目的
Cloudflare Zero Trust では、ディスクが暗号化されているかのデバイスポスチャを設定できます。
Windows OS では BitLocker が有効化されていることのチェックになりますが、その設定を確認します。
参考:WARP クライアントダウンロード
以下の PowerShell コマンドで最新安定版をインストールできます。
[System.Net.ServicePointManager]::SecurityProtocol = @([System.Net.SecurityProtocolType]::Tls13,[System.Net.SecurityProtocolType]::Tls12)
$releases = Invoke-RestMethod -Uri "https://install.appcenter.ms/api/v0.1/apps/cloudflare/1.1.1.1-windows-1/distribution_groups/release/public_releases" -Method GET
$latest_release_id = ConvertFrom-Json $releases[0].id
$latest_release_json = Invoke-RestMethod -Uri "https://install.appcenter.ms/api/v0.1/apps/cloudflare/1.1.1.1-windows-1/distribution_groups/release/releases/${latest_release_id}" -Method GET
$latest_download_url = $latest_release_json.download_url
Invoke-WebRequest $latest_download_url -OutFile "C:\Users\Administrator\Desktop\Cloudflare_WARP_Release-x64.msi"
参考:WARP クライアントインストール
以下の PowerShell コマンドでインストール・指定したアカウントへのログインができます。
$TEAM_NAME='YOUR_TEAM_NAME'
msiexec /i "Cloudflare_WARP_Release-x64.msi" /qn `
ORGANIZATION="${TEAM_NAME}" `
SERVICE_MODE="warp" `
ONBOARDING="false" `
SWITCH_LOCKED="false" `
AUTO_CONNECT="0"
BitLocker 有効化
以下の手順で有効化します。
TPM 未搭載のデバイスで BitLocker を有効化するためにはグループ ポリシーの変更が必要です。
コントロールパネルから有効化をおこないます。
BitLocker が有効になっているかの確認は Get-BitLockerVolume の PowerShell コマンドでも確認できます。
デバイスポスチャ設定
Settings > WARP Client > Device Posture > WARP client checks > Add new から Disk Encryption のデバイスポスチャを作成します。
Operating system > Windows にして、Volume name > C 等として保存します。
確認
クライアント
クライアント側では、以下のように辿ることで実際のデバイスポスチャ情報が確認できます。
ダッシュボード
My Team > Devices > Device Name > View details から Posture checks の状態確認ができます。
まとめ
Cloudflare Zero Trust でも BitLocker のデバイスポスチャを設定して、ポリシーの条件に加えることができます。
また、デバイスポスチャチェックの反映は以下のように schedule 値(1m〜24h、デフォルト 5m)の設定により動きます。
Windows OS デバイス向けにぜひご活用ください。