購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
5383
閲覧回数
6
いいね!
0
コメント

Umbrella: Microsoft 365 のテナント制御 (コントロール) について

tkitahar
Cisco Employee
Cisco Employee

‎2022-11-29 10:55 AM ‎2025-02-03 04:01 PM 更新

 

2025 年 2 月 3 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、Web ポリシー内で設定可能な「テナント制御 (コントロール)」の概要と、対応サービスの 1 つである Microsoft 365 のテナント制御について説明します。

 

※ Web ポリシーを利用するには、SIG または SIG 相当のサブスクリプションが必要です

 

2. テナント制御とは

 

テナント制御とは、管理者によって指定されたテナントのアカウントのみが Web サービスにアクセスできるよう制御する機能で、Umbrella では現在 Microsoft 365, Google G Suite (Google Workspace), Slack, Dropbox に対応しています。

 

例えば、Example 社には Microsoft 365 のテナントが 2 (a.example.com b.example.com) あり、営業部の社員には a.example.com というテナントのみアクセスを許可したい場合、まずは Umbrella ダッシュボードの「ポリシー」>「ポリシーコンポーネント」>「テナント制御」で新しいテナント制御を作り、Microsoft 365 の「テナントドメイン/ID」に a.example.com を追加し、保存します。

 

tkitahar_1-1738563550708.png

 

その後、「ポリシー」>「管理」>「Web ポリシー」内の営業部用のルールセットを開き、「テナントコントロール」に先ほど作成したテナント制御を設定します。

 

tkitahar_2-1738563740924.png

 

これにより、営業部の社員が b.example.com のアカウントで Microsoft 365 にログインしようとしても、ブロックされてしまい、ログインできません。

 

このテナント制御は、Web プロキシ サーバーである SWG (Secure Web Gateway) が各 Web サービスによって提供されるテナント制御の機能を利用することで実現しており、Umbrella 側で直接ブロックを行っているわけではありません。

 

その証拠に、ブロックされた際の画面は Umbrella のものではなく、サービス側が提供するものとなります。また、アクティビティ検索には「許可 - テナント制御」と記録されます。

 

tkitahar_4-1738564833232.png

 

さて、テナント制御の具体的な動作についてですが、ユーザーが対象 Web サービスへログインする際、SWG Web リクエスト内に、テナント制御用の HTTP ヘッダーと許可したいテナントを識別するための情報を埋め込んで、Web サービス側に送ります。

 

Web サービスは、受け取った Web リクエストの HTTP ヘッダーの内容から、ログインを許可するかどうかを判断し、正常またはブロックされたページを返します。

 

このように、SWG は Web リクエストに HTTP ヘッダーを埋め込む必要があるため、Web ポリシーでテナント制御を利用するには、必ず HTTPS 検査 (SSL/TLS 復号) を有効にする必要があります。

 

tkitahar_1-1669686007019.png

 

次項では、サポートしている Web サービスのうち、Microsoft 365 に焦点を置いて説明します。

 

3. Microsoft 365 のテナント制御

 

Microsoft 365 のテナント制御では、OneDrive WordPowerPoint などの Microsoft 365 アプリケーションを制御できます。

 

Control Cloud Access to Microsoft 365

https://docs.umbrella.com/umbrella-user-guide/docs/control-cloud-access-to-office365

 

Microsoft 365 用の設定画面では、許可したいテナントのドメイン/ID を指定する必要があり、オプションでテナントディレクトリ ID も指定できます (Azure レポート)

 

また、個人アカウントの項目では、個人用の Microsoft 365 アカウントの制御を行うことが可能であり、デフォルトでは許可されます。

 

tkitahar_3-1738564279165.png

 

Microsoft 365 のテナント制御の詳細な動作や、使われている HTTP ヘッダーの内容について知りたい場合は、Microsoft 社のドキュメントを参照してください。

 

Restrict access to a tenant

https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions

 

4.「Microsoft 365 の互換性」との関連性

 

Microsoft 365 のテナント制御を使う上での注意点として、Umbrella ダッシュボードの「ポリシー」>「管理」>「Web ポリシー」画面の「グローバル設定」にある「Microsoft 365 の互換性」との関係性が挙げられます。

 

tkitahar_3-1669686074906.png

 

Microsoft 365 の互換性」オプションを有効にすると、Microsoft 365 をできるだけ正常に動作させるために、Microsoft 365 に関連する通信は HTTPS 検査の対象から除外されます。

 

ただし、テナント制御も同時に利用できるようにするために、Microsoft 365 へのログインに関連したドメイン (login.microsoftonline.com, login.live.com, login.microsoft.com, and login.windows.net) は HTTPS 検査の対象となります。

 

なお、これらのドメイン名の特定には、SSL/TLS 通信内の SNI (Server Name Indication) を利用しますが、何らかの理由で通信に SNI が含まれていない場合、HTTPS 検査の対象かどうかを判別できないため、結果的にテナント制御が動作しなくなります。

 

Manage Global Settings

https://docs.umbrella.com/umbrella-user-guide/docs/manage-global-settings

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents