コンテンツにスキップ

要件

ZTNA をセットアップする前に、次のすべての要件を満たしていることを確認してください。

ワイルドカード証明書

ZTNA ゲートウェイにはワイルドカード証明書が必要です。次のいずれか 1つを使用してください。

  • Let's Encrypt によって発行された証明書。
  • 信頼できる証明機関によって発行された証明書。

このガイドでは、証明書の取得方法について説明します。

ゲートウェイホスト

ZTNA ゲートウェイは、ESXi サーバー、Hyper-V サーバー、または Amazon Web Services でホストできます。

ESXi サーバー

ESXi サーバーでゲートウェイをホストする場合は、次の要件を満たす必要があります。

  • VMware vSphere ハイパーバイザー (ESXi) 6.5 以降。
  • 2コア、4GB RAM、80GB のディスク容量。

日付と時刻が正しく設定されていることを確認する必要があります。ZTNA ゲートウェイはホストの時刻と同期し、日時が正しくない場合は問題が発生します。

タイムゾーンは UTC に設定する必要があります。

ESXi ホストで、「管理 > システム > 日付と時刻」を参照し、「設定の編集」をクリックして時刻を設定します。

ESXi の時刻の設定

Hyper-V サーバー

Hyper-V サーバーでゲートウェイをホストする場合は、次の要件を満たす必要があります。

  • Windows Server 2016 以降で実行されている Hyper-V Server。
  • 2コア、4GB RAM、80GB のディスク容量。

日付と時刻が正しく設定されていることを確認する必要があります。ZTNA ゲートウェイはホストの時刻と同期し、日時が正しくない場合は問題が発生します。

タイムゾーンは UTC に設定する必要があります。

Amazon Web Services

Amazon Web Services (AWS) でゲートウェイをホストする場合は、AWS アカウントが必要です。

DNS の管理

DNS サーバーを設定する必要があります。詳細は、DNS 設定の追加を参照してください。

ディレクトリサービス

ZTNA が使用するユーザーグループを管理するには、ディレクトリサービスが必要です。Microsoft Azure AD または Active Directory を使用できます。

Azure AD

ユーザーグループが Sophos Central で設定・同期されている Microsoft Azure AD アカウントが必要です。このガイドでは、このようなグループを設定し、同期する方法について説明します。

ユーザーグループはセキュリティが有効になっている必要があります。Azure AD で作成されたグループは、セキュリティが自動的に有効になりますが、Microsoft 365 ポータルで作成されたグループや AD からインポートされたグループは、自動的に有効になりません。

また、Azure AD を IdP として使用することもできます。

Active Directory

ユーザーグループが Sophos Central で設定・同期されている Active Directory アカウントが必要です。詳細は、Sophos Central Admin ヘルプの Active Directory との同期の設定を参照してください。

Active Directory を使用する場合は、Okta など、別の IdP が必要になります。

IdP

ユーザーを認証するには、IdP が必要です。以下のいずれかを使用できます。

  • Azure AD
  • Okta

このガイドでは、ZTNA で使用するための設定方法について説明します。

許可する Web サイト

ゲートウェイがファイアウォールの内側にある場合は、必須 Web サイト (特に明記されていない限り、ポート 443 を使用) へのアクセスを許可する必要があります。

これはオンプレミスのゲートウェイのみに適用されます。

必須 Web サイトは次のとおりです。

  • sophos.jfrog.io
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (ポート 22)
  • sentry.io
  • *.okta.com (Okta を IdP として使用している場合)

対応しているアプリの種類

ZTNA は、Web ベースとローカルのアプリの両方へのアクセスを制御できます。ローカルアプリの制御には、ZTNA エージェントが必要です。

ZTNA は、動的ポート割り当てに依存するアプリや、古い VoIP 製品など、広範囲のポートを使用するアプリには対応していません。

Sophos ZTNA エージェント

ZTNA エージェントは、次の OS にインストールできます。

  • Windows 10.1803 以降

  • macOS BigSur (macOS11) 以降