HOME  /ZeroTrust
 /Cloudflare ZeroTrustに利用する企業用のGmailアドレスを取得する方法
2024年09月29日

Cloudflare ZeroTrustに利用する企業用のGmailアドレスを取得する方法


Cloudflareのゼロトラスで利用できるIdP(Identify Provider)には色々なものがあります。

 IdPとは

IdPは「Identity Provider」の略で、クラウドサービスへの認証管理システムです。

[Azure AD]、[Google Workspace]、[Google]等の著名なIDPは事前登録されていますが、著名でないIDPの場合は[OpenID Connect]や[SAML]を利用して設定します。

この中で認証にGmailアドレスを利用するものに[Google Workspace]と[Google]があり、後者が無料で利用できるIdPになります。

 

この時、個々人が勝手に作成したGmailアドレスでも良いのですが、企業が作成したGmailアドレスを利用した方が管理が簡単になります。

そこで企業が管理する無料のGmailアドレスの新規取得から削除までを下記で解説します。

1.Googleアドレス構造の理解とアドレス取得の考え方

2.Googleアカウントの新規取得方法

3.Googleアカウントを2要素認証にする方法

4.Googleアカウントの削除方法

1.Gmailアドレス構造の理解とアドレス取得の考え方

Gmailアドレス数は日本だけでも15億個以上あると言われております。

しかしこの様な環境下でもアカウントの構造を理解すれば、上記とダブらない企業固有のGmailアドレスを取得する事はそんなに難しくありません。

尚、[Googleアカウント]と[Gmailアドレス]は同じものです。

­ ­Gmailアドレスの名称ルールとアドレス構想

構造:ユーザ指定アドレス@gmail.com

ユーザ指定アドレス部の命名ルール

①6文字以上30文字未満

②利用できる文字は半角英数字とドット(.)で、先頭は半角英字です。

※上記で利用するドット(.)は、アドレスを見易くするだけで文字数には含まれません。

例えば下記は同じメールアドレスです。

[email protected]

[email protected]

よってドット(.)を上手く使って下記の様な構造のGmailアドレスにすると、企業固有のメールアドレスを作成する事ができます。

③企業のGmailアドレス構想

管理者:cto.[企業略称]@gmail.com

管理者が利用するIDで、このIDで社員等のIDを管理します。

またこれにGoogle認証に必要な情報をセットします。

尚、[cto]でなく[google]や[admin]も試しましたが、これらの文字列は禁止ワードの様で利用できませんでした。

社員 :[].[].[企業略称]@gmail.com

これが社員が認証に利用するGmailアドレスです。

特殊 :smtp.[企業略称]@gmail.com

GmailのSMTPを利用する為のアプリパスワードを設定するGmailアドレスです。

 

上記で構想した[企業略称]のGmailアドレスが利用可能か?は下記のサイトで確認します。

メールアドレス存在確認

■下図のメールアドレス欄に複数のメールアドレスを入力して確認ボタンを挿入すると利用可能なメールアドレスか否かを調べてくれます。

以上で企業固有のGmailアドレス(Googlaアカウント)を取得する準備が整いました。

 

2.Googleアカウントの新規取得方法

ここでは、

管理者用Gmail:例)cto.[企業略称]@gmail.com

社員用Gmail :例)[].[].[企業略称]@gmail.com

のGoogleアカウントを取得する方法を解説します。

­ ­アカウント管理で重要な事

Googleアカウントを作成した年月は必ず記録しておいてください

Googleアカウントのパスワードが判らなくなったり、アカウントを復元する際に必要になります。

 

1.キャッシュのクリア

Googleアカウントの情報はブラウザのCookieの中に記憶されます。

よって新しいGoogleアカウントを新規に作成する時はブラウザの[Cookieを削除]してから操作します。

Google Chromeの場合は[メニュ閲覧履歴を消去]で[Cookieと他のサイトデータ]を選択して削除を実行します。

 

2.アカウント作成画面

下記のURLをクリックします。

https://myaccount.google.com/

画面が表示されたら画面の上部の[アカウントを作成する]をクリックします。

 

3.姓名の入力

表示された下図に姓名を入力し[次へ]ボタンで先に進みます。

管理者の場合:企業名を姓名に分けて記述します。

社員の場合 :姓名を正確に入力します。

 

4.生年月日の入力

表示された画面に生年月日と性別を入れて[次へ]ボタンで先に進みます。

管理者の場合:青少年と判断されない生年月日を入力します。

社員の場合 :正確な生年月日を入力します

 

5.Gmailアドレスの取得

Gmailアドレスのサンプルが表示されますが[自分でGmailアドレスを作成]を選択し、ここにアドレスを入力して次へ進みます。

管理者の場合:cto.[企業略称]@gmail.com

社員の場合 :[].[].[企業略称]@gmail.com

 

6.パスワードの設定

表示された下記画面に企業で利用するパスワードを入力し[次へ]ボタンで先に進みます。

ロボットでない事を確認する画面が表示される事があります。

この時は管理者の電話番号で処理して下さい。

作成アカウントの電話番号とは関係ありません。

 

7.再設定用のメールアドレスの設定

再設定用のメールアドレスを要求されますが下記で入力します。

管理者の場合:[スキップ]で先に進みます。

社員の場合 :管理者のメールアドレスを入力し[次へ]で先に進みます。

 

8.アカウント情報の確認

アカウントの確認画面で[次へ]で先に進みます。

 

9.利用規約画面

利用規約が表示されるので[同意する]をクリックします。

 

10.ようこそ画面

­ ­メモ

ようこそ画面が語画面の場合は下記の操作で日本語に変更します。

①左ペインの[Personal info]を開きます。

②表示された画面の下の方にある[Language]を開きます。

③表示された画面の[Preferred Language]の[English]にある鉛筆マークをクリックし、言語一覧の最後の方にある[日本語]を選択します。

以上で画面が日本語になります。

下図の様な[ようこそ画面]と[再設定用の電話番号を追加する]ダイアログが表示されます。

管理者の場合:下記画面の中に[再設定用の電話番号を追加する]をクリックします。

社員の場合 :再設定に管理者のメールアドレスを指定したいので無視します。

以下の①②は管理者の時の処理です。

①リカバリ情報の設定画面

下記画面に管理者の電話番号を設定し[保存]ボタンを入力します。

②電話番号が登録された画面が出ます。

確認後[←再設定オプション]をクリックします。

 

11.セキュリティ画面を確認する。

[セキュリティ]メニュを表示させると現在の設定情報が表示されます。

以上でGoogleアカウント(Gmailアドレス)が取得できました。

 

3.Googleアカウントを2段階認証にする方法

この作業は利用者自身が行う作業になります。

 

2段階認証には色々な種類がありますが、ここではPCでログインする時に、所有するスマートフォンに下図の様なGoogleメッセージが送られる2要素認証の作成方法を解説します。

上記画面に[はい、私です]をクリックするとGoogleアカウントにログインする事ができます。

上記の様なログイン方法を[Google からのメッセージ]方式と呼びます。

 メモ

2段階認証が機能するのに上記の画面が表示されない場合は、スマートフォン側のGoogleアカウントの設定を確認して下さい。

 

1.スマートフォン側での操作

[Google からのメッセージ]を利用する時は、スマートフォン側に当該Gmaiアカウントが設定されている必要があります。下記にその設定方法を解説します。

①Androidの場合

[設定Google]で表示されたアカウントの横にある>をクリックします。

ここに表示されたGmailアドレスが[Google からのメッセージ]対象アカウントになります。

[別のアカウントを追加する]を実行し、[Google からのメッセージ]を利用したいアカウントにログインします。

電話番号を追加するか?のメッセージが表示された場合は許可して下さい。

これで再設定用の電話番号が登録されます。

②iPhone/iPADの場合

Googleアプリをダウンロードします。

上記アプリを起動し設定されているアカウントをクリックし[別のアカウントを追加する]を実行し、2要素認証したいアカウントにログインします。

電話番号を追加するか?のメッセージが表示された場合は許可して下さい。

これで再設定用の電話番号が登録されます。

以上でスマートフォン側の準備は整いました。

 

2.PCから2段階認証をONにする。

次はPCで下記URLから2段階認証にしたいGoogleアカウントにログインします。

https://accounts.google.com/

下記の様な画面が表示された場合は画面の中にある[後で行う]や[後で]でを挿入し先に進んで下さい。

表示された画面メニュから[セキュリティ]を選択します。

下記画面が表示されるので[2段階認証プロセス]をクリックします。

■一般ユーザは[再設定用の電話番号]と[再設定用のメールアドレス]が登録されている筈です。

■また上図は2段階認証がOFFで[Googleからのメッセージ]と[2段階認証プロセスの電話番号]が設定されてない事を表しています。

■ここで2段階認証をONの処理を行うと[Googleからのメッセージ]と[2段階認証プロセスの電話番号]に情報が登録され、2段階認証がONになります。

2段階認証をクリックし[パスワード]を指定すると下記画面が表示されるので[電話番号の追加]をクリックします。

携帯の電話番号入力画面が表示されます。

[+81]と携帯電話番号を入力するとスマホに確認コードが送られてきます。

確認コードを入力すると2段階認証がONに変わります。

■2段階認証がONになり、[Googleからのメッセージ]と[2段階認証プロセスの電話番号]に値が入ります。

■まだ[バックアップコード]は設定されてないので下にあります。

これが表示されてない場合はこの欄をスライドさせると見つける事ができます。

 

3.バックアップコードを設定する

バックアップコードとは認証に利用するスマートフォンが近くにない、又は紛失した時に代わりに利用するコードです。

これをPCに保存し、上記の様な時に利用できる様にしておきます。

①[バックアップコード]をクリックします。

8桁のコードが10個作成されます。

これをPCに保存しておいてください。(4桁の数字2個で1つのコードです

下記の様な表示がセキュリティ画面に追加されます。

バックアップコード1回しか使えません。使うたびにカウンターが1つ減算されます。

以上でスマホを使った2段階認証の設定は終了です。

 

4.Googleアカウントの削除方法

Cloudflareのゼロトラストの社員リストから退社社員のメールアドレスを外せば、そのアカウントではゼロトラストに入れなくなります。

しかし企業が与えたGoogleアカウントをそのまま残しておくのはあまり関心しません。

そこでこのGoogleアカウントを削除すると、このアカウントは他の人からは取得できないアカウントになります。

但し[再設定用のメールアドレス]と[作成年月]を知っている人はこのアカウントを復元できるようです。

復元のURLは下記になります。

https://accounts.google.com/signin/recovery

 

削除方法は管理者の所で下記のURLからGoogleアカウントにログインしてもらい下記手順で行います。

https://account.google.com/

セキュリティメニュから下記実行します。

①2段階認証をOFFにする

②[2段階認証プロセスの電話番号]と[再設定用の携帯電話]を削除する

③[パスワード]は企業のパスワードか否かを確認する。

もし変更されていた場合は、新たな企業用のパスワードに変更する

④再設定用のメールアドレスが企業管理者か否かを確認する。

以上の設定が確認できたら下記を実行します。

⑤[データとプライバシー]メニュの[その他オプション]にある[Googleアカウントの削除]から削除操作を行います。

以上でGoogleアカウントは削除されます。

­ ­スマホから当該アカウントの削除方法

Androidの場合の操作は下記になります

①[設定→ユーザとアカウント]を実行する。

②Googleを選択する

③アカウント一覧から当該アカウントを選択し削除を実行する

 

Googleのアカウントの作成が完了したら[認証システム]の設計の他の未設定項目を設定して下さい。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで[Split Tunnels]を[Include]で運用していてもHTTPポリシーを利用したブロックを行う事もできます。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。