Cloudflare AccessでAzure AD条件付きアクセスポリシーを使用する
Azure Active Directory (AD) の 条件付きアクセス ↗ を使用すると、管理者はAzure AD内でアプリケーションやユーザーに対してポリシーを強制できます。条件付きアクセスには、Windowsに特化した一連のチェックがあり、Windowsのパワーユーザーを持つ組織に好まれることが多いです。
以下を確認してください:
- Azure ADアカウントのグローバル管理者権限
- Azure ADアカウントに設定されたユーザー
Azure ADの IdP設定手順 を参照してください。
基本的なIdP統合がテストされ、動作していることを確認したら、CloudflareがAzure ADから条件付きアクセスポリシーを読み取るための権限を付与します。
-
Azure Active Directoryで、アプリ登録に移動します。
-
IdP統合のために作成したアプリケーションを選択します。
-
API権限に移動し、権限を追加を選択します。
-
Microsoft Graphを選択します。
-
アプリケーション権限を選択し、
Policy.Read.ConditionalAccessを追加します。 -
管理者の同意を付与を選択します。
- Azure Active Directoryで、エンタープライズアプリケーション > 条件付きアクセスに移動します。
- 認証コンテキストに移動します。
- Cloudflare Accessポリシーで参照するための認証コンテキストを作成 ↗します。認証コンテキストに説明的な名前を付けます(例:
準拠デバイスを要求)。 - 次に、ポリシーに移動します。
- 新しい条件付きアクセスポリシーを作成 ↗するか、既存のポリシーを選択します。
- 条件付きアクセスポリシーを認証コンテキストに割り当てます:
- ポリシービルダーで、ターゲットリソースを選択します。
- このポリシーが適用されるものを選択のドロップダウンで、認証コンテキストを選択します。
- このポリシーを使用する認証コンテキストを選択します。
- ポリシーを保存します。
条件付きアクセスポリシーをCloudflare Accessにインポートするには:
- ゼロトラスト ↗に移動し、設定 > 認証に進みます。
- Azure AD統合を見つけて、編集を選択します。
- Azure ADポリシー同期を有効にします。
- 保存を選択します。
Cloudflare Accessアプリケーションに条件付きアクセスポリシーを適用するには:
-
ゼロトラスト ↗に移動し、アクセス > アプリケーションに進みます。
-
新しいセルフホストアプリケーションを作成します。
-
アプリケーションドメインに、保護されたアプリケーションのターゲットURLを入力します。
-
アイデンティティプロバイダーで、Azure AD統合を選択します。
-
最後に、Azure AD - 認証コンテキストセレクターを使用してアクセスポリシーを作成します。例えば:
アクション ルールタイプ セレクター 値 許可 含む 終了するメール @example.com必要 Azure AD - 認証コンテキスト 準拠デバイスを要求
ユーザーは、この認証コンテキストに関連付けられたAzure AD条件付きアクセスポリシーを通過した場合のみアクセスが許可されます。