デバイス登録の権限

デバイス登録の権限は、どのユーザーが組織のCloudflare Zero Trustインスタンスに新しいデバイスを接続できるかを決定します。

デバイス登録の権限を設定する

1. In Zero Trust ↗, go to Settings > WARP Client.
2. In Device enrollment permissions, select Manage.
3. In the Rules tab, configure one or more Access policies to define who can join their device. For example, you could allow all users with a company email address:

   Rule type	Selector	Value
   Include	Emails ending in	@company.com

ノート

Device posture checks are not supported in device enrollment policies. WARP can only perform posture checks after the device is enrolled.

4. In the Authentication tab, select the identity providers users can authenticate with. If you have not integrated an identity provider, you can use the one-time PIN.
5. Select Save.

ユーザーは、アイデンティティプロバイダーにログインすることでデバイスを登録できるようになりました。ユーザーが登録後に組織からログアウトするのを防ぐために、WARPクライアント設定でデバイスが組織を離れることを許可を無効にしてください。

例ポリシー

サービストークンの確認

ユーザーに認証情報で認証を要求する代わりに、サービストークンを使用して、ユーザーの操作なしでデバイスを登録できます。ユーザーがアイデンティティプロバイダーにログインする必要がないため、アイデンティティベースのポリシーはこれらのデバイスに対して強制できません。

サービストークンを使用してデバイスを登録するには：

1. Create a service token.

2. Copy the token’s Client ID and Client Secret.

3. In your device enrollment permissions, create the following policy:

   Rule Action	Rule type	Selector	Value
   Service Auth	Include	Service Token	<TOKEN-NAME>

4. In your MDM deployment parameters, add the following fields:

   • auth_client_id: The Client ID of your service token.
   • auth_client_secret: The Client Secret of your service token.

When you deploy the WARP client with your MDM provider, WARP will automatically connect the device to your Zero Trust organization.

どのデバイスが登録されたかを確認するには、My Team > Devicesに移動します。サービストークン（または他のService Authポリシー）を使用して登録されたデバイスは、Emailフィールドにnon_identity@<team-name>.cloudflareaccess.comと表示されます。

mTLS証明書の確認

エンタープライズ顧客は、デバイス登録中に相互TLS認証を強制できます。

To check for an mTLS certificate:

1. Add an mTLS certificate to your account. You can generate a sample certificate using the Cloudflare PKI toolkit.

2. In Associated hostnames, enter your Zero Trust team domain: <team-name>.cloudflareaccess.com

3. In your device enrollment permissions, add a Common Name or Valid Certificate rule. For example, the following policy requires a client certificate with a specific common name:

   Action	Rule type	Selector	Value
   Allow	Require	Common Name	<CERT-COMMON-NAME>

4. On your device, add the client certificate to the system keychain.

ユーザーがWARPクライアントからZero Trust組織にログインする際、接続するためには有効なクライアント証明書を提示する必要があります。