皆さん、こんにちは。

SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している　大東です。

今回は、Zscalerのマシントンネルについて紹介したいと思います。

■マシントンネルとは

マシントンネルとはWindowsマシンにおいて、ユーザーがログインする前にZPAとの接続をパソコンレベルで確立することができます。

これにより、例えばドメイン参加のパソコンがログイン時にきちんとActiveDirectoryなど内部サーバと通信をしたうえで、ログインすることが可能になります。

■こんな場合に有効

●リモート環境でも、パソコンセットアップを行いドメイン参加もさせたい。

●ドメインユーザーはパソコン内のキャッシュではなく、きちんとActiveDirectoryと通信させたい。

●ログイン前にパソコンと特定のサーバと通信をさせる必要がある

イメージとしては、下記のような形になります。

では、新規パソコンのセットアップ及びドメイン参加を想定して、実際の設定を行っていきましょう。

■設定手順

主に設定する内容は下記の順番です。

１．デバイス認証のためのマシングループとプロビジョニングキー作成

２．接続させるサーバなどのZPA用のポリシー作成

３．ZCCポータルにてAppProfileでマシントンネルを使うように設定

４．対象のパソコンでZCCをインストールし、Zscalerにログイン(マシントンネルが適用されたプロファイルが適用される)

では、一つずつ設定していきます。

１．デバイス認証のためのマシングループとプロビジョニングキー作成

ZPAにログインし、[Authentication]>[Device authentication]>[Machine Provisioning Keys]の順にクリックします。

[Add Machine Provisioning Key]をクリックしてキーとグループを作成していきます。

Certificateは[Connector]を選択してください。

[Add Machine Group]をクリックし、新しくグループを作成します。

プロビジョニングキーの名前を設定し、ステータスが「Enable」になっていることを確認してください。

次へを押すと、キーが作成されます。

ZCCをインストーする際に、このキーをコマンドラインからのインストールオプションとして使用することもできますが、今回はGUIで設定していきますので特に保存などは必要ありません。

２．接続させるサーバなどのZPA用のポリシー作成

ActiveDirectoryなど、ログイン前に接続を許可しておきたいサーバのアプリケーションセグメントなどは既に作成している状態として進めていきます。

左メニューから[Access Policy]をクリックします。

ZPAのアクセスポリシーは上から順番に見ていくため、マシントンネル用のポリシーはできるだけ上位に設定する必要があります。

ポリシー画面では名前と、宛先であるアプリケーションセグメント設定をした後、[Add Criteria]をクリックし、「Machine Group」を追加します。そのうえで、[Machine Group]では先ほど設定したマシングループ名を選択します。

私の環境では、SIPA関連のポリシーを一番上に配置し、その次にマシントンネル、その下に通常のアクセスポリシーを設定するようにしています。

３．ZCCポータルにてAppProfileでマシントンネルを使うように設定

ZPAの左メニューからZCCポータルに移動し、AppProfilesをクリックします。

　　

ユーザーに適用しているプロファイル設定を編集し、[Machine Token]を有効にして、上記で作成したプロビジョニングキーを指定します。

４．対象のパソコンでZCCをインストールし、Zscalerにログイン

新規のパソコンを準備し、ワークグループとして通常ログインします。

ZCCをインストールして対象のユーザーでログインします。

ログイン後、ZCCにマシングループを設定したApp Profileが適用されていることを確認します。

また、同時にマシントンネルも有効になっています。

この状態であれば、ZPAにも繋がっているため、ActiveDirectoryなどにも通信ができ、ドメイン参加も可能です。

ドメイン参加後、再起動を求められます。通常であれば再起動後はまだログインしていないためZscalerに繋がっておらず、パソコン内にキャッシュもないためドメインユーザーでのログインはできません。

今回はマシントンネルを設定しているため、ログイン前の状態でZscaler経由でActiveDirectoryに繋がる状態を作ることが可能です。

実際に再起動してログイン画面に進むと左下にZscalerのマークがあることが分かります。

クリックして、[Lanch Zscaler Diagnostics]をクリックするとトンネルが有効になっていることが分かります。

この状態で、ZCCポータルのマシントンネルの状態を見ると、下記のようになっています。

マシントンネルを利用して、ActiveDirectoryとは接続できる状態のため、ドメインユーザーでのログインも可能となります。

ZCCは、ユーザープロファイルごとにログインが必要なため、ドメインユーザーでログインした後は、再度ZCCにログインする必要があります。

とはいえ、一度ログインしてしまえばあとは永久的にログインし続けるため、再度ログインなどは必要ありません。

まとめ

マシントンネルを利用することで、情シス側ですべてセットアップする必要はなくリモートや海外からでも容易にドメイン参加やログイン前に事前にZPAとのトンネルを接続しておくことが可能になります。

管理者の負荷を下げるとともに、どの場所にいても必ず最低限の通信は許可するということが実現できるため、実案件でも問い合わせが多い機能となります。

実際の案件では、お客様とのヒヤリングをしっかりと実施してどこまでの要件が必要なのか、オプションライセンスは何がどこまで必要なのかをしっかりと確認し要件定義をすることが重要になってきます。

弊社では、Zscalerの勉強会や希望に応じてハンズオンやPoC支援なども実施しておりますので、担当営業までご相談いただければ幸いです。