チュートリアル: 安全にハイブリッド アクセスを行うために Cloudflare と Microsoft Entra ID を構成する

  • [アーティクル]

このチュートリアルでは、Microsoft Entra ID を Cloudflare Zero Trust と統合する方法について学習します。 ユーザー ID とグループ メンバーシップに基づいてルールを作成します。 ユーザーは、Microsoft Entra 資格情報を使用して認証し、Zero Trust で保護されたアプリケーションに接続します。

前提条件

組織の ID プロバイダーと Cloudflare Access を統合する

Cloudflare ゼロ トラスト アクセスは、企業アプリケーション、プライベート IP スペース、およびホスト名へのアクセスを制限する既定の拒否、ゼロ トラスト ルールを適用するのに役立ちます。 この機能では、仮想プライベート ネットワーク (VPN) よりも高速かつ安全にユーザーを接続します。 組織で複数の ID プロバイダー (IdP) を使用できるため、パートナーや請負業者と連携するときの煩わしさを軽減できます。

サインイン方法として IdP を追加するには、Cloudflare サインイン ページと Microsoft Entra ID で Cloudflare にサインインします。

次のアーキテクチャの図に、この統合を示します。

Diagram of the Cloudflare and Microsoft Entra integration architecture.

Cloudflare Zero Trust アカウントを Microsoft Entra ID と統合する

Cloudflare Zero Trust アカウントを Microsoft Entra ID のインスタンスと統合します。

  1. Cloudflare サインイン ページの Cloudflare ゼロ トラスト ダッシュボードにサインインします。

  2. [設定] に移動します。

  3. [認証] を選択します。

  4. [ログイン方法] について、[新規追加] を選択します。

    Screenshot of the Login methods option on Authentication.

  5. [ID プロバイダーの選択][Microsoft Entra ID] を選びます。

    Screenshot of the Microsoft Entra option under Select an identity provider.

  6. [Azure ID の追加] ダイアログが表示されます。

  7. Microsoft Entra インスタンスの資格情報を入力して、必要な選択を行います。

    Screenshot of options and selections for Add Microsoft Entra ID.

  8. [保存] を選択します。

Cloudflare を Microsoft Entra ID に登録する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

Cloudflare を Microsoft Entra ID に登録するには、次の 3 つのセクションの手順を使用します。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[アプリの登録] に移動します。
  3. [新規登録] を選択します。
  4. アプリケーションの名前を入力します。
  5. パスの末尾に callback を含むチーム名を入力します。 たとえば、https://<your-team-name>.cloudflareaccess.com/cdn-cgi/access/callback のように指定します。
  6. [登録] を選択します。

Cloudflare 用語集の「チーム ドメイン」の定義を参照してください。

Screenshot of options and selections for Register an application.

証明書とシークレット

  1. Cloudflare Access 画面の [要点] で、アプリケーション (クライアント) ID とディレクトリ (テナント) ID をコピーして保存します。

    Screenshot of the Cloudflare Access screen.

  2. 左側のメニューで、[管理][証明書とシークレット] を選択します。

    Screenshot of the certificates and secrets screen.

  3. [クライアント シークレット] で、 [+ 新しいクライアント シークレット] を選択します。

  4. [説明] にクライアント シークレットを入力します。

  5. [有効期限] で、有効期限を選択します。

  6. [追加] を選択します。

  7. [クライアント シークレット][値] フィールドから値をコピーします。 アプリケーションのパスワードの値を考えてください。 例の値が表示され、Azure の値が Cloudflare Access の構成に表示されます。

    Screenshot of Client secrets input.

アクセス許可

  1. 左側のメニューで、[API のアクセス許可] を選択します。

  2. [+ アクセス許可の追加] を選択します。

  3. [API を選択する] の下にある [Microsoft Graph] を選択します。

    Screenshot of the Microsoft Graph option under Request API permissions.

  4. 次のアクセス許可の [委任されたアクセス許可] を選択します。

    • 電子メール
    • openid
    • profile
    • offline_access
    • user.read
    • directory.read.all
    • group.read.all

  5. [管理] の下にある [+ アクセス許可の追加] を選択します。

    Screenshot options and selections for Request API permissions.

  6. [... に管理者の同意を与えます] を選択します。

    Screenshot of configured permissions under API permissions.

  7. Cloudflare ゼロ トラスト ダッシュボードで、[設定] > [認証] に移動します。

  8. [ログイン方法] で、[新規追加] を選択します。

  9. [Microsoft Entra ID] を選びます。

  10. アプリケーション IDアプリケーション シークレットディレクトリ ID の値を入力します。

  11. [保存] を選択します。

Note

Microsoft Entra グループの場合は、[Microsoft Entra ID プロバイダーの編集][サポート グループ][オン] を選択します。

統合をテストする

  1. Cloudflare ゼロ トラスト ダッシュボードで、[設定]>[認証] に移動します。

  2. [ログイン方法] で、Microsoft Entra ID に対して、[テスト] を選択します。

    Screenshot of login methods.

  3. Microsoft Entra 資格情報を入力します。

  4. [接続が機能します] メッセージが表示されます。

    Screenshot of the Your connection works message.

次のステップ