すべてのプロダクト
Search

このプロダクト

    Secure Access Service Edge:設定

    ドキュメントセンター

    Secure Access Service Edge:設定

    最終更新日:Nov 09, 2025

    Secure Access Service Edge (SASE) は、企業デバイスからのインターネットトラフィックを最寄りの Alibaba Cloud SASE サービスノードにリダイレクトするセキュリティクライアントを提供します。セキュリティクライアントがインストールされていないデバイスは、ゼロトラストポリシーで管理できません。このトピックでは、アカウント情報、ホワイトリスト、メッセージプッシュ通知を設定する方法について説明します。また、SASE セキュリティクライアントのインストールとカスタマイズの方法についても説明します。

    背景情報

    企業の従業員がデバイスに SASE セキュリティクライアントをインストールすると、管理者はクライアントがインストールされているデバイスの総数と各デバイスの詳細を端末リストで確認できます。管理者はまた、端末リストを使用して、セキュリティクライアントがインストールされていないユーザーとデバイスを迅速に特定することもできます。詳細については、「端末リストの表示」をご参照ください。

    企業の従業員が SASE セキュリティクライアントに正常にログインすると、デバイスからのインターネットトラフィックは SASE を介して転送されます。SASE はその後、デバイスのインターネットアクセス動作を検出および管理します。

    アカウント情報の設定

    [アカウント設定] タブには、企業認証 ID、アカウントの有効期限、およびアカウントの有効期限ポリシーを設定するための 3 つのセクションがあります。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Settings をクリックします。

    3. [アカウント設定] タブで、次の情報を設定します。

      • 企業認証 ID の設定

        企業認証 ID は、企業の従業員が SASE セキュリティクライアントに正常にログインするために必要な重要な資格情報です。企業名など、エンドユーザーが覚えやすい情報を使用することをお勧めします。エンドユーザーは、SASE セキュリティクライアントに初めてログインする際に、この ID を手動で入力する必要があります。

      • アカウント有効期限情報の設定

        • アカウント有効期限の設定

          この設定は、ユーザーの最終ログイン後、デバイスの起動後に SASE セキュリティクライアントが自動的にログインできる期間を指定します。この時間を超えると、ログインページが表示され、ユーザーは SASE セキュリティクライアントにログインするためにユーザー名とパスワードを再入力する必要があります。

        • アカウント有効期限ポリシーの設定

          • 即時認証

            アカウントの有効期限が切れると、SASE セキュリティクライアントはすぐにログオフされます。企業の従業員は、認証のためにユーザー名とパスワードを再入力する必要があります。この設定はセキュリティを優先し、ユーザーの作業を中断させる可能性があります。

          • ネットワーク切り替え時の認証

            アカウントの有効期限が切れても、SASE セキュリティクライアントはすぐにログオフされません。企業の従業員は、次回デバイスがスリープから復帰するか、ネットワーク接続が変更されたときに、認証のためにユーザー名とパスワードを再入力する必要があります。この設定はユーザーエクスペリエンスを優先し、ユーザーの作業を中断しません。

    ホワイトリストの設定

    特定の内部アプリケーションや公開 Web サイトへのアクセス、送信ファイル、接続された周辺機器、ウォーターマーク情報が安全であることを確認した場合、それらをホワイトリストに追加できます。これにより、SASE がこれらのアクティビティを管理または監査するのを防ぎます。以下の手順では、ホワイトリストの設定方法について説明します。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Settings をクリックします。

    3. [ホワイトリスト] タブで、プライベートアクセスホワイトリストまたはデータ保護ホワイトリストを設定します。

      • プライベートアクセスホワイトリストの設定

        1. [プライベートアクセス] タブで、Web サイトをホワイトリストに追加します。

          SASE は、Web サイトをホワイトリストに追加する 2 つの方法を提供します。

          • IP ホワイトリスト: Web サイトの IP アドレスまたは IP アドレス範囲を追加します。複数の IP アドレスまたはアドレス範囲を追加できます。

          • ドメインホワイトリスト: Web サイトのドメイン名またはワイルドカードドメイン名を追加します。複数のドメイン名またはワイルドカードドメイン名を追加できます。

        2. [送信] をクリックします。

          ホワイトリストが追加されると、企業のユーザーはホワイトリスト内の内部アプリケーションに直接アクセスできます。

      • データ保護ホワイトリストの設定

        1. [データ保護] タブで、指定されたファイル、データストレージバケット、周辺機器、またはウォーターマークのホワイトリストを追加します。

          SASE は、次の種類のホワイトリストをサポートしています。複数のエントリはカンマ (,) で区切ります。

          • 送信ファイル検出ホワイトリスト

          • データストレージ (インターネットアクセスセキュリティのデータ保護エディションでのみサポート)

          • 周辺機器制御ホワイトリスト

          • ウォーターマークホワイトリスト

        2. [送信] をクリックします。

          ホワイトリストが追加されると、SASE はホワイトリストに登録されたユーザーのアクティビティを管理またはブロックしなくなります。ストレージバケットホワイトリスト上のユーザーに対して送信検出ポリシーがトリガーされた場合、対応するファイルは保存されません。

      • インターネット動作管理ホワイトリストの設定

        1. [インターネット動作管理] タブで、ユーザー、ユーザーグループ、ドメイン名をホワイトリストに追加します。

          • ユーザーホワイトリスト

          • ユーザーグループホワイトリスト

          • 例外ドメイン名

        2. [送信] をクリックします。

          ホワイトリストが追加されると、SASE はホワイトリストに登録されたユーザーやユーザーグループのインターネット動作、またはホワイトリストに登録されたドメイン名へのアクセスを管理またはブロックしなくなります。

    メッセージプッシュの設定

    エンドユーザーのログインログ、デバイス登録情報、クライアントのアンインストールリクエスト、無効化されたソフトウェアの使用リクエストに関する通知をタイムリーに受け取るために、メッセージプッシュ機能を設定できます。設定が成功すると、フォローしているエンドユーザーに関するメッセージが DingTalk、WeCom、または Lark のロボットを介して企業グループに自動的にプッシュされます。これにより、これらのイベントをリアルタイムで追跡できます。

    SASE でメッセージプッシュを設定する前に、DingTalk、WeCom、または Lark 用のカスタムロボットを作成する必要があります。

    • カスタム DingTalk ロボットの作成方法と、その Webhook および Webhook キーの取得方法の詳細については、「カスタム DingTalk ロボット」をご参照ください。

    • カスタム WeCom ロボットの作成方法と、その Webhook の取得方法の詳細については、「WeCom グループのカスタムロボット」をご参照ください。

    • カスタム Lark ロボットの作成方法と、その Webhook および Webhook キーの取得方法の詳細については、「カスタム Lark ロボット」をご参照ください。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Settings をクリックします。

    3. [メッセージプッシュ] タブで、[テンプレートの作成] をクリックします。

    4. [テンプレートの作成] パネルで、データソースに基づいてメッセージプッシュを設定します。

      設定項目

      説明

      通知ソース

      • DingTalk ロボット

      • WeCom ロボット

      • Lark ロボット

      ロボット設定

      • DingTalk Webhook

        例: https://oapi.dingtalk.com/robot/send?access_token=****

      • Webhook キー

        例: 123456

      WeCom Webhook

      例: https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=90e25f1d-99b5-4496-890d-4d1c6efe3****

      • Lark Webhook

        例: https://open.feishu.cn/open-apis/bot/v2/hook/4c83950f-2335-42ae-a5bd-11a96d6d****

      • Webhook キー

        例: 123456

      メッセージタイプ

      以下のメッセージタイプがサポートされています。複数のタイプを選択できます。

      • クライアントログレポート通知

      • クライアント登録クォータ超過通知

      • クライアントアンインストールリクエスト通知

      • 不正なソフトウェア使用リクエスト

      • コネクタエラー通知

    5. [接続テスト] をクリックします。成功メッセージが表示されたら、[OK] をクリックします。

      後でテンプレートを変更または削除するには、[メッセージプッシュ] タブで [編集] または [削除] をクリックします。

      重要

      メッセージプッシュテンプレートを削除すると、SASE は企業グループにメッセージを自動的にプッシュしなくなります。注意して操作してください。

    クライアントの企業要素の設定

    SASE はカスタムブランディング要素をサポートしています。クライアント、ダウンロードページ、ブラウザ認証ページ、ヘルプガイドの中国語版と英語版の企業要素をカスタマイズできます。以下の手順では、中国語版を例に、これらの要素をカスタマイズする方法を説明します。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Settings をクリックします。

    3. Enterprise Elements タブで、関連する設定を行います。

      image

      クライアント要素のカスタマイズ

      1. Custom Client Elements をクリックします。

      2. 中文版设置 および English Client Settings タブで、クライアントの中国語版と英語版の ロゴBackground ImageTitle、および Promotion Text を設定します。ページの右側で変更をプレビューできます。

      3. 設定が完了したら、OK をクリックします。

      クライアントダウンロードページの要素をカスタマイズ

      1. Custom Elements on Client Download Page をクリックします。

      2. 中文版设置 および English Client Settings タブで、クライアントダウンロードページの中国語版と英語版の ロゴLogo NameTitleDescriptionDownload URL for Android Client、および Download URL for iOS Client を設定します。ページの右側で変更をプレビューできます。

      3. 設定が完了したら、OK をクリックします。

      ブラウザ認証ページの要素をカスタマイズ

      1. Customize Browser Authentication Page Elements をクリックします。

      2. 中文版设置 および English Client Settings タブで、ブラウザ認証ページの中国語版と英語版の ロゴBackground Image、および Title を設定します。ページの右側で変更をプレビューできます。

      3. 設定が完了したら、OK をクリックします。

      ヘルプガイドの設定

      ヘルプガイド機能は、ユーザーが製品の機能を迅速に理解し、効率的に使用できるようにすることで、ユーザーエクスペリエンスを向上させます。これらのガイドは、新規ユーザーガイド、操作のヒント、よくある質問 (FAQ) など、さまざまな形式を取ることができます。ユーザーは、製品の使用方法を学ぶために、いつでもクライアントからこれらのガイドにアクセスできます。

      1. Guide をクリックします。

      2. 中文版设置 および English Client Settings タブで、ヘルプガイドの中国語版と英語版の TitleDescription、および URL を設定し、OK をクリックします。

      3. SASE クライアントにログインします。

      4. Settings > [ツールボックス] メニューで、設定したヘルプガイドを表示できます。

        重要

        お使いの SASE アプリのバージョンが v4.8.5 以降であることを確認してください。

        image

    カスタムストレージの設定

    送信検出プロセス中、トレースデータはデフォルトでクラウドに保存されます。データセキュリティと制御を強化するため、SASE インターネットアクセスセキュリティのデータ保護エディションは、カスタムストレージ設定をサポートしています。この機能により、トレースデータを独自の Object Storage Service (OSS) バケットまたはローカル MinIO ストレージシステムに保存できます。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Settings をクリックします。

    3. [カスタムストレージ設定] タブで、組み込みストレージの使用状況を表示し、スイッチアイコンをクリックしてから [OK] をクリックします。

    4. [データストレージ設定] ダイアログボックスで、購入した Alibaba Cloud OSS バケットまたはローカル MinIO ストレージシステムを設定します。設定の詳細については、次の表をご参照ください。

      設定項目

      説明

      カスタムストレージ方式

      • Alibaba Cloud OSS: 購入した Alibaba Cloud OSS バケットを設定します。

      • ローカル MinIO ストレージシステム: データをローカルストレージスペースに転送します。現在、MinIO ストレージシステムのみがサポートされています。

        説明

        1. データをローカル MinIO システムに保存する場合、プレーンテキストでのデータ保存に伴うセキュリティリスクを軽減するために、MinIO でデータを暗号化する必要があります。

        2. ファイルがローカル MinIO システムに保存されており、システムが Alibaba Cloud SASE プラットフォームに接続できない場合、コンソールのトレースログから元のファイルをダウンロードすることはできません。この場合、ログでファイルストレージの場所を見つけ、ローカル MinIO システムから元のファイルをダウンロードする必要があります。

        3. SASE の光学文字認識 (OCR) 検出エンジンは現在クラウドで実行されています。画像ファイルは検出のためにクラウドにアップロードされます。ただし、SASE は企業の送信画像データを保存しません。

      バケット

      ストレージスペースのバケットを設定します。

      エンドポイント

      ストレージスペースのエンドポイントを設定します。HTTP と HTTPS の両方のプロトコルがサポートされています。

      重要

      HTTPS プロトコルを設定することをお勧めします。そうしないと、スクリーンショットの証拠を表示したり、ソースファイルをダウンロードしたりするために、ブラウザの設定を構成する必要がある場合があります。

      AccessKey ID

      ストレージスペースの AccessKey ID を設定します。データダウンロード権限を持つ AccessKey ID を入力してください。これにより、[機密ファイル検出] ページの [ログ監査] から元のファイルをダウンロードできなくなるのを防ぎます。

      AccessKey Secret

      ストレージスペースの AccessKey Secret を設定します。

      単一ファイルストレージサイズ設定

      単一ファイルのストレージサイズを設定します。最大サイズは 60 MB です。

    5. ストレージスペースへの接続を確認するために [接続をテスト] をクリックします。

    6. [確認] をクリックします。

      設定が完了すると、カスタムデータストレージが自動的に有効になります。送信検出ポリシーをトリガーするデータファイルは、指定したデータストレージスペースに保存されます。

      カスタムデータストレージを無効にするには、スイッチをオフの位置に切り替えます。無効にすると、送信検出ポリシーをトリガーするデータファイルは SASE の組み込みストレージスペースに保存されます。データ損失を防ぐために、組み込みストレージの容量が十分であることを確認してください。

    その他の操作

    組み込みストレージスペースが不足している場合は、ストレージスペースを [スケールアウト] または [削除] できます。

    • スケールアウト: [スケールアウト] をクリックします。SASE 購入ページで、ファイルストレージ容量を購入します。

    • 削除: [削除] をクリックします。[ログの削除] ダイアログボックスで、[期間で削除] または [すべて削除] を設定できます。その後、[OK] をクリックします。

    SASE セキュリティクライアント (SASE アプリ) のダウンロード

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Settings をクリックします。

    3. [クライアントダウンロード] タブで、プロンプトに従ってクライアントインストールパッケージをダウンロードします。

      ダウンロードは PCモバイル、および 企業固有バージョン で利用できます。

    4. ダウンロードしたクライアントインストールパッケージを解凍し、setup.exe インストーラーをダブルクリックしてセキュリティクライアントのインストールを開始します。安装程序

      インストールが完了すると、ユーザーのデスクトップに SASE セキュリティクライアントのアイコンが表示されます。

    SASE セキュリティクライアント (SASE アプリ) のアップグレード

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Settings をクリックします。

    3. [クライアントアップグレード] タブで、クライアントのオペレーティングシステムを選択します。

      image

    4. オペレーティングシステムのタブの下で、ダウンロードする SASE アプリのバージョンを選択します。[操作] 列で、[ダウンロード] をクリックし、インストールパッケージをダウンロードします。

    5. アップグレードタスクを企業の従業員にプッシュするには、[プッシュアップグレード] をクリックし、アップグレードタスクを設定してから [OK] をクリックします。

      カスタムアップグレード率を設定できます。アップグレードは、指定されたユーザーグループに属するユーザーの全デバイスの一定割合にランダムに展開されます。

      image

    トラフィックリダイレクト設定

    SASE が各 VPC に割り当てるデフォルトのオリジン復帰 IP アドレスは、企業のイントラネットアプリケーションの IP アドレス範囲と重複する可能性があります。これにより、ルートの競合やアクセス障害が発生する可能性があります。この問題を回避するために、カスタムプロキシ IP アドレスを設定できます。

    1. SASE コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Settings をクリックします。

    3. Traffic Redirection Settings タブで、さまざまなオペレーティングシステムのプロキシ IP アドレスを設定します。その後、Submit をクリックします。

      重要

      • プロキシ IP アドレスとして設定できるのは内部 IP アドレスのみです。

      • 企業のイントラネットアプリケーションにファイアウォールまたはセキュリティ制御ポリシーが展開されている場合は、トラフィックがブロックされるのを防ぐために、SASE のオリジン復帰 IP アドレスがこれらのポリシーの許可リストに追加されていることを確認してください。