを拒否します。

      アクセスを許可

      Applicable User

      ポリシーが適用されるユーザーグループを設定します。ゼロトラストポリシーは、指定されたユーザーグループのエンドポイントで有効になります。SASE は、ポリシーにヒットしたアクセス動作を、アクセスを許可またはブロックすることで適切に処理します。

      Add をクリックします。User Group タブで、ユーザーグループを選択します。現在のユーザーグループがニーズを満たさない場合は、Custom User Group タブで新しいユーザーグループを設定できます。ユーザーグループの設定方法については、「ユーザーグループ管理」をご参照ください。

      アクセスを許可するユーザーグループを選択します

      Selected Applications

      ユーザーグループがアクセスを許可されるアプリケーションを設定します。

      Add をクリックします。Tag タブで、タグに基づいて指定されたアプリケーションを選択します。Application タブで直接アプリケーションを選択することもできます。

      作成したプライベートアプリケーション (EDS) を選択します

    ステップ 9: EDS ポリシーの設定

    ワークスペースポリシーを使用して、ユーザーがワークスペースを使用する際のデータセキュリティ、アクセスの制御、ユーザーエクスペリエンス、およびコラボレーション効率を管理できます。EDS は、変更または削除できないデフォルトの基本ポリシーを提供します。パーソナライズされた管理のために、カスタムポリシーを作成し、ネットワークアクセスセキュリティグループと組み合わせて詳細なコントロールを行うことができます。たとえば、SASE オリジンフェッチアドレスのみがワークスペースにアクセスできるようにポリシーを設定して、アクセスセキュリティを強化できます。

    1. EDS エンタープライズコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[O&M] > [ポリシー] を選択します。次に、[ポリシーの作成] をクリックします。

    3. [ポリシーの作成] ページの左側のナビゲーションウィンドウで、[セキュリティ] > [ネットワークアクセス] を選択します。

      image

    4. [ネットワークアクセス] > [セキュリティグループコントロール] で、[ルールの追加] をクリックします。

      image

    5. [ルールの追加] ダイアログボックスで、次の表の説明に従ってアクセスルールを設定します。

      説明

      エンタープライズプライベートネットワーク環境では、ワークスペースはデフォルトですべてのインバウンドアクセスを拒否します。SASE オリジンフェッチアドレスからのアクセスを許可するセキュリティグループのインバウンドルールを追加することで、承認されたアクセスリクエストを許可できます。

      方向

      承認

      優先度

      プロトコルタイプ

      ポート範囲

      承認オブジェクト

      インバウンド

      許可

      1

      カスタム TCP

      1-65535

      • 172.16.0.241

      • 172.16.128.241

    6. 設定が完了したら、OK をクリックします。

      image

    7. 左側のナビゲーションウィンドウで、[リソース] > [クラウドコンピューター] を選択します。

    8. ターゲットワークスペースインスタンスの Actions 列で、[その他] をクリックし、次に [ポリシーの変更] をクリックします。

      image

    9. [ポリシーの変更] パネルで、[ポリシーの変更] をクリックします。表示されるダイアログボックスで、作成したカスタムポリシーを選択し、OK をクリックします。

    ステップ 10: 設定の検証とログの表示

    1. インストールした SASE アプリを開きます。

    2. 作成したユーザー名とパスワードでログインします。

    3. 左側のナビゲーションウィンドウで [ネットワーク] を選択し、[接続] をクリックします。接続が確立されるまで待ちます。

      image

    4. EDS クライアントにログインします。クライアントの右上隅で、[接続タイプ] をクリックします。

      image

    5. [接続タイプ] ダイアログボックスで、[Alibaba Cloud VPC] を選択し、[確認] をクリックします。

      image

    6. VPC ID を入力し、ユーザー名とパスワードまたはショートメッセージを使用してログインします。

    7. ログイン後、SASE コンソールの Log Analysis > Log Audit > Private Access Audit > Regular Logs タブでプライベートアプリケーションのアクセスレコードを表示できます。