Secure Access Service Edge (SASE) は、企業のエンドポイントからのインターネットトラフィックを最寄りの Alibaba Cloud SASE サービスノードにルーティングするセキュリティクライアントを提供します。セキュリティクライアントがインストールされていないエンドポイントは、ゼロトラスト ポリシーで管理できません。本トピックでは、アカウント情報、許可リスト、プッシュ通知の設定、および SASE セキュリティクライアントのインストールとカスタマイズについて説明します。
背景情報
従業員がエンドポイントに SASE セキュリティクライアントをインストールすると、管理者は端末リストで、クライアントがインストールされたエンドポイントの総数と詳細を確認できます。端末リストは、クライアントをまだインストールしていないユーザーとエンドポイントを特定するのにも役立ちます。詳細については、「端末リストの表示」をご参照ください。
従業員が SASE セキュリティクライアントにログオンすると、エンドポイントのインターネットトラフィックは SASE を経由してルーティングされます。その後、SASE はエンドポイントのインターネットアクセス時の挙動を検査・管理します。
アカウント情報の設定
アカウント設定 タブには、企業認証識別子、アカウント有効期限、アカウント有効期限ポリシー、トークンの自動更新に関する設定が含まれます。
SASE コンソールにログオンします。
左側のナビゲーションペインで、設定センター > 一般設定 の順にクリックします。
アカウント設定 タブで、以下の情報を設定します。
エンタープライズユーザー ID
企業認証識別子は、従業員が SASE セキュリティクライアントにログオンする際に使用する認証情報です。会社名など、ユーザーが覚えやすい識別子を使用することを推奨します。ユーザーは、SASE セキュリティクライアントに初めてログオンする際に、この識別子を入力する必要があります。
アカウント生存時間設定項目
この設定は、最後のログオン後に SASE セキュリティクライアントが自動的にサインインできる期間を指定します。この期間を超えると、ユーザーはログオンページに戻り、SASE セキュリティクライアントにログオンするために認証情報を再入力する必要があります。
アカウントの有効期限切れポリシーの設定
今すぐ認証
セッションが期限切れになると、SASE セキュリティクライアントは即座にログオフし、従業員は再度認証する必要があります。このオプションはセキュリティを優先し、作業が中断される可能性があります。
ネットワーク切り替え時の認証
セッションが期限切れになっても、SASE セキュリティクライアントは即座にログオフしません。代わりに、コンピューターがスリープから復帰したとき、またはネットワーク接続が変更されたときに、従業員は再認証を求められます。このオプションはユーザーエクスペリエンスを優先し、作業の中断を回避します。
自動更新
有効にすると、クライアントプロセスがオンラインである限り、トークンの有効期限が切れた際に自動的に更新されます。更新期間は アカウント生存時間設定項目 の設定と同じです。現在、トークンの自動更新は PC クライアントでのみサポートされています。
許可リストの設定
特定の社内アプリケーション、公開ウェブサイト、送信ファイル、外部デバイス、または透かしが安全であり、SASE による管理や監査が不要であると判断した場合、それらを許可リストに追加できます。以下の手順では、ウェブサイトの許可リストを設定する方法について説明します。
SASE コンソールにログオンします。
左側のナビゲーションペインで、設定センター > 一般設定 の順にクリックします。
ホワイトリスト タブで、プライベートアクセスまたはデータ保護の許可リストを設定します。
プライベートアクセス許可リストの設定
内部ネットワークアクセス タブで、ウェブサイトを許可リストに追加します。
SASE では、ウェブサイトを許可リストに追加する方法が 2 つあります。
[IP アドレスホワイトリスト]:ウェブサイトの 1 つ以上の IP アドレスまたは IP アドレス範囲を追加します。
[ドメインホワイトリスト]:ウェブサイトの 1 つ以上のドメイン名またはワイルドカードドメイン名を追加します。
コミット をクリックします。
許可リストが設定されると、企業ユーザーは許可リストに登録された社内アプリケーションに直接アクセスできるようになります。
データ保護許可リストの設定
業務データ保護 タブで、指定されたファイル、データストレージ、外部デバイス、または透かしの許可リストを追加します。
SASE は以下の種類の許可リストをサポートしています。許可リストを設定する際は、複数のユーザーエントリをカンマ (,) で区切ります。
[ファイル外部送信検出][ホワイトリスト]
[データストレージ] (SASE Internet Access の Data Protection edition でのみ利用可能)
[周辺機器制御] [ホワイトリスト]
[画面ウォーターマークのホワイトリスト]
[ウォーターマークホワイトリスト]
[印刷ウォーターマークのホワイトリスト]
コミット をクリックします。
許可リストが設定されると、SASE は許可リストに登録されたユーザーのアクションを管理または遮断しなくなります。ユーザーがストレージスペースの許可リストに登録されており、送信検出ポリシーをトリガーした場合、そのファイルは保存されません。
インターネット行動管理許可リストの設定
Web アクセス管理 タブで、ユーザー、ユーザーグループ、ドメインを許可リストに追加します。
[ユーザーホワイトリスト]
[ユーザーグループのホワイトリスト]
[例外ドメイン]
コミット をクリックします。
許可リストが設定されると、SASE は許可リストに登録されたユーザーおよびユーザーグループのインターネット行動、または許可リストに登録されたドメインへのアクセスを管理または遮断しなくなります。
プッシュ通知の設定
ログオンイベント、デバイス登録、クライアントアンインストール要求、非準拠ソフトウェアの使用要求など、エンドポイントユーザーのアクティビティに関する適時なアラートを受信するには、プッシュ通知を設定できます。設定すると、SASE は DingTalk、WeCom、または Lark のチャットボットを使用して、これらの通知を企業のチャットグループに送信します。これにより、イベントをリアルタイムで追跡できます。
SASE プッシュ通知を設定する前に、DingTalk、WeCom、または Lark でカスタムチャットボットを作成する必要があります。
カスタム DingTalk チャットボットを作成し、その Webhook と Webhook キーを取得する方法については、「カスタム DingTalk チャットボット」をご参照ください。
カスタム WeCom チャットボットを作成して Webhook を取得する方法については、「WeCom グループのカスタムチャットボット」をご参照ください。
カスタム Lark チャットボットを作成し、その Webhook と Webhook キーを取得する方法については、カスタム Lark チャットボットをご参照ください。
SASE コンソールにログオンします。
左側のナビゲーションペインで、設定センター > 一般設定 の順にクリックします。
メッセージのプッシュ タブで、テンプレートの作成 をクリックします。
テンプレートの作成 パネルで、通知ソースを選択してプッシュ通知を設定します。
パラメータ
説明
[通知ソース]
[DingTalk ボット]
[WeCom ボット]
[Lark ボット]
[ショートメッセージ]
[メール]
[ロボット設定]
[DingTalk Webhook]
例:https://oapi.dingtalk.com/robot/send?access_token=****
[Webhook キー]
例:123456
[WeCom Webhook]
例:https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=90e25f1d-99b5-4496-890d-4d1c6efe3****
[Lark Webhook]
例:https://open.feishu.cn/open-apis/bot/v2/hook/4c83950f-2335-42ae-a5bd-11a96d6d****
[Webhook キー]
例:123456
[メッセージタイプ]
以下のメッセージタイプから 1 つ以上を選択します。
[ログストレージ容量の使用量がしきい値に達した通知]
[ファイルストレージ容量の使用量がしきい値に達した通知]
[クライアントログ送信通知]
[クライアント登録超過の通知]
[クライアントアンインストールリクエストの通知]
[違反ソフトウェア使用リクエスト]
[コネクタ異常通知]
[エンドポイントのセキュリティアラート]
接続性テスト をクリックします。成功メッセージが表示されたら、OK をクリックします。
後でテンプレートを変更または削除するには、Edit タブで 削除 または メッセージのプッシュ をクリックします。
重要プッシュ通知テンプレートを削除すると、SASE は企業のチャットグループに自動的に通知を送信できなくなります。慎重に進めてください。
クライアント企業要素の設定
SASE では、クライアント、ダウンロードページ、ブラウザ認証ページ、ヘルプガイドのブランディングを中国語と英語の両方でカスタマイズできます。以下の手順では、中国語版を例にこれらの要素をカスタマイズする方法を示します。
SASE コンソールにログオンします。
左側のナビゲーションペインで、設定センター > 一般設定 の順にクリックします。
企業要素 タブで、関連する設定を行います。

クライアント要素
クライアント要素のカスタマイズ をクリックします。
中国語版設定 タブと 英語版設定 タブで、クライアントの中国語版と英語版の [ロゴ]、背景画像、タイトル、宣伝文句 をそれぞれ設定します。ページの右側で変更をプレビューできます。
設定が完了したら、確定 をクリックします。
ダウンロードページ
クライアントダウンロードページの要素のカスタマイズ をクリックします。
中国語版設定 タブと 英語版設定 タブで、クライアントダウンロードページの中国語版と英語版の [ロゴ]、ロゴ名、タイトル、説明、Android クライアントのダウンロードアドレス、iOS クライアント ダウンロードアドレス をそれぞれ設定します。ページの右側で変更をプレビューできます。
設定が完了したら、確定 をクリックします。
認証ページ
ブラウザ認証ページ要素のカスタマイズ をクリックします。
中国語版設定 タブと 英語版設定 タブで、ブラウザ認証ページの中国語版と英語版の [ロゴ]、背景画像、タイトル をそれぞれ設定します。ページの右側で変更をプレビューできます。
設定が完了したら、確定 をクリックします。
ヘルプガイド
ヘルプガイド機能は、ユーザーが製品を理解し、使用するのに役立ちます。一般的な形式には、新規ユーザーガイド、操作のヒント、よくある質問 (FAQ) が含まれます。ユーザーはいつでもクライアントからガイドにアクセスできます。
ガイダンス をクリックします。
中国語版設定 タブと 英語版設定 タブで、ヘルプガイドの中国語版と英語版の タイトル、説明、設定 をそれぞれ設定し、確定 をクリックします。
SASE クライアントにログオンします。
に移動して、設定したヘルプガイドを表示します。
重要SASE App のバージョンが v4.8.5 以降であることを確認してください。

[公式ドキュメント] カードをクリックして、ヘルプガイドを表示します。
カスタムストレージの設定
デフォルトでは、送信ファイル検出からのトレースデータはクラウドに保存されます。データのセキュリティと制御を強化するため、SASE Internet Access の Data Protection edition では、カスタムストレージ設定を利用できます。この機能により、トレースデータを独自の Object Storage Service (OSS) バケットまたはオンプレミスの MinIO ストレージシステムに保存できます。
SASE コンソールにログオンします。
左側のナビゲーションペインで、設定センター > 一般設定 の順にクリックします。
カスタムストレージの設定 タブで、組み込みストレージの使用状況を確認し、トグルスイッチをクリックしてから OK をクリックします。
データストレージの設定 ダイアログボックスで、Alibaba Cloud OSS バケットまたはオンプレミスの MinIO ストレージシステムを設定できます。パラメータの説明については、次の表をご参照ください。
パラメータ
説明
[カスタムストレージ方式]
Alibaba Cloud OSS:購入した Alibaba Cloud OSS バケットを設定します。
オンプレミス MinIO ストレージシステム:データをオンプレミスのストレージスペースに転送します。現在、MinIO ストレージシステムのみがサポートされています。
説明1. オンプレミスの MinIO システムにデータを保存する場合、平文保存のセキュリティリスクを軽減するため、MinIO でデータを暗号化する必要があります。
2. オンプレミスの MinIO システムと SASE プラットフォーム間のネットワーク接続が失われた場合、コンソールのトレースログから元のファイルをダウンロードできません。ログからファイルストレージアドレスを使用して、MinIO システムから直接ファイルをダウンロードする必要があります。
3. SASE はクラウドベースの OCR 検出エンジンを使用します。画像ファイルを検出する際、ファイルは分析のために SASE クラウドプラットフォームにアップロードされます。ただし、SASE は企業から送信される画像データを保存しません。
バケット
ストレージスペースのバケット名。
エンドポイント
ストレージスペースのエンドポイント。HTTP と HTTPS の両方のプロトコルがサポートされています。
重要HTTPS プロトコルの設定を推奨します。そうしないと、スクリーンショットの証拠を表示したり、ソースファイルをダウンロードしたりするために、ブラウザの設定を調整する必要がある場合があります。
AccessKey ID
ストレージスペースの AccessKey ID。データダウンロード権限を持つ AccessKey ID を入力してください。そうしないと、ログ監査 - 機密ファイル検出から元のファイルをダウンロードできません。
AccessKey Secret
ストレージスペースの AccessKey Secret。
[単一ファイルのストレージサイズ設定]
保存する単一ファイルの最大サイズを指定します (最大 60 MB)。
接続性のテスト をクリックして、ストレージスペースへの接続をテストします。
確認する をクリックします。
設定後、カスタムデータストレージが自動的に有効になります。送信検出ポリシーをトリガーするデータファイルは、指定したストレージスペースに保存されます。
カスタムデータストレージを無効にするには、スイッチをオフにします。無効にすると、送信検出ポリシーをトリガーするデータファイルは SASE 組み込みストレージスペースに保存されます。ストレージの問題を回避するため、組み込みストレージに十分な容量があることを確認してください。
その他の操作
組み込みストレージスペースが不足している場合は、スケールアウト または クリア でストレージを管理できます。
スケールアップ:スケールアウト をクリックして SASE 購入ページに移動し、追加のファイルストレージ容量を購入します。
クリア:クリア をクリックします。ログの削除 ダイアログボックスで、期間を指定して削除 または 全件削除 を選択できます。その後、OK をクリックします。
SASE クライアント (SASE App) のダウンロード
SASE コンソールにログオンします。
左側のナビゲーションペインで、設定センター > 一般設定 の順にクリックします。
クライアントのダウンロード タブで、クライアントインストールパッケージをダウンロードします。
[PC] および モバイルアプリのダウンロード からダウンロードできます。
ダウンロードしたクライアントパッケージを解凍し、setup.exe インストーラーをダブルクリックして、セキュリティクライアントのインストールを開始します。パッケージをダウンロードして解凍した後、x64 フォルダーを開き、
setup.exeをダブルクリックするとインストールが開始されます。
インストール後、従業員のデスクトップに SASE セキュリティクライアントのアイコンが表示されます。
SASE クライアント (SASE App) のアップグレード
SASE コンソールにログオンします。
左側のナビゲーションペインで、設定センター > 一般設定 の順にクリックします。
クライアントのアップグレード タブで、サーバーのオペレーティングシステムを選択します。
利用可能なオペレーティングシステムには、[Windows]、[macOS]、[Linux]、[Android]、[iOS] が含まれます。

各オペレーティングシステムのタブで、ダウンロードする SASE App のバージョンを選択し、ダウンロード 列の 詳細 をクリックします。
従業員にアップグレードタスクをプッシュするには、スペックアップのプッシュ をクリックし、アップグレードタスクを追加してから OK をクリックします。
カスタムアップグレード率を指定できます。SASE は、有効なユーザーグループに属する従業員の全エンドポイントのうち、指定された割合に対してアップグレードをランダムにロールアウトします。
アップグレードタスクの作成 ダイアログボックスで、タスク名、スペックアップ、スペックアップ比率、アップグレードモード (サイレントアップグレード を推奨します。Linux/Android/iOS はサイレントアップグレードに対応していません。または ポップアップ通知 を選択します)、タスク発行時間、優先度 (有効な値:1 ~ 99。値が小さいほど優先度が高くなります) を設定します。

トラフィック転送設定
各 Virtual Private Cloud (VPC) に割り当てられるデフォルトの SASE オリジン IP アドレスは、企業イントラネットの IP 範囲と重複する可能性があり、ルーティングの競合やアクセス障害を引き起こす可能性があります。これを回避するには、カスタムプロキシ IP アドレスを設定できます。
SASE コンソールにログオンします。
左側のナビゲーションペインで、設定センター > 一般設定 の順にクリックします。
トラフィック誘導設定 タブで、異なるオペレーティングシステムのプロキシアドレスを設定し、コミット をクリックします。
重要プロキシ IP として設定できるのは、内部 IP アドレスのみです。
企業の社内アプリケーションにファイアウォールまたはその他のセキュリティ制御ポリシーがある場合は、トラフィックがブロックされないように、SASE オリジン IP アドレスがこれらのポリシーの許可リストに含まれていることを確認してください。