ユニバーサル テナントの制限

ユニバーサル テナント制限はグローバル セキュア アクセスを使用してテナント制限 v2 の機能を強化し、オペレーティング システム、ブラウザー、またはデバイス フォーム ファクターに関係なく、すべてのトラフィックにタグ付けします。 これにより、クライアントおよびリモート ネットワーク接続の両方のサポートが可能となります。 管理者は、プロキシ サーバーの構成や複雑なネットワーク構成を管理する必要がなくなります。

ユニバーサル テナント制限では、認証プレーン (一般公開) とデータ プレーン (プレビュー) の両方に対してグローバル セキュア アクセス ベースのポリシー シグナリングを使用して、これを適用します。 テナント制限 v2 では、企業は Microsoft Entra に統合された Microsoft Graph、SharePoint Online、Exchange Online のようなアプリケーションの外部テナント ID を使用して、ユーザーによるデータ流出を防ぐことができます。 これらのテクノロジが連携することで、すべてのデバイスとネットワーク全体でデータ流出が防止されます。

次の表では、前の図の各ポイントで実行する手順について説明します。

Step	説明
1	Contoso が、テナント間アクセスの設定で **テナント制限 v2** ポリシーを構成して、すべての外部アカウントと外部アプリをブロックします。 Contoso は、Global Secure Access のユニバーサル テナント制限を使用してポリシーを適用します。
2	Contoso マネージド デバイスを使用しているユーザーが、承認されていない外部 ID を持つ Microsoft Entra 統合アプリにアクセスしようとします。
3	"認証プレーン保護": Contoso のポリシーでは Microsoft Entra ID を使い、認証されていない外部アカウントによる外部テナントへのアクセスをブロックしています。
4	"データ プレーンの保護": ユーザーが、Contoso のネットワークの外部で取得した認証応答トークンをコピーし、デバイスにそれを貼り付けることで、外部アプリケーションに再びアクセスしようとすると、ブロックされます。 トークンの不一致によって再認証がトリガーされ、アクセスがブロックされます。 SharePoint Online の場合、匿名でリソースにアクセスしようとするとブロックされます。

ユニバーサル テナント制限は、ブラウザー、デバイス、ネットワーク間でのデータ流出防止に次のように役立ちます。

• これにより、Microsoft Entra ID、Microsoft アカウント、Microsoft アプリケーションで、関連付けられたテナント制限 v2 ポリシーを検索して適用できるようになります。 この検索により、一貫性のあるポリシー適用が実現します。
• サインイン時に認証プレーンで、Microsoft Entra に統合されたすべてのサードパーティ製アプリと連携します。
• データ プレーン保護のために Exchange、SharePoint、Microsoft Graph と連携する (プレビュー)

前提条件

• グローバル セキュア アクセス機能を操作する管理者は、実行するタスクに応じて、次のロールの割り当ての 1 つ以上を持っている必要があります。
  • グローバル セキュア アクセス機能を管理するためのグローバル セキュア アクセス管理者ロールのロール。
  • 条件付きアクセス ポリシーを作成して操作する条件付きアクセス管理者。
• この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。

既知の制限事項

• データ プレーン保護機能はプレビュー段階です (認証プレーンの保護は一般公開されています)
• ユニバーサル テナントの制限を使用し、Microsoft Entra 管理センターにアクセスして、テナント制限 v2 ポリシーで許可されているパートナー テナントを管理すると、認可エラーが発生する可能性があります。 この問題を回避するには、?exp.msaljsoptedoutextensions=%7B%7D クエリ パラメーターを Microsoft Entra 管理センターの URL (https://entra.microsoft.com/?exp.msaljsoptedoutextensions=%7B%7D など) に追加する必要があります。

テナント制限 v2 ポリシーを構成する

組織でユニバーサル テナント制限を使用するには、既定のテナント制限と特定のパートナーに対するテナント制限の両方を構成する必要があります。

これらのポリシーを構成する方法の詳細については、「テナント制限 V2 を設定する」の記事を参照してください。

テナント制限 v2 のタグ付けを有効にする

テナント制限 v2 ポリシーを作成したら、グGlobal Secure Access を使ってテナント制限 v2 のタグ付けを適用できます。 Global Secure Access 管理者とセキュリティ管理者の両方のロールを持つ管理者が以下の手順を実行して、Global Secure Access での適用を有効にする必要があります。

1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
2. [グローバル セキュア アクセス]>[設定]>[セッション管理]>[ユニバーサル テナント制限] の順に参照します。
3. トグルで [(すべてのクラウド アプリを対象とする) Entra ID のテナント制限を有効にする] を選択します。

ユニバーサル テナント制限を試してみる

ポリシーが構成されているテナント内のリソースにユーザー (またはゲスト ユーザー) がアクセスしようとした場合、テナント制限は適用されません。 テナント制限 v2 のポリシーは、別のテナントの ID がリソースへのサインインまたはアクセスを試みた場合にのみ処理されます。 たとえば、テナント contoso.com でテナント制限 v2 ポリシーを構成して、fabrikam.com 以外のすべての組織をブロックする場合、ポリシーは次の表に従って適用されます。

User	Type	テナント	TRv2 ポリシーは処理されているか?	認証済みアクセスは許可されているか?	匿名アクセスは許可されているか?
alice@contoso.com	メンバー	contoso.com	いいえ (同じテナント)	はい	いいえ
alice@fabrikam.com	メンバー	fabrikam.com	はい	はい (テナントはポリシーにより許可されている)	いいえ
bob@northwinds.com	メンバー	northwinds.com	はい	いいえ (テナントはポリシーにより許可されていない)	いいえ
alice@contoso.com	メンバー	contoso.com	いいえ (同じテナント)	はい	いいえ
bob_northwinds.com#EXT#@contoso.com	ゲスト	contoso.com	いいえ (ゲスト ユーザー)	はい	いいえ

認証プレーンの保護を検証する

1. グローバル セキュア アクセスの設定で、ユニバーサル テナント制限のシグナリングがオフになっていることを確認します。
2. ブラウザーを使用して、https://myapps.microsoft.com/ に移動し、テナント制限 v2 ポリシーの許可リストにはないお使いのものとは異なるテナントの ID でサインインします。 このステップを実行するには、プライベート ブラウザー ウィンドウを使用するか、プライマリ アカウントからログアウトしなければならない場合があります。
   1. たとえば、テナントが Contoso の場合は、Fabrikam テナントで Fabrikam ユーザーとしてサインインします。
   2. グローバル セキュア アクセスでテナント制限のシグナリングが無効になっているため、Fabrikam ユーザーは MyApps ポータルにアクセスできるはずです。
3. [Microsoft Entra 管理センター] -> [グローバル セキュア アクセス] -> [セッション管理] -> [ユニバーサル テナント制限] でユニバーサル テナント制限を有効にします。
4. MyApps ポータルからサインアウトし、ブラウザーを再起動します。
5. エンド ユーザーとして、グローバル セキュア アクセス クライアントが実行されている状態で、同じ ID (Fabrikam テナントの Fabrikam ユーザー) を使用して https://myapps.microsoft.com/ にアクセスします。
   1. Fabrikam ユーザーは、次のエラー メッセージが表示され、MyApps への認証がブロックされます。"アクセスがブロックされています。Contoso IT 部門は、アクセスできる組織を制限しています。アクセスを取得するには、Contoso IT 部門にお問い合わせください。​"

データ プレーンの保護を検証する

1. グローバル セキュア アクセスのグローバル設定で、ユニバーサル テナント制限のシグナリングがオフになっていることを確認します。
2. ブラウザーを使用して、https://yourcompany.sharepoint.com/ に移動し、テナント制限 v2 ポリシーの許可リストにはないお使いのものとは異なるテナントの ID でサインインします。 このステップを実行するには、プライベート ブラウザー ウィンドウを使用するか、プライマリ アカウントからログアウトしなければならない場合があります。
   1. たとえば、テナントが Contoso の場合は、Fabrikam テナントで Fabrikam ユーザーとしてサインインします。
   2. グローバル セキュア アクセスでテナント制限 v2 のシグナリングが無効になっているため、Fabrikam ユーザーは SharePoint にアクセスできるはずです。
3. 必要に応じて、SharePoint Online を開いた同じブラウザーで、開発者ツールを開くか、キーボードの F12 キーを押します。 ネットワーク ログの取得を開始します。 すべてが期待どおりに動作しているときに、SharePoint 内を移動すると、HTTP 要求が状態 200 を返すことがわかります。
4. 続行する前に、[ログの保持] オプションがオンになっていることを確認します。
5. ログが表示されたブラウザー ウィンドウを開いたままにします。
6. [Microsoft Entra 管理センター] -> [グローバル セキュア アクセス] -> [セッション管理] -> [ユニバーサル テナント制限] でユニバーサル テナント制限を有効にします。
7. Fabrikam ユーザーとして SharePoint Online を開いたブラウザーに、数分以内に新しいログが表示されます。 また、バックエンドで発生した要求と応答に基づいて、ブラウザーが最新の情報に更新される場合があります。 数分経ってもブラウザーが自動的に更新されない場合は、ページを更新してください。
   1. Fabrikam ユーザーは、アクセスがブロックされ、次のメッセージが表示されます。"アクセスがブロックされています。Contoso IT 部門は、アクセスできる組織を制限しています。アクセスを取得するには、Contoso IT 部門にお問い合わせください。​"
8. ログで、状態 302 を検索します。 この行には、トラフィックに適用されているユニバーサル テナント制限が表示されます。
   1. 同じ応答で、ユニバーサル テナント制限が適用されたことを識別する次の情報のヘッダーを確認します。
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

次のステップ

• 強化されたグローバル セキュア アクセス シグナリングを有効にする
• テナント制限 v2 を設定する
• ソース IP の復元
• 条件付きアクセスによる準拠しているネットワークのチェックを有効にする