キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
3830
閲覧回数
6
いいね!
0
コメント
tkitahar
Cisco Employee
Cisco Employee

 

2022 11 29 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、Web ポリシー内で設定可能な「テナント制御 (テナントコントロールとも呼ばれる)」の概要と、対応サービスの 1 つである Microsoft 365 のテナント制御について説明します。

 

※ Web ポリシーを利用するには、SIG または SIG 相当のサブスクリプションが必要です

 

2. テナント制御とは

 

テナント制御とは、管理者によって指定されたテナントのアカウントのみ Web サービスにアクセスできるよう制御する機能で、Umbrella では現在 Microsoft 365, Google G Suite (Google Workspace), Slack に対応しています。

 

例えば、Example 社には Microsoft 365 のテナントが 2 (a.example.com b.example.com) あり、営業部の社員には a.example.com というテナントのみアクセスを許可したい場合、営業部用の Web ポリシー内のMicrosoft 365 のテナント制御で、a.example.com を指定します。

 

tkitahar_0-1669685974210.png

 

これにより、営業部の社員が b.example.com のアカウントで Microsoft 365 にログインしようとしても、エラーが発生しログインできません。

 

なお、Umbrella のテナント制御は、Web プロキシ サーバーである SWG (Secure Web Gateway) が各 Web サービスによって提供されるテナント制御の機能を利用することで実現しており、Umbrella 側で直接アクセス制御を行っているわけではありません (ブロックされた際の画面も Umbrella のものと異なります)

 

具体的な動作としては、ユーザーが対象 Web サービスへログインする際、SWG Web リクエスト内にテナント制御を示す専用の HTTP ヘッダーと許可したいテナント名を埋め込んで、Web サービス側に送ります。

 

Web サービスは、受け取った Web リクエストの HTTP ヘッダーの内容からログイン可能かどうかを判断し、正常またはブロックされたページを返します。

 

このように、SWG HTTP ヘッダーを埋め込む必要があるため、Web ポリシーでテナント制御を利用するには、必ず HTTPS 検査を有効にする必要があります。

 

tkitahar_1-1669686007019.png

 

次項では、サポートしている 3 種類の Web サービスのうち、Microsoft 365 に焦点を置いて説明します。

 

3. Microsoft 365 のテナント制御

 

Microsoft 365 のテナント制御では、OneDrive WordPowerPoint などの Microsoft 365 アプリケーションを制御できます。

 

Control Cloud Access to Microsoft 365

https://docs.umbrella.com/umbrella-user-guide/docs/control-cloud-access-to-office365

 

Umbrella Dashboard のテナント制御の設定画面では、許可したい Tenant Domain を指定する必要があり、オプションで Tenant Directory ID も指定できます (Azure Report )

 

また、Personal Accounts の項目では、個人用の Microsoft 365 アカウントの制御を行うことが可能であり、デフォルトでは許可されます。

 

tkitahar_2-1669686048746.png

 

※ あくまで Microsoft 365 を対象とした制御であり、Hotmail Outlook 単独の個人用アカウントを制御するものではありません

 

なお、Microsoft 365 のテナント制御の詳細な動作や、使われている HTTP ヘッダーの内容については、Microsoft 社のドキュメントを参照してください。

 

Restrict access to a tenant

https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions

 

4.「Microsoft 365 の互換性」との関連性

 

Microsoft 365 のテナント制御を使う上での注意点として、Umbrella Dashboard のポリシー > Web ポリシー > グローバル設定 >Microsoft 365 の互換性」との関係性が挙げられます。

 

tkitahar_3-1669686074906.png

 

Microsoft 365 の互換性」オプションを有効にすると、Microsoft 365 をできるだけ正常に動作させるために、Microsoft 365 に関連する通信は HTTPS 検査の対象から除外されます。

 

ただし、テナント制御も同時に利用できるようにするために、Microsoft 365 へのログインに関連したドメイン (login.microsoftonline.com, login.microsoft.com, and login.windows.net) は復号対象から外されます。

 

これらのドメイン名の特定には、SSL/TLS 通信内の SNI (Server Name Indication) を利用しますが、何らかの理由で通信に SNI が含まれていない場合、HTTPS 検査の除外対象と判別することができないため、結果的にテナント制御が動作しなくなります。

 

Manage Global Settings

https://docs.umbrella.com/umbrella-user-guide/docs/manage-global-settings

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします