ユニバーサル テナントの制限

ユニバーサル テナント制限はテナント制限 v2 の機能を強化し、Global Secure Access (プレビュー) を使用して、オペレーティング システム、ブラウザー、またはデバイス フォーム ファクターに関係なく、すべてのトラフィックにタグを付けます。 これにより、クライアントおよびリモート ネットワーク接続の両方のサポートが可能となります。 管理者は、プロキシ サーバーの構成や複雑なネットワーク構成を管理する必要がなくなります。

ユニバーサル テナント制限では、認証とデータ プレーンの両方に対して Global Secure Access ベースのポリシー シグナリングを使用して、これを適用します。 テナント制限 v2 では、企業は Microsoft Entra に統合された Microsoft Graph、SharePoint Online、Exchange Online のようなアプリケーションの外部テナント ID を使用して、ユーザーによるデータ流出を防ぐことができます。 これらのテクノロジが連携することで、すべてのデバイスとネットワーク全体でデータ流出が防止されます。

次の表では、前の図の各ポイントで実行する手順について説明します。

手順	説明
1	Contoso は、テナント間アクセスの設定でテナント制限 v2 ポリシーを構成して、すべての外部アカウントと外部アプリをブロックします。 Contoso は、Global Secure Access のユニバーサル テナント制限を使用してポリシーを適用します。
2	Contoso マネージド デバイスを使用しているユーザーが、承認されていない外部 ID を持つ Microsoft Entra 統合アプリにアクセスしようとします。
3	トラフィックが Microsoft の Security Service Edge に到達すると、HTTP ヘッダーが要求に追加されます。 そのヘッダーには、Contoso のテナント ID とテナント制限ポリシー ID が含まれています。
4	認証プレーンの保護: Microsoft Entra ID で認証要求のヘッダーを使ってテナント制限ポリシーが検索されます。 Contoso のポリシーにより、承認されていない外部アカウントでの外部テナントへのアクセスがブロックされます。
5	"データ プレーンの保護": ユーザーが、Contoso のネットワークの外部で取得した認証応答トークンをコピーし、デバイスにそれを貼り付けることで、外部アプリケーションに再びアクセスしようとすると、ブロックされます。 リソース プロバイダーによって、トークン内の要求とパケット内のヘッダーが一致することが確認されます。 トークンとヘッダーが一致しない場合は、再認証がトリガーされ、アクセスがブロックされます。

ユニバーサル テナント制限は、ブラウザー、デバイス、ネットワーク間でのデータ流出防止に次のように役立ちます。

• 認証制御と Microsoft 365 エンドポイントへのデータ パスの両方で、クライアント レベルで送信 HTTP トラフィックのヘッダーに次の属性を挿入します。
  • デバイス テナントのクラウド ID
  • デバイス テナントのテナント ID
  • デバイス テナントのテナント制限 v2 ポリシー ID
• これにより、Microsoft Entra ID、Microsoft アカウント、Microsoft 365 アプリケーションで、この特別な HTTP ヘッダーを解釈して、関連付けられているテナント制限 v2 ポリシーの検索と適用が可能になります。 この検索により、一貫性のあるポリシー適用が実現します。
• サインイン時に認証プレーンで、Microsoft Entra に統合されたすべてのサードパーティ製アプリと連携します。
• データ プレーン保護のために Exchange、SharePoint、Microsoft Graph と連携します。

前提条件

• Global Secure Access プレビュー機能を操作する管理者は、実行するタスクに応じて、次のロールの割り当ての 1 つ以上を持っている必要があります。
  • Global Secure Access プレビュー機能を管理するための Global Secure Access 管理者ロール
  • 条件付きアクセス ポリシーとネームド ロケーションを作成および操作するための、条件付きアクセス管理者またはセキュリティ管理者ロール。
• プレビュー版を実行するための Microsoft Entra ID P1 ライセンスがあること。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。

既知の制限事項

• ユニバーサル テナント制限を有効にしていて、許可リストに登録されているいずれかの許可テナントの Microsoft Entra 管理センターにアクセスしている場合、"アクセスが拒否されました" というエラーが表示されることがあります。 Microsoft Entra 管理センターに次の機能フラグを追加してください。
  • ?feature.msaljs=true&exp.msaljsexp=true
  • たとえば、Contoso に勤務していて、Fabrikam をパートナー テナントとして許可リストに登録しているとします。 Fabrikam テナントの Microsoft Entra 管理センターのエラー メッセージが表示される場合があります。
    • URL https://entra.microsoft.com/ について "アクセスが拒否されました" というエラー メッセージが表示された場合は、機能フラグ https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home を追加します。

Outlook では、一部の通信に QUIC プロトコルが使用されます。 現在、QUIC プロトコルはサポートされていません。 組織はファイアウォール ポリシーを使用して QUIC をブロックし、QUIC 以外のプロトコルにフォールバックできます。 次の PowerShell コマンドは、このプロトコルをブロックするファイアウォール規則を作成します。

@New-NetFirewallRule -DisplayName "Block QUIC for Exchange Online" -Direction Outbound -Action Block -Protocol UDP -RemoteAddress 13.107.6.152/31,13.107.18.10/31,13.107.128.0/22,23.103.160.0/20,40.96.0.0/13,40.104.0.0/15,52.96.0.0/14,131.253.33.215/32,132.245.0.0/16,150.171.32.0/22,204.79.197.215/32,6.6.0.0/16 -RemotePort 443 

テナント制限 v2 ポリシーを構成する

組織でユニバーサル テナント制限を使用するには、既定のテナント制限と特定のパートナーに対するテナント制限の両方を構成する必要があります。

これらのポリシーを構成する方法の詳細については、「テナント制限 V2 を設定する (プレビュー)」の記事を参照してください。

テナント制限 v2 のタグ付けを有効にする

テナント制限 v2 ポリシーを作成したら、グGlobal Secure Access を使ってテナント制限 v2 のタグ付けを適用できます。 Global Secure Access 管理者とセキュリティ管理者の両方のロールを持つ管理者が以下の手順を実行して、Global Secure Access での適用を有効にする必要があります。

1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。
2. [Global Secure Access]>[グローバル設定]>[セッション管理]>[テナントの制限] に移動します。
3. タグ付けを有効にしてネットワークにテナント制限を適用するためのトグルを選びます。
4. [保存] を選択します。

SharePoint Online でユニバーサル テナント制限を試す

この機能は、Exchange Online と Microsoft Graph で同じように機能します。以下の例では、ご自身の環境で動作していることを確認する方法について説明します。

認証パスを試す:

1. Global Secure Access のグローバル設定で、ユニバーサル テナント制限はオフになっています。
2. テナント制限 v2 ポリシーの許可リストにない外部 ID を使用して、SharePoint Online https://yourcompanyname.sharepoint.com/ に移動します。
   1. たとえば、Fabrikam テナントの Fabrikam ユーザーなどです。
   2. Fabrikam ユーザーは SharePoint Online にアクセスできます。
3. ユニバーサル テナント制限を有効にします。
4. Global Secure Access クライアントを実行しているエンド ユーザーとして、明示的に許可されていない外部 ID を使用して SharePoint Online に移動します。
   1. たとえば、Fabrikam テナントの Fabrikam ユーザーなどです。
   2. Fabrikam ユーザーは、次のようなエラー メッセージで SharePoint Online へのアクセスをブロックされます。
      1. アクセスがブロックされました。Contoso IT 部門により、アクセスできる組織が制限されています。 アクセスを取得するには、Contoso IT 部門にお問い合わせください。​

データ パスを試す

1. Global Secure Access のグローバル設定で、ユニバーサル テナント制限はオフになっています。
2. テナント制限 v2 ポリシーの許可リストにない外部 ID を使用して、SharePoint Online https://yourcompanyname.sharepoint.com/ に移動します。
   1. たとえば、Fabrikam テナントの Fabrikam ユーザーなどです。
   2. Fabrikam ユーザーは SharePoint Online にアクセスできます。
3. SharePoint Online を開いた同じブラウザーで、[開発者ツール] に移動するか、キーボードの F12 キーを押します。 ネットワーク ログの取得を開始します。 すべてが想定どおりに動作すると、状態 200 が表示されます。
4. 続行する前に、[ログの保持] オプションがオンになっていることを確認します。
5. ログが表示されたブラウザー ウィンドウを開いたままにします。
6. ユニバーサル テナント制限を有効にします。
7. Fabrikam ユーザーとして SharePoint Online を開いたブラウザーに、数分以内に新しいログが表示されます。 また、バックエンドで発生した要求と応答に基づいて、ブラウザーが最新の情報に更新される場合があります。 数分後にブラウザーが自動的に更新されない場合は、SharePoint Online を開いた状態のブラウザーで [更新] をクリックします。
   1. Fabrikam ユーザーは、次のようにアクセスがブロックされていることを確認します。
      1. アクセスがブロックされました。Contoso IT 部門により、アクセスできる組織が制限されています。 アクセスを取得するには、Contoso IT 部門にお問い合わせください。​
8. ログで、状態 302 を探します。 この行には、トラフィックに適用されているユニバーサル テナント制限が表示されます。
   1. 同じ応答で、ユニバーサル テナント制限が適用されたことを識別する次の情報のヘッダーを確認します。
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

利用条件

Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項、Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。

次のステップ

Microsoft Entra Internet Access を使い始めるための次のステップは、強化された Global Secure Access シグナリングを有効にすることです。

Global Secure Access (プレビュー) の条件付きアクセス ポリシーの詳細については、次の記事を参照してください。

• テナント制限 V2 を設定する (プレビュー)
• ソース IP の復元
• 条件付きアクセスによる準拠しているネットワークのチェックを有効にする