WARP設定

WARP設定は、エンドユーザーが利用できるWARPクライアントのモードと権限を定義します。

• グローバル設定は、あなたのゼロトラスト組織に登録されたすべてのデバイスに適用されます。
• デバイス設定は、適用されるデバイスプロファイルによってデバイスごとに異なる場合があります。

グローバル設定

管理者オーバーライド

Feature availability

Operating Systems	WARP mode required	Zero Trust plans ↗
All systems	Any mode	All plans

ノート

管理者オーバーライドを有効にするには、WARPスイッチのロックも有効にする必要があります。

Enabledの場合、エンドユーザーは管理者が提供したオーバーライドコードを使用してWARPクライアントをオフにすることができます。この機能により、ユーザーは一時的なネットワークの問題（たとえば、互換性のない公共Wi-Fiや、顧客サイトで接続をブロックするファイアウォール）を回避できます。

ユーザーがWARPスイッチをオンまたはオフにできる時間を定義するためにTimeoutを設定できます。タイマーは、ユーザーが最初にWARPクライアントにコードを入力したときに開始されます。この期間中、コードは有効であり、いつでも再利用できます。たとえば、Timeoutが24時間の場合、ユーザーは23:59:00にコードを再入力し、47:59:00までWARPをオフにし続けることができます（合計48時間まで）。

オーバーライドコードの取得

ユーザーのためのワンタイムコードを取得するには：

1. 管理者オーバーライドを有効にします。
2. マイチーム > デバイスに移動します。
3. 接続されたデバイスの表示を選択します。
4. ユーザーの詳細までスクロールし、7桁のオーバーライドコードをコピーします。
5. このコードをエンドユーザーと共有し、彼らがデバイスに入力できるようにします。

ユーザーは、自分のコードをアクティブにするための無制限の時間を持ちます。

オーバーライドコードの入力

ユーザーのデバイスでWARPクライアントをオフにするには：

1. WARPクライアントで、設定 > 環境設定 > 詳細に移動します。
2. コードを入力を選択します。
3. オーバーライドコードを入力します。WARPクライアントは、オーバーライドが期限切れになる時刻を表示するポップアップウィンドウを表示します。
4. WARPスイッチをオフにします。

クライアントは自動接続期間の後に自動的に再接続しますが、ユーザーはオーバーライドが期限切れになるまでWARPをオフにし続けることができます。

CAをシステム証明書ストアにインストール

機能の可用性

オペレーティングシステム	WARPモードが必要	ゼロトラストプラン ↗
Windows, macOS, Linux	WARPを使用したゲートウェイ、プロキシモード	すべてのプラン

Enabledの場合、WARPクライアントは自動的にインストールされ、組織のルート証明書がデバイスにインストールされます。

ローカルインターフェースIPのオーバーライド Beta

機能の可用性

オペレーティングシステム	WARPモードが必要	ゼロトラストプラン ↗
Windows, macOS, Linux	WARPを使用したゲートウェイ、DNSフィルタリングなしのセキュアウェブゲートウェイ	すべてのプラン

WARPの仮想ネットワークインターフェースのデフォルトIPアドレスをオーバーライドし、各デバイスが独自のユニークなローカルインターフェースIPを持つようにします。

この設定は主にWARPコネクタやMASQUEと併用して使用されます。デフォルトのIPがネットワーク上の他のローカルサービスと競合する場合にも使用できます。

値:

• Disabled: (デフォルト) すべてのデバイスでローカルインターフェースIPを172.16.0.2に設定します。

• Enabled: 各デバイスのローカルインターフェースIPをそのCGNAT IPに設定します。変更は24時間以内に有効になります。

WARPデバイスに割り当てられたCGNAT IPは、デバイスがゼロトラスト組織から登録解除されるまで永続的です。切断と再接続はIPアドレスの割り当てを変更しません。

デバイス設定

キャプティブポータル検出

Feature availability

Operating Systems	WARP mode required	Zero Trust plans ↗
All systems	Any mode	All plans

Enabledの場合、WARPクライアントはキャプティブポータルキャプティブポータルを検出すると自動的にオフになり、Timeoutの期間が経過した後に自動的に再度オンになります。

キャプティブポータルの実装はさまざまなので、WARPがすべてのキャプティブポータルを検出できるわけではありません。詳細については、キャプティブポータル検出を参照してください。

モードスイッチ

機能の可用性

オペレーティングシステム	WARPモードが必要	ゼロトラストプラン ↗
すべてのシステム	いかなるモード	すべてのプラン

Enabledの場合、ユーザーはWARPを使用したゲートウェイモードとDoHモードを使用したゲートウェイの間で切り替えるオプションがあります。この機能は、他のモード間の切り替えをサポートしていません。

デバイストンネルプロトコル

機能の可用性

WARPモード	ゼロトラストプラン ↗
WARPを使用したゲートウェイ DNSフィルタリングなしのセキュアウェブゲートウェイ	すべてのプラン

システム	可用性	最小WARPバージョン
Windows	✅	2024.6.415.0
macOS	✅	2024.6.416.0
Linux	近日公開
iOS	近日公開
Android	近日公開
ChromeOS	近日公開

デバイスからCloudflare GatewayへのIPトラフィックをルーティングするために使用されるプロトコルを構成します。すべてのデバイスが新しいプロトコルに切り替わるまでに最大24時間かかる場合があります。デバイス上のアクティブなプロトコルを確認するには、ターミナルを開いてwarp-cli settings | grep protocolを実行します。

値:

• WireGuard: (デフォルト) CloudflareへのWireGuard ↗接続を確立します。WARPクライアントは、非FIPS準拠の暗号スイートTLS_CHACHA20_POLY1305_SHA256を使用してトラフィックを暗号化します。MASQUEからWireGuardに切り替えると、Wi-FiネットワークがWireGuardの機能に必要なポートとIPをブロックしている場合、ユーザーはインターネット接続を失う可能性があります。
• MASQUE Beta : CloudflareへのHTTP/3接続を確立します。MASQUEを使用するには、ローカルインターフェースIPのオーバーライドがEnabledである必要があります。WARPクライアントは、TLS 1.3とFIPS 140-2 ↗準拠の暗号スイートTLS_AES_256_GCM_SHA384を使用してトラフィックを暗号化します。

WireGuardとMASQUEの詳細については、ブログ記事 ↗を参照してください。

WARPスイッチのロック

機能の可用性

オペレーティングシステム	WARPモードが必要	ゼロトラストプラン ↗
すべてのシステム	いかなるモード	すべてのプラン

ユーザーがWARPスイッチをオフにしてクライアントを切断できるようにします。

値:

• Disabled: (デフォルト) ユーザーはスイッチを自分の裁量でオンまたはオフにできます。スイッチがオフの場合、ユーザーは特定のデバイスポスチャーチェックを利用するAccessで保護されたサイトにアクセスすることができません。
• Enabled: ユーザーはスイッチをオフにすることができません。WARPクライアントは常に接続状態で起動します。

MDMデプロイメントでは、auto_connectパラメータを少なくとも0の値で含める必要があります。これにより、ユーザーが手動で有効にする方法なしに、オフ状態でクライアントがデプロイされるのを防ぎます。

デバイスが組織を離れることを許可

Feature availability

Operating Systems	WARP mode required	Zero Trust plans ↗
All systems	Any mode	All plans

Enabledの場合、ユーザーはWARPクライアントUIでゼロトラストからログアウトを選択することで、ゼロトラスト組織からログアウトできます。ゼロトラストからログアウトボタンは、手動で登録されたデバイスにのみ表示されます。MDMファイルを使用して登録されたデバイスは、常にゼロトラスト組織を離れることができません。

更新を許可

機能の可用性

オペレーティングシステム	WARPモードが必要	ゼロトラストプラン ↗
macOS, Windows, Linux	いかなるモード	すべてのプラン

Enabledの場合、ユーザーは新しいバージョンのクライアントが利用可能なときに更新通知を受け取ります。ユーザーがデバイスからソフトウェアを追加または削除する権限を持つローカル管理者である場合にのみ、これをオンにしてください。

自動接続

Feature availability

Operating Systems	WARP mode required	Zero Trust plans ↗
All systems	Any mode	All plans

Enabledの場合、クライアントは指定されたTimeout値の間に無効になった場合に自動的に再接続します。この設定は、上記のWARPスイッチのロックと併用するのが最適です。

非常に低い値に設定することをお勧めします — 通常は、ユーザーがホテルや空港のWi-Fiにログインするのに十分な時間です。値が指定されている場合、クライアントは接続状態にデフォルト設定されます（たとえば、再起動後や初回インストール後）。

値:

• 0: スイッチがユーザーによって再度オンにされるまで、オフの状態を無期限に維持します。
• 1から1440: 指定された分数後に自動的にスイッチを再度オンにします。

サポートURL

Feature availability

Operating Systems	WARP mode required	Zero Trust plans ↗
All systems	Any mode	All plans

Enabledの場合、WARPクライアントのフィードバックを送信ボタンが表示され、指定されたURLが起動します。例として、サポートURLの値は次のようになります：

• https://support.example.com: https://リンクを使用して、企業の内部ヘルプサイトを開きます。
• mailto:yoursupport@example.com: mailto:リンクを使用して、デフォルトのメールクライアントを開きます。

サービスモード

Feature availability

Operating Systems	WARP mode required	Zero Trust plans ↗
All systems	Any mode	All plans

クライアントの動作モードを選択できます。各モードの詳細な説明については、WARPモードを参照してください。

ローカルドメインフォールバック

機能の可用性

オペレーティングシステム	WARPモードが必要	ゼロトラストプラン ↗
すべてのシステム	WARPを使用したゲートウェイ、DoHを使用したゲートウェイ	すべてのプラン

WARPクライアントを構成して、DNSリクエストをプライベートDNSリゾルバにリダイレクトします。詳細については、ローカルドメインフォールバックのドキュメントを参照してください。

スプリットトンネル

Feature availability

Operating Systems	WARP mode required	Zero Trust plans ↗
All systems	Any mode	All plans

WARPクライアントを構成して、特定のIPアドレスまたはドメインへのトラフィックを除外または含めることができます。詳細については、Split Tunnelのドキュメントを参照してください。

Microsoft 365トラフィックを直接ルーティングする

Feature availability

Operating Systems	WARP mode required	Zero Trust plans ↗
All systems	Any mode	All plans

すべてのMicrosoft 365 IPアドレスをMicrosoftが指定 ↗したSplit Tunnel除外エントリを作成します。この設定を使用するには、Split TunnelsをExclude IPs and domainsに設定する必要があります。有効にすると、すべてのMicrosoft 365ネットワークトラフィックはWARPとGatewayをバイパスします。

ユーザーがローカルネットワークの除外を有効にできるようにする

機能の可用性

WARP modes	Zero Trust plans ↗
Gateway with WARP Secure Web Gateway without DNS filtering	すべてのプラン

System	Availability	Minimum WARP version
Windows	✅	2024.1.159.0
macOS	✅	2024.1.160.0
Linux	✅	2024.2.62.0
iOS	❌
Android	✅	1.4
ChromeOS	✅	1.4

この設定は、家庭のネットワークが企業のプライベートネットワークと同じIPアドレスのセットを使用しているユーザーのための回避策として意図されています。この設定を使用するには、Split TunnelsをExclude IPs and domainsに設定する必要があります。

Enabledにすると、ユーザーはWARPに接続している間にローカルネットワークリソース（プリンターやストレージデバイスなど）にアクセスするオプションがあります。ユーザーがWARP GUIでAccess local networkを有効にすると、WARPはユーザーの家庭ネットワークによって広告されたローカルIP範囲（例：10.0.0.0/24）を検出し、この範囲をWARPトンネルから一時的に除外します。ユーザーはTimeoutが切れた後に再度アクセスをリクエストする必要があります。Timeoutを0 minutesに設定すると、次回のWARP再接続（再起動やラップトップのスリープからの復帰など）までLANアクセスが許可されます。

警告

この設定を有効にすると、2つの主要な結果が伴います：

• デバイスがセキュリティ脅威にさらされる。 ユーザーは、以前は企業のプライベートネットワークであったトラフィックが実際にはローカルネットワークにルーティングされていることに気付かないかもしれません。これにより、デバイスはオンパス攻撃者 ↗やその他のセキュリティ脆弱性に対して脆弱になります。たとえば、ユーザーの通常のワークフローが企業ネットワークのリモートデスクトップに10.0.0.30でログインすることを含む場合、悪意のある行為者がローカルネットワーク上に10.0.0.30で偽のサーバーを設定する可能性があります。ユーザーがAccess local networkを有効にした状態で10.0.0.30にアクセスすると、攻撃者は彼らの認証情報を盗むことができます。
• ユーザーが企業リソースへのアクセスを失う。 — ローカルネットワークにアクセスしている間、ユーザーは同じIP/CIDR範囲にある企業リソースに接続できなくなります。

制限事項

• WARPは、RFC 1918 ↗アドレス空間内のローカルネットワークのみを除外します。CGNATなどの他のIPアドレスはサポートされていません。
• 最大除外サブネットサイズは/24です。
• Windowsデバイスに異なるローカルIP範囲を持つ複数のネットワークインターフェースがある場合、WARPはそのネットワークのうちの1つのみを除外します。特定のローカルネットワークにアクセスするには、他のインターフェースを無効にし、WARPを切断/再接続してください。