Azure ADのリスクユーザーを隔離する

Azure Active Directory (AD) は、ユーザーのアカウントが侵害される可能性に基づいてユーザーのリスクレベル ↗を計算します。Cloudflare Zero Trustを使用すると、Azure ADのリスクユーザーリストをCloudflare Accessと同期させ、高リスクのユーザーに対してより厳格なZero Trustポリシーを適用できます。

このチュートリアルでは、Azureによってリスクと見なされたユーザーを自動的にリモートブラウザにリダイレクトする方法を示します。

完了までの時間:

1時間

前提条件

• Azure AD Premium P2ライセンス
• Cloudflare Browser Isolation アドオン
• デバイスでGateway HTTPフィルタリングが有効になっていること
• npm ↗のインストール
• Node.js ↗のインストール

1. Azure ADをアイデンティティプロバイダーとして設定する

Azure ADのためのIdP設定手順を参照してください。

ノート

• Zero TrustでIdPを構成する際は、必ずグループメンバーシップ変更の再認証を有効にするを選択してください。
• アプリケーション (クライアント) ID、ディレクトリ (テナント) ID、およびクライアントシークレットを保存してください。後のステップで再度必要になります。

2. Azure AD APIの権限を追加する

基本的なIdP統合がテストされて動作していることを確認したら、スクリプトがAzure ADでリスクユーザーグループを作成および更新できるようにする追加の権限を有効にします。

1. Azure Active Directoryに移動し、アプリ登録を選択します。

2. IdP統合のために作成したアプリケーションを選択します。

3. APIの権限に移動し、権限を追加を選択します。

4. Microsoft Graphを選択します。

5. アプリケーションの権限を選択し、以下の権限 ↗を追加します：

   • IdentityRiskyUser.ReadAll
   • Directory.ReadWriteAll
   • Group.Create
   • Group.ReadAll
   • GroupMember.ReadAll
   • GroupMember.ReadWriteAll

6. 管理者の同意を付与を選択します。

有効な権限のリストが表示されます。

3. リスクユーザーをAzure ADグループに追加する

次に、リスクユーザーでAzure ADセキュリティグループを自動的にポピュレートするスクリプトを構成します。

迅速に始めるために、以下の手順に従って私たちの例のCloudflare Workersスクリプトをデプロイします。あるいは、Azure Functions ↗や他のツールを使用してスクリプトを実装することもできます。

1. ターミナルを開き、私たちの例のプロジェクトをクローンします。

   npm create cloudflare@latest risky-users -- --template https://github.com/cloudflare/msft-risky-user-ad-sync

2. プロジェクトディレクトリに移動します。

   cd risky-users

3. wrangler.tomlを修正して、以下の値を含めます：

   • <ACCOUNT_ID>: あなたのCloudflare アカウントID。
   • <TENANT_ID>: Azure ADのディレクトリ (テナント) ID、Azure ADをアイデンティティプロバイダーとして設定する際に取得したもの。
   • <CLIENT_ID>: Azure ADのアプリケーション (クライアント) ID、Azure ADをアイデンティティプロバイダーとして設定する際に取得したもの。

   name = "risky-users"
   compatibility_date = "2023-01-04"
   main = "src/index.js"
   workers_dev = false
   
   account_id = "<ACCOUNT-ID>"
   
   [vars]
   AZURE_AD_TENANT_ID = "<TENANT-ID>"
   AZURE_AD_CLIENT_ID = "<CLIENT-ID>"
   
   [triggers]
   crons = ["* * * * *"]

ノート

この例のCron Triggerは、スクリプトを毎分実行するようにスケジュールされています。サポートされているcron式について詳しく学んでください。

4. WorkerをCloudflareのグローバルネットワークにデプロイします。

   npx wrangler deploy

5. AZURE_AD_CLIENT_SECRETという名前の秘密変数を作成します。

   wrangler secret put AZURE_AD_CLIENT_SECRET

   秘密の値を入力するように求められます。 AzureADをアイデンティティプロバイダーとして設定する際に取得したクライアントシークレットを入力してください。

Workerスクリプトは毎分1回実行され始めます。リアルタイムのログを表示するには、次のコマンドを実行し、スクリプトが実行されるのを待ちます：

wrangler tail --format pretty

初回の実行後、自動生成されたグループがAzure ADダッシュボードに表示されます。

4. リスクユーザーグループを同期する

次に、Azure ADのリスクユーザーグループをCloudflare Accessと同期します：

1. SCIM同期を有効にする。

2. Azure ADで、次のグループをSCIMエンタープライズアプリケーションに割り当てます：

   • IdentityProtection-RiskyUser-RiskLevel-high
   • IdentityProtection-RiskyUser-RiskLevel-medium
   • IdentityProtection-RiskyUser-RiskLevel-low

Cloudflare Accessは、Azure ADとのグループメンバーシップの変更を同期します。SCIMアプリケーションのプロビジョニングページで同期状況を確認できます。

5. ブラウザ隔離ポリシーを作成する

最後に、リスクユーザーグループのトラフィックを隔離するためのGateway HTTPポリシーを作成します。

1. Zero Trust ↗に移動し、Gateway > ファイアウォールポリシー > HTTPに進みます。

2. ポリシーを追加を選択します。

3. _ユーザーグループ名_ルールを含む隔離ポリシーを構築します。たとえば、次のポリシーは、高リスクとしてフラグ付けされたすべてのメンバーに対してapp1.example.comとapp2.example.comをリモートブラウザで提供します：

   セレクタ	演算子	値	論理	アクション
   ドメイン	in	app1.example.com, app2.example.com	And	Isolate
   ユーザーグループ名	in	IdentityProtection-RiskyUser-RiskLevel-high

ポリシーをテストするには、Microsoftのリスク検出をシミュレートする ↗ドキュメントを参照してください。