すべてのプロダクト
Search

このプロダクト

    Secure Access Service Edge:ゼロトラストポリシーの設定

    ドキュメントセンター

    Secure Access Service Edge:ゼロトラストポリシーの設定

    最終更新日:Feb 28, 2025

    ゼロトラストポリシー機能を使用すると、特定のアプリケーションおよびリソースへのアクセス権限をユーザーと企業パートナーに付与できます。 ゼロトラストポリシーを作成するプロセスでは、企業ユーザーグループのリソース権限をオフィスアプリケーションのリソース権限と区別します。 このトピックでは、ゼロトラストポリシーを設定する方法について説明します。

    背景情報

    Secure Access Service Edge(SASE)オフィスアプリケーションにオフィスアプリケーションを追加すると、SASE は、ゼロトラストの原則に基づいて、オフィスアプリケーションへのすべてのアクセスを拒否するポリシーを自動的に作成します。 この場合、異なるユーザーグループに異なるリソースに対する権限を付与するために、許可ポリシーを設定する必要があります。

    前提条件

    ゼロトラストポリシーの設定

    1. SASE コンソール にログオンします。

    2. 左側のナビゲーションウィンドウで、Private Access > Zero Trust Policies を選択します。

    3. Zero Trust Policies ページで、Create Policy をクリックします。

    4. Create Policy パネルで、パラメーターを設定し、OK をクリックします。 次の表にパラメーターを示します。

      ビジネス要件に基づいて複数のポリシーを作成できます。

      作成できるポリシーの数は、SASE のプライベートアクセスエディションによって異なります。 デフォルトでは、プライベートアクセス VPN では 200 個のポリシー、プライベートアクセス Basic では 500 個のポリシー、プライベートアクセス Advanced では 1,000 個のポリシーを作成できます。

      パラメーター

      説明

      ポリシー名

      ゼロトラストポリシーの名前。

      名前は 2 ~ 100 文字で、文字、数字、ハイフン(-)、およびアンダースコア(_)を含めることができます。

      優先度

      ゼロトラストポリシーの優先度。 値 1 は最高の優先度を示します。 ポリシーを作成する場合、新しいポリシーの優先度の最大値は、次の計算結果によって決まります。アカウント内のゼロトラストポリシーの数 + 1。 たとえば、アカウント内に 17 個のゼロトラストポリシーがあるとします。 ポリシーを作成する場合、新しいポリシーの優先度は 1 ~ 18 です。 18 という数字は、次の式を使用して取得されます。17 + 1 = 18。

      ポリシーの競合が存在する場合、優先度の高いポリシーが有効になります。

      アクション

      ポリシーのアクセス権限。 有効な値:

      • [アクセスを許可]: ポリシーは、ユーザーまたは端末からの指定されたアプリケーションへのアクセスを許可します。

      • [アクセス拒否]: ポリシーは、ユーザーまたは端末からの指定されたアプリケーションへのアクセスを拒否します。

      該当ユーザー

      ポリシーが適用されるユーザーグループ。 ゼロトラストポリシーは、指定されたユーザーグループの端末に対して有効になります。 アクセスリクエストがポリシーにヒットした場合、SASE はリクエストを許可するか拒否するかを決定します。

      ユーザーグループを追加するには、[追加] をクリックします。 [ユーザーグループ] タブで、追加するユーザーグループを選択します。 既存のユーザーグループが要件を満たしていない場合は、[カスタムユーザーグループ] タブでユーザーグループを作成できます。 詳細については、「ユーザーグループの設定」をご参照ください。

      選択済みアプリケーション

      ポリシーが適用されるアプリケーション。

      アプリケーションを追加するには、[追加] をクリックします。 [タグ] タブで、タグを選択して、そのタグを持つアプリケーションを追加します。 [アプリケーション] タブでアプリケーションを選択することもできます。

      セキュリティベースライン

      セキュリティ要件を満たすセキュリティベースラインテンプレート。 詳細については、「セキュリティベースラインの作成」をご参照ください。

      トリガーテンプレート

      動的意志決定に適用するトリガーテンプレート。 [トリガーテンプレートの表示] をクリックして、トリガーテンプレートの詳細を表示できます。

      ポリシー ステータス

      ポリシーのステータス。 ポリシーを有効または無効にすることができます。

    ポリシーの編集と削除

    ビジネス要件に基づいて、次の操作を実行できます。

    • ポリシーの編集: 編集するポリシーを見つけ、[操作] 列の Edit をクリックします。 Edit パネルで、ポリシー設定を変更します。

    • ポリシーの優先度の変更: 管理するポリシーを見つけ、[優先度] 列のアイコンをクリックします。 [優先度] ダイアログボックスで、優先度の値を指定し、[OK] をクリックします。

    • ポリシーの有効化または無効化: 管理するポリシーを見つけ、[ポリシーステータス] 列のスイッチをオンまたはオフにして、ポリシーを有効または無効にします。

    • ポリシーの削除: 削除するポリシーを見つけ、[操作] 列の [削除] をクリックします。

    • 複数ポリシーの削除: 削除するポリシーを選択し、ポリシーリストの下にある [削除] をクリックします。

      重要

      ポリシーを削除すると、ユーザーは企業のセキュリティ要件を満たしていない一部のアプリケーションにアクセスできる可能性があります。 慎重に行ってください。

    参考資料

    • ユーザーが信頼できるオフィスゾーンで作業していて、ユーザーがオフィスアプリケーションにアクセスするときに生成されるトラフィックを分析および監査する必要がない場合は、信頼できるオフィスゾーンを設定できます。 詳細については、「オフィスゾーン識別機能を使用する」をご参照ください。