Tenant Restrictions v2 で管理端末から組織外 Microsoft アカウントへのログインをブロックしてみた
はじめに
Microsoft 365 を業務利用している企業では、特に制御を行っていない場合、業務端末から個人 Microsoft アカウントや外部組織の Microsoft 365 テナントへアクセスできます。
たとえば、以下のような操作です。
- 会社PCから個人の Microsoft アカウントで Office.com にサインインする
- 会社PCから外部テナントの Microsoft 365 環境へサインインする
このような経路は、データ持ち出しやシャドーITの観点でリスクになります。
本記事では、Tenant Restrictions v2(テナント制限 v2)[1]を Intune から Windows デバイスへ配布し、管理対象端末から自社テナントのみアクセス可能にする構成を検証しました。
[1]:テナント制限 v2 を設定する
特に今回は、以下の点を中心に整理します。
- Tenant Restrictions v2 で何を防げるのか
- Entra 管理センター側で作成するポリシーと Intune 側設定の関係
- Edge / Chrome / Firefox での挙動差
テナント制限 v2 とは
Tenant Restrictions v2 は、ざっくりいうと、
管理対象ネットワークまたは管理対象デバイスから、許可していない Microsoft テナント / Microsoft アカウントへのアクセスを制限する仕組み
です。
Tenant Restrictions v2 の概要[1]
以下を防ぎたい場合に役立ちます。
- 業務端末から個人 Microsoft アカウントへサインインされること
- 業務端末から個人 OneDrive へファイルをアップロードされること
- 業務端末から外部テナントの SharePoint / Teams / M365 にアクセスされること
- 管理外テナントを経由したデータ持ち出し
- シャドーIT的な Microsoft 365 利用
従来の URL フィルタリングだけでは、Microsoft 365 のように多数のサービス・認証フロー・API を持つ環境をきれいに制御するのは難しいです。
Tenant Restrictions v2 では、Microsoft Entra ID 側のテナント制限ポリシーと、端末またはネットワーク側から送信されるシグナルを組み合わせることで、
この端末 / ネットワークからは、このテナント制限ポリシーに従ってアクセスを判定してください
という制御を実現します。
今回の検証構成では、制御している PC において以下の挙動となることを実現します。
- 自社テナントアカウント:アクセス許可
- 個人 Microsoft アカウント:アクセス拒否
設定後の動きの説明
設定後、管理対象端末から Microsoft 365 へアクセスすると、自社テナントのアカウントのみサインイン可能 になります。
今回の検証では、個人 Microsoft アカウントで Office.com へサインインしようとしたところ、以下のようにブロックされました。
設定手順
ここから設定手順を整理します。
大きく分けると、作業は2つです。
- Entra 管理センター側で Tenant Restrictions v2 のポリシーを作成する
- Intune から Windows デバイスへ Tenant Restrictions の構成を配布する
1. Entra 管理センター側で Tenant Restrictions v2 ポリシーを作成する
まず、Entra 管理センターで制限ルール本体を作成します。
1-1. Entra 管理センターへアクセス
以下へアクセスします。
https://entra.microsoft.com
1-2. テナント制限の設定画面へ移動
以下の順に移動します。
External Identities
→ テナント間アクセス設定
→ テナントの制限
1-3. 既定のテナント制限を編集
既定のテナント制限を編集し、外部ユーザー・外部アプリケーションに対するアクセス制御を設定します。
今回の検証では、管理対象端末から自社テナント以外へアクセスさせないことを目的として、以下のような設定にします。
- 外部ユーザーとグループ:アクセスをブロック
- 外部アプリケーション:アクセスをブロック
- 対象:すべての外部ユーザー / すべての外部アプリケーション
Tenant Restrictions v2 の画面には、上記のように2つの値が表示されています。
- テナント ID
- ポリシー ID
- ポリシー ID は初期は表示されていない場合があります。その場合はポリシー ID の箇所に表示されている「ポリシー ID を作成」をクリックすると作成されます
参考画像 [1]
この2つは、後で Intune の Cloud Policy Details に入力します。
2. Intune から Windows デバイスへポリシーを配布する
次に、Intune から Windows デバイスへ Tenant Restrictions v2 を有効化する構成を配布します。
2-1. Intune 管理センターへアクセス
https://intune.microsoft.com
2-2. 構成プロファイルを作成
以下の順に移動します。
デバイス
→ Windows
→ 構成
→ 作成
プロファイルは以下のように作成します。
- プラットフォーム:Windows 10 and later
- プロファイルの種類:設定カタログ
2-3. Tenant Restrictions の設定を追加
設定カタログの設定ピッカーで、検索欄に Tenant と入力します。
以下を選択します。
管理用テンプレート/Windows コンポーネント/テナントの制限
→ Cloud Policy Details
2-4. Cloud Policy Details を設定
構成設定の Cloud Policy Details で以下を設定します。
| 項目 | 設定値 |
|---|---|
| Azure AD Directory ID | Entra 側で控えたテナント ID |
| Policy GUID | Entra 側で控えたポリシー ID |
| Enable firewall protection of Microsoft endpoints | True |
Enable firewall protection of Microsoft endpoints は True に設定します。
この設定を有効化することで、Chrome / Firefox など、Tenant Restrictions v2 のネイティブ保護を持たないブラウザからの Microsoft リソースアクセスにも制御が効くようになります。
この設定を無効化した場合、Microsoft Edge では Tenant Restrictions v2 が効く一方で、Chrome / Firefox からは個人 Microsoft アカウントへサインインできてしまいました。
つまり、Firewall protection を無効のままにすると、
Edge では制御できるが、Chrome / Firefox が抜け道になる
という状態になります。
そのため、今回のように「管理対象端末から自社テナントのみアクセスさせたい」という目的であれば、Firewall protection は有効化するのが自然です。
3. 割り当て
包含されたグループにて、対象グループを設定します。
今回は Windows デバイスへ適用する設定のため、ユーザーグループではなく、デバイスグループ への割り当てを推奨します。
4. デバイス側で同期する
対象端末で Intune の同期を実行します。
設定
→ アカウント
→ 職場または学校にアクセス
→ 対象アカウントを選択
→ 情報
→ 同期
または、PowerShell / コマンドで以下を実行します。
dsregcmd /sync
ポリシー反映後、ブラウザを再起動します。
実際の動きの確認
設定後、実際に以下の観点で動作確認しました。
Edge で個人 Microsoft アカウントへサインイン
Office.com にアクセスし、個人 Microsoft アカウントでサインインを試みます。
結果、以下のようにブロックされました。
Chrome で個人 Microsoft アカウントへサインイン
次に Chrome でも同じ操作をしました。
Firewall protection を True にしているため、Chrome でも個人 Microsoft アカウントへのサインインはブロックされました。
Firefox で個人 Microsoft アカウントへサインイン
Firefox でも同様に、個人 Microsoft アカウントへのサインインがブロックされました。
自社テナントアカウントでサインイン
一方、自社テナントのアカウントでは各ブラウザ共に正常にサインインできました。
動作確認結果
| ブラウザ | 個人 Microsoft アカウント | 自社テナントアカウント |
|---|---|---|
| Edge | ブロック | 許可 |
| Chrome | ブロック | 許可 |
| Firefox | ブロック | 許可 |
今回の目的である、
管理対象端末から自社テナントのみアクセスさせる
という動作は確認できました。
まとめ
Tenant Restrictions v2 は、管理対象端末から 自社テナント以外の Microsoft 365 / Microsoft アカウント利用を制限する ための強力な仕組みです。
本設定は以下のような用途に向いています。
- 会社PCから個人 Microsoft アカウントへのサインインを禁止する
- 個人 OneDrive / 外部 SharePoint へのデータ持ち出しを抑止する
- 外部テナントの Microsoft 365 環境へのアクセスを制限する
- シャドーIT的な Microsoft 365 利用を抑止する
- Microsoft 365 利用におけるゼロトラスト制御を強化する
今回の検証で特に重要だったポイントは以下です。
- Tenant Restrictions v2 は Entra 側の制限ルールと Windows / Intune 側のシグナル配布で構成される
-
Enable firewall protection of Microsoft endpointsを無効にすると、Chrome / Firefox から個人 Microsoft アカウントへサインインできてしまい、抜け道になります。 - Firewall protection を有効化すると、今回の検証では Chrome / Firefox でも個人 Microsoft アカウントへのサインインがブロックされた
個人的には、Tenant Restrictions v2 は「URLで止める」よりもかなり Microsoft 365 らしい制御だと感じました。
特に、Microsoft 365 を全社利用している組織では「管理対象端末からは、自社テナントだけを使わせる」という制御は、データ持ち出し対策としてかなり有効です。
一方で、Preview 機能や Windows 側の実装に依存する部分もあるため、本番導入時には以下の動作をきちんと確認した方がよさそうです。
- 対象OS / ビルド差異
- Chrome / Firefox / Edge の挙動
- Office / Teams / OneDrive アプリの挙動
- PowerShell / Graph SDK / Azure CLI の挙動
- WDAC / App Control for Business の必要性
- Global Secure Access を使う構成との比較
本記事が、Tenant Restrictions v2 を検証する際の参考になれば幸いです。
Discussion