ユニバーサル テナントの制限

  • [アーティクル]

ユニバーサル テナント制限はテナント制限 v2 の機能を強化し、Global Secure Access (プレビュー) を使用して、オペレーティング システム、ブラウザー、またはデバイス フォーム ファクターに関係なく、すべてのトラフィックにタグを付けます。 これにより、クライアントおよびリモート ネットワーク接続の両方のサポートが可能となります。 管理者は、プロキシ サーバーの構成や複雑なネットワーク構成を管理する必要がなくなります。

ユニバーサル テナント制限では、認証とデータ プレーンの両方に対して Global Secure Access ベースのポリシー シグナリングを使用して、これを適用します。 テナント制限 v2 では、企業は Microsoft Entra に統合された Microsoft Graph、SharePoint Online、Exchange Online のようなアプリケーションの外部テナント ID を使用して、ユーザーによるデータ流出を防ぐことができます。 これらのテクノロジが連携することで、すべてのデバイスとネットワーク全体でデータ流出が防止されます。

テナント制限 v2 で悪意のあるユーザーに対して防御する方法を示す図。

次の表では、前の図の各ポイントで実行する手順について説明します。

Step 説明
1 Contoso は、テナント間アクセスの設定でテナント制限 v2 ポリシーを構成して、すべての外部アカウントと外部アプリをブロックします。 Contoso は、Global Secure Access のユニバーサル テナント制限を使用してポリシーを適用します。
2 Contoso マネージド デバイスを使用しているユーザーが、承認されていない外部 ID を持つ Microsoft Entra 統合アプリにアクセスしようとします。
3 "認証プレーン保護": Contoso のポリシーでは Microsoft Entra ID を使い、認証されていない外部アカウントによる外部テナントへのアクセスをブロックしています。
4 "データ プレーンの保護": ユーザーが、Contoso のネットワークの外部で取得した認証応答トークンをコピーし、デバイスにそれを貼り付けることで、外部アプリケーションに再びアクセスしようとすると、ブロックされます。 トークンの不一致によって再認証がトリガーされ、アクセスがブロックされます。 SharePoint Online の場合、匿名でリソースにアクセスしようとするとブロックされます。

ユニバーサル テナント制限は、ブラウザー、デバイス、ネットワーク間でのデータ流出防止に次のように役立ちます。

  • これにより、Microsoft Entra ID、Microsoft アカウント、Microsoft アプリケーションで、関連付けられたテナント制限 v2 ポリシーを検索して適用できるようになります。 この検索により、一貫性のあるポリシー適用が実現します。
  • サインイン時に認証プレーンで、Microsoft Entra に統合されたすべてのサードパーティ製アプリと連携します。
  • データ プレーン保護のために Exchange、SharePoint、Microsoft Graph と連携します。

前提条件

既知の制限事項

  • ユニバーサル テナント制限を有効にしていて、許可リストに登録されているいずれかの許可テナントの Microsoft Entra 管理センターにアクセスしている場合、"アクセスが拒否されました" というエラーが表示されることがあります。 Microsoft Entra 管理センターに次の機能フラグを追加してください。
    • ?feature.msaljs=true&exp.msaljsexp=true
    • たとえば、Contoso に勤務していて、Fabrikam をパートナー テナントとして許可リストに登録しているとします。 Fabrikam テナントの Microsoft Entra 管理センターのエラー メッセージが表示される場合があります。
      • URL https://entra.microsoft.com/ について "アクセスが拒否されました" というエラー メッセージが表示された場合は、機能フラグ https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home を追加します。

テナント制限 v2 ポリシーを構成する

組織でユニバーサル テナント制限を使用するには、既定のテナント制限と特定のパートナーに対するテナント制限の両方を構成する必要があります。

これらのポリシーを構成する方法の詳細については、「テナント制限 V2 を設定する (プレビュー)」の記事を参照してください。

ポータルでのテナント制限ポリシーのサンプルを示すスクリーンショット。

テナント制限 v2 のタグ付けを有効にする

テナント制限 v2 ポリシーを作成したら、グGlobal Secure Access を使ってテナント制限 v2 のタグ付けを適用できます。 Global Secure Access 管理者セキュリティ管理者の両方のロールを持つ管理者が以下の手順を実行して、Global Secure Access での適用を有効にする必要があります。

  1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
  2. [Global Secure Access]>[グローバル設定]>[セッション管理]>[テナントの制限] に移動します。
  3. ネットワーク上でテナント制限を強制するためのタグ付けを有効にするのトグルを選択します。
  4. [保存] を選択します。

タグ付けを有効にするトグルを示すスクリーンショット。

SharePoint Online でユニバーサル テナント制限を試す

この機能は、Exchange Online と Microsoft Graph で同じように機能します。以下の例では、ご自身の環境で動作していることを確認する方法について説明します。

認証パスを試す:

  1. Global Secure Access のグローバル設定で、ユニバーサル テナント制限はオフになっています。
  2. テナント制限 v2 ポリシーの許可リストにない外部 ID を使用して、SharePoint Online https://yourcompanyname.sharepoint.com/ に移動します。
    1. たとえば、Fabrikam テナントの Fabrikam ユーザーなどです。
    2. Fabrikam ユーザーは SharePoint Online にアクセスできます。
  3. ユニバーサル テナント制限を有効にします。
  4. Global Secure Access クライアントを実行しているエンド ユーザーとして、明示的に許可されていない外部 ID を使用して SharePoint Online に移動します。
    1. たとえば、Fabrikam テナントの Fabrikam ユーザーなどです。
    2. Fabrikam ユーザーは、次のようなエラー メッセージで SharePoint Online へのアクセスをブロックされます。
      1. アクセスがブロックされました。Contoso IT 部門により、アクセスできる組織が制限されています。 アクセスを取得するには、Contoso IT 部門にお問い合わせください。​

データ パスを試す

  1. Global Secure Access のグローバル設定で、ユニバーサル テナント制限はオフになっています。
  2. テナント制限 v2 ポリシーの許可リストにない外部 ID を使用して、SharePoint Online https://yourcompanyname.sharepoint.com/ に移動します。
    1. たとえば、Fabrikam テナントの Fabrikam ユーザーなどです。
    2. Fabrikam ユーザーは SharePoint Online にアクセスできます。
  3. SharePoint Online を開いた同じブラウザーで、[開発者ツール] に移動するか、キーボードの F12 キーを押します。 ネットワーク ログの取得を開始します。 すべてが想定どおりに動作すると、状態 200 が表示されます。
  4. 続行する前に、[ログの保持] オプションがオンになっていることを確認します。
  5. ログが表示されたブラウザー ウィンドウを開いたままにします。
  6. ユニバーサル テナント制限を有効にします。
  7. Fabrikam ユーザーとして SharePoint Online を開いたブラウザーに、数分以内に新しいログが表示されます。 また、バックエンドで発生した要求と応答に基づいて、ブラウザーが最新の情報に更新される場合があります。 数分後にブラウザーが自動的に更新されない場合は、SharePoint Online を開いた状態のブラウザーで [更新] をクリックします。
    1. Fabrikam ユーザーは、次のようにアクセスがブロックされていることを確認します。
      1. アクセスがブロックされました。Contoso IT 部門により、アクセスできる組織が制限されています。 アクセスを取得するには、Contoso IT 部門にお問い合わせください。​
  8. ログで、状態 302 を探します。 この行には、トラフィックに適用されているユニバーサル テナント制限が表示されます。
    1. 同じ応答で、ユニバーサル テナント制限が適用されたことを識別する次の情報のヘッダーを確認します。
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

利用条件

Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。

次のステップ

Microsoft Entra Internet Access を使い始めるための次のステップは、強化された Global Secure Access シグナリングを有効にすることです。

Global Secure Access (プレビュー) の条件付きアクセス ポリシーの詳細については、次の記事を参照してください。