Windowsログイン前にWARPを接続する
機能の可用性
| WARPモード | ゼロトラストプラン ↗ |
|---|---|
| すべてのモード | すべてのプラン |
| システム | 可用性 | 最低WARPバージョン |
|---|---|---|
| Windows | ✅ | 2024.6.415.0 |
| macOS | ❌ | |
| Linux | ❌ | |
| iOS | ❌ | |
| Android | ❌ | |
| ChromeOS | ❌ |
Cloudflare Zero Trustを使用すると、オンプレミスのActive Directory(または類似の)サーバーを使用して、リモートユーザーのWindowsログイン資格情報を検証できます。ユーザーが初めてWindowsログイン情報を入力する前に、WARPクライアントはサービストークンを使用して接続を確立します。この初期接続はユーザーのアイデンティティに関連付けられていません。ユーザーがWindowsログインを完了すると、WARPはアイデンティティベースのセッションに切り替わり、ユーザー登録をすべての将来のログインに適用します。
- Active DirectoryリソースがCloudflareに接続されています。
-
In Zero Trust ↗, go to Access > Service Auth > Service Tokens.
-
Select Create Service Token.
-
Name the service token. The name allows you to easily identify events related to the token in the logs and to revoke the token individually.
-
Choose a Service Token Duration. This sets the expiration date for the token.
-
Select Generate token. You will see the generated Client ID and Client Secret for the service token, as well as their respective request headers.
-
Copy the Client Secret.
デバイス登録権限で、次のポリシーを作成します:
| ルールアクション | ルールタイプ | セレクター | 値 |
|---|---|---|---|
| サービス認証 | 含む | サービストークン | <TOKEN-NAME> |
サービストークンを介して登録されたデバイスは、メールアドレス non_identity@<team-name>.cloudflareaccess.com によって識別されます。このメールアドレスを使用して、ログイン前の状態で特定のデバイスプロファイル設定やゲートウェイネットワークポリシーを適用できます。たとえば、Windowsログインやデバイス管理活動を完了するために必要なリソースのみにアクセスを提供することができます。
デバイスプロファイルルールの例
| セレクター | 演算子 | 値 | ロジック |
|---|---|---|---|
| ユーザーのメール | in | non_identity@<team-name>.cloudflareaccess.com | And |
| オペレーティングシステム | is | Windows |
ゲートウェイネットワークポリシーの例
| セレクター | 演算子 | 値 | ロジック |
|---|---|---|---|
| 宛先IP | in list | Active Directory servers | And |
| ユーザーのメール | in | non_identity@<team-name>.cloudflareaccess.com | And |
| 通過したデバイスポスチャチェック | in | Windows 10以上(OSバージョン) |
| アクション |
|---|
| 許可 |
Windowsログイン前の機能を有効にするには、次の形式のMDMファイルをデバイスに展開する必要があります。以下の例では、pre_loginキーがデバイスがサービストークンを使用して接続できるようにし、configsがデフォルトのゼロトラスト構成を含んでいます。
<dict> <key>pre_login</key> <dict> <key>organization</key> <string>mycompany</string> <key>auth_client_id</key> <string>TOKEN-ID</string> <key>auth_client_secret</key> <string>TOKEN-SECRET</string> </dict> <key>configs</key> <array> <dict> <key>organization</key> <string>mycompany</string> <key>display_name</key> <string>デフォルト</string> </dict> </array></dict>WARPは、他のWARP登録が存在せず、ユーザーがまだWindowsにログインしていない場合にのみ、ログイン前の構成を適用します。ログイン前の構成が有効な場合、デバイスはMy Team > Devicesにnon_identity@<team-name>.cloudflareaccess.comのメールで表示されます。
ユーザーがWindowsにログインすると、WARPは自動的にデフォルトのMDM構成に切り替わり、ユーザーにIdPでの認証を促します。認証が完了すると、WARPはユーザーのアイデンティティで登録および接続します。My Team > Devicesページには、ユーザーのメールに関連付けられた新しいデバイスが表示されます。このユーザー登録は、次回のWindowsユーザーログイン前を含むすべての後続の接続に使用されます。
ユーザー登録を削除すると、ユーザーがWindowsからログアウトするとすぐにWARPはログイン前の構成に戻ります。