次の方法で共有

ユニバーサル テナントの制限

  • [アーティクル]

ユニバーサル テナント制限はグローバル セキュア アクセスを使用してテナント制限 v2 の機能を強化し、オペレーティング システム、ブラウザー、またはデバイス フォーム ファクターに関係なく、すべてのトラフィックにタグ付けします。 これにより、クライアントおよびリモート ネットワーク接続の両方のサポートが可能となります。 管理者は、プロキシ サーバーの構成や複雑なネットワーク構成を管理する必要がなくなります。

ユニバーサル テナント制限では、認証プレーン (一般公開) とデータ プレーン (プレビュー) の両方に対してグローバル セキュア アクセス ベースのポリシー シグナリングを使用して、これを適用します。 テナント制限 v2 では、企業は Microsoft Entra に統合された Microsoft Graph、SharePoint Online、Exchange Online のようなアプリケーションの外部テナント ID を使用して、ユーザーによるデータ流出を防ぐことができます。 これらのテクノロジが連携することで、すべてのデバイスとネットワーク全体でデータ流出が防止されます。

テナント制限 v2 で悪意のあるユーザーに対して防御する方法を示す図。

次の表では、前の図の各ポイントで実行する手順について説明します。

Step 説明
1 Contoso が、テナント間アクセスの設定で **テナント制限 v2** ポリシーを構成して、すべての外部アカウントと外部アプリをブロックします。 Contoso は、Global Secure Access のユニバーサル テナント制限を使用してポリシーを適用します。
2 Contoso マネージド デバイスを使用しているユーザーが、承認されていない外部 ID を持つ Microsoft Entra 統合アプリにアクセスしようとします。
3 "認証プレーン保護": Contoso のポリシーでは Microsoft Entra ID を使い、認証されていない外部アカウントによる外部テナントへのアクセスをブロックしています。
4 "データ プレーンの保護": ユーザーが、Contoso のネットワークの外部で取得した認証応答トークンをコピーし、デバイスにそれを貼り付けることで、外部アプリケーションに再びアクセスしようとすると、ブロックされます。 トークンの不一致によって再認証がトリガーされ、アクセスがブロックされます。 SharePoint Online の場合、匿名でリソースにアクセスしようとするとブロックされます。

ユニバーサル テナント制限は、ブラウザー、デバイス、ネットワーク間でのデータ流出防止に次のように役立ちます。

  • これにより、Microsoft Entra ID、Microsoft アカウント、Microsoft アプリケーションで、関連付けられたテナント制限 v2 ポリシーを検索して適用できるようになります。 この検索により、一貫性のあるポリシー適用が実現します。
  • サインイン時に認証プレーンで、Microsoft Entra に統合されたすべてのサードパーティ製アプリと連携します。
  • データ プレーン保護のために Exchange、SharePoint、Microsoft Graph と連携する (プレビュー)

前提条件

既知の制限事項

  • データ プレーン保護機能はプレビュー段階です (認証プレーンの保護は一般公開されています)
  • ユニバーサル テナント制限を有効にしていて、許可リストに登録されているいずれかの許可テナントの Microsoft Entra 管理センターにアクセスしている場合、"アクセスが拒否されました" というエラーが表示されることがあります。 Microsoft Entra 管理センターに次の機能フラグを追加してください。
    • ?feature.msaljs=true&exp.msaljsexp=true
    • たとえば、Contoso に勤務していて、Fabrikam をパートナー テナントとして許可リストに登録しているとします。 Fabrikam テナントの Microsoft Entra 管理センターのエラー メッセージが表示される場合があります。
      • URL https://entra.microsoft.com/ について "アクセスが拒否されました" というエラー メッセージが表示された場合は、機能フラグ https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home を追加します。

テナント制限 v2 ポリシーを構成する

組織でユニバーサル テナント制限を使用するには、既定のテナント制限と特定のパートナーに対するテナント制限の両方を構成する必要があります。

これらのポリシーを構成する方法の詳細については、「テナント制限 V2 を設定する」の記事を参照してください。

テナント制限 v2 のタグ付けを有効にする

テナント制限 v2 ポリシーを作成したら、グGlobal Secure Access を使ってテナント制限 v2 のタグ付けを適用できます。 Global Secure Access 管理者セキュリティ管理者の両方のロールを持つ管理者が以下の手順を実行して、Global Secure Access での適用を有効にする必要があります。

  1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
  2. [グローバル セキュア アクセス]>[設定]>[セッション管理]>[ユニバーサル テナント制限] の順に参照します。
  3. トグルで [(すべてのクラウド アプリを対象とする) Entra ID のテナント制限を有効にする] を選択します。

ユニバーサル テナント制限を試してみる

ポリシーが構成されているテナント内のリソースにユーザー (またはゲスト ユーザー) がアクセスしようとした場合、テナント制限は適用されません。 テナント制限 v2 のポリシーは、別のテナントの ID がリソースへのサインインまたはアクセスを試みた場合にのみ処理されます。 たとえば、テナント contoso.com でテナント制限 v2 ポリシーを構成して、fabrikam.com 以外のすべての組織をブロックする場合、ポリシーは次の表に従って適用されます。

User Type テナント TRv2 ポリシーは処理されているか? 認証済みアクセスは許可されているか? 匿名アクセスは許可されているか?
alice@contoso.com メンバー contoso.com いいえ (同じテナント) はい いいえ
alice@fabrikam.com メンバー fabrikam.com はい はい (テナントはポリシーにより許可されている) いいえ
bob@northwinds.com メンバー northwinds.com はい いいえ (テナントはポリシーにより許可されていない) いいえ
alice@contoso.com メンバー contoso.com いいえ (同じテナント) はい いいえ
bob_northwinds.com#EXT#@contoso.com ゲスト contoso.com いいえ (ゲスト ユーザー) はい いいえ

認証プレーンの保護を検証する

  1. グローバル セキュア アクセスの設定で、ユニバーサル テナント制限のシグナリングがオフになっていることを確認します。
  2. ブラウザーを使用して、https://myapps.microsoft.com/ に移動し、テナント制限 v2 ポリシーの許可リストにはないお使いのものとは異なるテナントの ID でサインインします。 このステップを実行するには、プライベート ブラウザー ウィンドウを使用するか、プライマリ アカウントからログアウトしなければならない場合があります。
    1. たとえば、テナントが Contoso の場合は、Fabrikam テナントで Fabrikam ユーザーとしてサインインします。
    2. グローバル セキュア アクセスでテナント制限のシグナリングが無効になっているため、Fabrikam ユーザーは MyApps ポータルにアクセスできるはずです。
  3. [Microsoft Entra 管理センター] -> [グローバル セキュア アクセス] -> [セッション管理] -> [ユニバーサル テナント制限] でユニバーサル テナント制限を有効にします。
  4. MyApps ポータルからサインアウトし、ブラウザーを再起動します。
  5. エンド ユーザーとして、グローバル セキュア アクセス クライアントが実行されている状態で、同じ ID (Fabrikam テナントの Fabrikam ユーザー) を使用して https://myapps.microsoft.com/ にアクセスします。
    1. Fabrikam ユーザーは、次のエラー メッセージが表示され、MyApps への認証がブロックされます。"アクセスがブロックされています。Contoso IT 部門は、アクセスできる組織を制限しています。アクセスを取得するには、Contoso IT 部門にお問い合わせください。​"

データ プレーンの保護を検証する

  1. グローバル セキュア アクセスのグローバル設定で、ユニバーサル テナント制限のシグナリングがオフになっていることを確認します。
  2. ブラウザーを使用して、https://yourcompany.sharepoint.com/ に移動し、テナント制限 v2 ポリシーの許可リストにはないお使いのものとは異なるテナントの ID でサインインします。 このステップを実行するには、プライベート ブラウザー ウィンドウを使用するか、プライマリ アカウントからログアウトしなければならない場合があります。
    1. たとえば、テナントが Contoso の場合は、Fabrikam テナントで Fabrikam ユーザーとしてサインインします。
    2. グローバル セキュア アクセスでテナント制限 v2 のシグナリングが無効になっているため、Fabrikam ユーザーは SharePoint にアクセスできるはずです。
  3. 必要に応じて、SharePoint Online を開いた同じブラウザーで、開発者ツールを開くか、キーボードの F12 キーを押します。 ネットワーク ログの取得を開始します。 すべてが期待どおりに動作しているときに、SharePoint 内を移動すると、HTTP 要求が状態 200 を返すことがわかります。
  4. 続行する前に、[ログの保持] オプションがオンになっていることを確認します。
  5. ログが表示されたブラウザー ウィンドウを開いたままにします。
  6. [Microsoft Entra 管理センター] -> [グローバル セキュア アクセス] -> [セッション管理] -> [ユニバーサル テナント制限] でユニバーサル テナント制限を有効にします。
  7. Fabrikam ユーザーとして SharePoint Online を開いたブラウザーに、数分以内に新しいログが表示されます。 また、バックエンドで発生した要求と応答に基づいて、ブラウザーが最新の情報に更新される場合があります。 数分経ってもブラウザーが自動的に更新されない場合は、ページを更新してください。
    1. Fabrikam ユーザーは、アクセスがブロックされ、次のメッセージが表示されます。"アクセスがブロックされています。Contoso IT 部門は、アクセスできる組織を制限しています。アクセスを取得するには、Contoso IT 部門にお問い合わせください。​"
  8. ログで、状態 302 を検索します。 この行には、トラフィックに適用されているユニバーサル テナント制限が表示されます。
    1. 同じ応答で、ユニバーサル テナント制限が適用されたことを識別する次の情報のヘッダーを確認します。
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

次のステップ