オフィスアプリケーションを Secure Access Service Edge (SASE) に追加すると、SASE は自動的にそのアプリケーションに対して「すべて拒否」ポリシーを作成します。ゼロトラストポリシーは、どのユーザーおよび企業パートナーがどのオフィスアプリケーションにアクセスできるか、およびその条件を制御します。必要なアクセス権を特定のユーザーグループに付与するには、許可ポリシーを設定してください。
前提条件
作業を開始する前に、以下の要件を満たしていることを確認してください。
管理対象のオフィスアプリケーションを追加済みであること。詳細については、「SASE へのオフィスアプリケーションの追加」をご参照ください。
ポリシーの適用対象となるユーザーグループを作成済みであること。詳細については、「ユーザーグループの作成」をご参照ください。
要件を満たすセキュリティベースラインテンプレートを設定済みであること。詳細については、「セキュリティベースラインの作成」をご参照ください。
ゼロトラストポリシーの作成
SASE コンソールにログインします。
左側のナビゲーションウィンドウで、Private Access > Zero Trust Policies を選択します。
Zero Trust Policies ページで、Create Policy をクリックします。
Create Policy パネルで、次の表に示すパラメーターを設定し、OK をクリックします。
| Parameter | Description |
|---|---|
| Policy Name | ポリシー名。2~100 文字で、英数字、ハイフン (-)、アンダースコア (_) を使用できます。 |
| Priority | ポリシー優先度。値 1 が最も高い優先度です。新規ポリシーに設定可能な最大優先度値は、アカウント内に既存のポリシー数に 1 を加えた値となります。たとえば、既に 17 件のポリシーがある場合、新しいポリシーの優先度は 1 から 18 の範囲で設定できます。2 つのポリシーが競合する場合は、優先度が高い(数値が小さい)ポリシーが有効になります。 |
| Action | アクセス制御アクション。Allow Access は、指定されたアプリケーションへのユーザーおよび端末のアクセスを許可します。Access Denied は、ユーザーまたは端末からの指定アプリケーションへのアクセスを拒否します。 |
| Applicable User | ポリシーを適用するユーザーグループ。Add をクリックし、User Group タブからグループを選択します。インラインで新しいグループを作成する場合は、Custom User Group タブを使用します。詳細については、「ユーザーグループの設定」をご参照ください。 |
| Selected Applications | ポリシーの適用対象となるアプリケーション。Add をクリックし、Tag タブでタグごとに、または Application タブで個別にアプリケーションを選択します。 |
| Security Baselines | 適用するセキュリティベースラインテンプレート。詳細については、「セキュリティベースラインの作成」をご参照ください。 |
| Trigger Templates | 動的判断を行うためのトリガーテンプレート。View Trigger Templates をクリックして、利用可能なテンプレートを確認できます。 |
| Policy Status | ポリシーを有効または無効にします。 |
作成可能なポリシー数は、ご利用の Private Access エディションによって異なります。Private Access VPN では 200 件、Private Access Basic では 500 件、Private Access Advanced では 1,000 件です。
ポリシーの管理
リストから管理対象のポリシーを見つけ、以下のいずれかの操作を実行します。
編集:Actions 列の Edit をクリックします。Edit パネルで設定を変更します。
優先度の変更:Priority 列のアイコンをクリックします。Priority ダイアログボックスで新しい優先度値を入力し、OK をクリックします。
有効化または無効化:Policy Status 列のスイッチを切り替えます。
単一ポリシーの削除:Actions 列の Delete をクリックします。
複数ポリシーの削除:削除対象のポリシーを選択し、リスト下部の Delete をクリックします。
ポリシーを削除すると、影響を受けるユーザーグループに所属するユーザーが、セキュリティ要件を満たさないアプリケーションにアクセスできるようになる可能性があります。慎重に操作してください。
次のステップ
ユーザーが信頼できる物理的なオフィスネットワークから作業しており、そのトラフィックを検査する必要がない場合は、信頼済みオフィスゾーンを設定して分析対象外としてください。詳細については、「オフィスゾーン識別機能の使用」をご参照ください。