Microsoft 365へのアクセスを専用の出口IPで保護する
Last reviewed: 10 months ago
このチュートリアルでは、Cloudflare Gatewayの専用出口IPを使用してMicrosoft 365アプリケーションへのアクセスを保護する方法について説明します。
Microsoft Entra IDの名前付きロケーションを、専用出口IPに関連付けられたロケーションにマッピングできます。トラフィックはこれらのIPアドレスでCloudflareから出ていきます。ユーザーがこれらのIPなしでMicrosoftアプリケーションにアクセスしようとすると、Entra IDはアクセスをブロックします。
次のことを確認してください:
- Cloudflareで、専用出口IPを持つZero Trust Enterpriseプラン
- Microsoft 365で、Microsoft Entra ID ↗で管理されている組織
-
Zero Trust ↗に移動し、Gateway > Egress Policiesを選択します。
-
Add a policyを選択します。
-
ポリシーに名前を付け、Microsoft Entra IDでユーザーが構成されているかを確認する条件を追加します。たとえば、アイデンティティ条件を確認できます:
Selector Operator Value User Group Names in Sales and Marketing,Retail,U.S. Salesさらに、デバイスポスチャ条件を確認できます:
Selector Operator Value Logic Passed Device Posture Check is CrowdStrike Overall ZTA score (Crowdstrike s2s)And Passed Device Posture Check is AppCheckMac - Required Software (Application) -
Use dedicated Cloudflare egress IPsを有効にします。希望するIPv4およびIPv6アドレスを選択します。たとえば:
Primary IPv4 address IPv6 address 203.0.113.02001:db8::/32
- Microsoft Azureポータル ↗にログインします。
- サイドバーでMicrosoft Entra IDを選択します。
- Security > Named locationsに移動します。
- IP ranges locationを選択します。
- ロケーションに名前を付け、Cloudflareの専用出口IPポリシーで使用されるIPアドレスを追加します。
- Uploadを選択します。
この名前付きロケーションは、専用出口IPのロケーションに対応しています。
- Protectに移動し、Conditional Accessを選択します。
- Create new policyを選択します。
- アクセスを制限したいEntra IDユーザーと、保護したいトラフィック、アプリケーション、またはアクションを構成します。
- ConditionsでLocationsを選択します。Configureを有効にします。
- IncludeでAny locationを選択します。Excludeで作成した名前付きロケーションを選択します。
- Access controlsでGrantに移動します。Block accessを有効にします。
このポリシーは、専用出口IPを使用していない限り、選択したユーザーのアクセスをすべてのロケーションからブロックします。
- WARPを使用して、ユーザーのアカウントでZero Trust組織にサインインします。
- 組織内の任意のMicrosoft 365アプリに移動します。Entra IDはアクセスを許可するはずです。
- WARPをZero Trust組織から切断します。Entra IDは任意のMicrosoft 365アプリケーションへのアクセスをブロックするはずです。