自社テナント以外へのアクセス制御 - "テナントの制限" 機能 (Tenant Restrictions)


2017/03/13 :
プロキシ サーバーに追加する HTTP ヘッダーの情報を更新いたしました。

こんにちは、プロダクティビティ担当の和田です。

セキュリティ要件が厳しい組織や業界の場合、Office 365 の利用開始を検討する際、Firewall やプロキシ サーバーでアクセス リスト (ACL) の変更を行い、ホワイトリストに Office 365 で使用するドメイン名や URL を追加して、接続許可の対処をしなければならない場合があります。その際、Office 365 で使用される接続先 URL は全世界共通であるため、自社テナントへの接続を許可すると、他社のテナントや社員が個人契約したテナント、試用版で作成した評価テナントなど、すべての Office 365 テナントへ接続が行えるようになってしまうため、一部のお客様ではこれがセキュリティ リスクとして捉えられてしまうケースがありました。

tenantrestrictions1

これに対応するため、Azure Active Directory の機能拡張を行い、「テナントの制限」 (Tenant Restrictions) 機能が一般提供開始されました。(昨年の Tech Summit 2016 ではお伝えできませんでしたが、ようやくリリースされました!)

この機能を使用すると、組織内 LAN から接続を許可するテナントを制御することができます。テナント制限を実現するには、プロキシ サーバーで以下の 2  つの HTTP ヘッダーを挿入します。

  • Restrict-Access-To-Tenants
  • Restrict-Access-Context

ヘッダーを挿入する パケット・ URL は以下の 3 つのみで OK です。すべてのパケットを SSL インターセプトする必要はありませんので、プロキシ サーバー負荷を軽減できます。

  • login.microsoftonline.com
  • login.windows.net
  • login.microsoft.com

"Restrict-Access-To-Tenants" ヘッダーには、複数のテナント名を指定することができます。複数のテナントを指定する場合はカンマで区切ります。

例) Contoso テナントと Fabrikam テナントのみアクセスを許可したい場合
Restrict-Access-To-Tenants: contoso.onmicrosoft.com,fabrikam.onmicrosoft.com

"Restrict-Access-Context" ヘッダーには、Azure AD のディレクトリ ID を 1 つ指定します。このヘッダーで宣言した Azure AD ディレクトリで、テナント制限のログを確認することができるようになります。

例)テナント制限ポリシーを設定するテナントとして Contoso を宣言する場合
Restrict-Access-Context: 456ff232-35l2-5h23-b3b3-3236w0826f3d

ディレクトリ ID は Azure Portal で確認できます。 管理者としてサインインし、[Azure Active Directory] を選択して、[プロパティ] を選択します。

tenantrestriction2a

Azure AD ではこのヘッダーの有無をチェックして、テナント制限を実現しています。本機能は、Office 365 のサブスクリプションをお持ちのお客様であれば、どなたでもご利用できます。
Office 365 以外の他の SaaS アプリへのアクセスを制御する場合は、Azure AD Premium P1 ライセンスが必要です。

※ 注意 ※
本機能は、組織内 LAN (管理されたプロキシ サーバー) からのテナント アクセス制限を行うための機能であり、社外からのアクセスを制限するための機能ではありません。社外からのアクセス制御を行いたい場合には、引き続き AD FS 等によるアクセス制御が必要です。

tenantrestriction3a

 

本機能を動作させるための諸条件は以下の通りです。

  • SSL インターセプトが行え、指定した URL に対して HTTP ヘッダーを挿入できるプロキシ サーバーがあること (サーバー証明書の実装含む)
  • Office 365 テナント及び クライアント ソフトウェアで、Modern Authentication (先進認証/ADAL) が有効になっていること
  • すべてのクライアントが本プロキシ サーバー経由で Office 365 に接続されること

Azure AD 側の設定等は何も必要ありません。既に本機能は有効化されています。制限がかかっている状態で、クライアントが管理外のテナントにアクセスしようとすると、このように表示され、アクセスを禁止することが出来ます。

tenantrestrictions3

"詳細" をクリックするとアクセス元の情報や制限されている理由が表示されます。

tenantrestriction3a

テナント管理者は Azure ポータルで、

[Azure Active Directory] – [概要] – [その他の機能] – [テナントの制限]

から、ログ レポートにアクセスできます。
このレポートを使用して、ブロックされたサインイン ログを確認することが出来ますので、社内で許可されたテナント以外へアクセスが試行されているか否かをチェックできます。

tenantrestriction4a

tenantrestriction5a

テナントの制限機能の詳細情報はこちらを参照ください。

Title: テナント制限を使用して SaaS クラウド アプリケーションへのアクセスを管理する
URL: https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-tenant-restrictions

Modern Authentication (先進認証/ADAL) の有効化はこちらを参照ください。

Exchange Online、Skype for Business Online、及び Office 2013 では、ADAL は既定で無効化されていますので、有効化設定をお願いします。

Title: Exchange Online の先進認証を有効にする
URL:  https://support.office.com/ja-jp/article/58018196-f918-49cd-8238-56f57f38d662

Title:  Skype for Business Online: Enable your tenant for modern authentication
URL: https://social.technet.microsoft.com/wiki/contents/articles/34339.skype-for-business-online-enable-your-tenant-for-modern-authentication.aspx

Title: Windows デバイスの Office 2013 の先進認証を有効にする
URL: https://support.office.com/ja-jp/article/7dc1c01a-090f-4971-9677-f1b192d6c910

 

なお、現時点では完全なテナントの制限を実現できない点にもご注意ください。テナントの制限を実現するためには、Modern Authentication (先進認証/ADAL) が使用されていることが前提となります。つまり、ブラウザー ベースのアプリケーションでは本機能は完全に機能しますが、レガシー認証を使用するクライアント (Outlook、Skype for Business など) ではこの認証・認可フェーズを迂回するため、テナントの制限を強制することが出来ません。

従いまして、Office 2013 ・ Office 2016 については確実に ADAL が有効化されるようにグループ ポリシーを適用したり、インベントリで Office 2010 以前の旧バージョンが組織内に存在しないことを管理・徹底した上で、Outlook の場合は、グループ ポリシーで既定以外の Exchange アカウントの追加を禁止するなどの対処をご検討ください。Skype for Business や Windows プラットフォーム以外の Outlook 等については、今後、Modern Authentication がサービス全体で既定で有効になる際に、完全にサポートされる予定です。

 

Skip to main content