テナント制御
Gatewayテナント制御を使用すると、ユーザーが企業のSaaSアプリケーションにアクセスできるようにしながら、個人用アプリケーションへのアクセスをブロックできます。これにより、企業ネットワークからの機密データや機密情報の漏洩を防ぐことができます。
Allowアクションを持つHTTPポリシーを作成する際に、カスタムヘッダーを設定するオプションがあります。Gatewayはカスタムヘッダーを使用してSaaSアプリケーションへのアクセスを制御できます。ユーザーのHTTPリクエストがSaaSアプリケーションのための組織のアカウントに向かっている場合、Gatewayはリクエストを承認します。リクエストがヘッダーの情報と一致しない場合、Gatewayはリクエストをブロックします。
カスタムヘッダーを持つHTTPポリシーを作成するには:
- Zero Trust ↗に移動し、Gateway > Firewall Policiesを選択します。HTTPを選択します。
- Add a policyを選択します。
- 制御したいSaaSトラフィックに一致する式を構築します。
- Actionで、_Allow_を選択します。Untrusted certificate actionで、_Block_を選択します。
- Add headers to matched requestsの下で、Add a headerを選択します。
- SaaSアプリケーションに対応するカスタムヘッダー名と値を追加します。
- Create policyを選択します。
ポリシーは、HTTPポリシーのリストに表示されます。ユーザーが設定したSaaSアプリケーションに個人アカウントで認証を試みると、認証は失敗します。
組織がアクセスする必要があるSaaSアプリケーションに応じて、異なるテナント制御ポリシーが必要です。
Microsoft 365テナント制御には2つのポリシーが必要です。ポリシーの順序を設定する際は、優先順位の順序に従っていることを確認してください。
| Precedence | Selector | Operator | Value | Action | Untrusted certificate action |
|---|---|---|---|---|---|
| 1 | Domain | is | login.live.com | Allow | Block |
| Custom header name | Custom header value |
|---|---|
Sec-Restrict-Tenant-Access-Policy | restrict-msa |
| Precedence | Selector | Operator | Value | Action | Untrusted certificate action |
|---|---|---|---|---|---|
| 2 | Application | in | Microsoft Office365 | Allow | Block |
| Custom header name | Custom header value |
|---|---|
Restrict-Access-To-Tenants, Restrict-Access-Context | あなたの組織のドメイン |
詳細については、Microsoft Entra IDのドキュメント ↗を参照してください。
| Selector | Operator | Value | Action | Untrusted certificate action |
|---|---|---|---|---|
| Application | in | Google Workspace | Allow | Block |
| Custom header name | Custom header value |
|---|---|
X-GooGApps-Allowed-Domains | あなたの組織のドメイン |
詳細については、Google Workspaceのドキュメント ↗を参照してください。
| Selector | Operator | Value | Action | Untrusted certificate action |
|---|---|---|---|---|
| Application | in | Slack | Allow | Block |
| Custom header name | Custom header value |
|---|---|
X-Slack-Allowed-Workspaces-Requester, X-Slack-Allowed-Workspaces | あなたの組織のワークスペース |
詳細については、Slackのドキュメント ↗を参照してください。
| Selector | Operator | Value | Action | Untrusted certificate action |
|---|---|---|---|---|
| Application | in | Dropbox | Allow | Block |
| Custom header name | Custom header value |
|---|---|
X-Dropbox-allowed-Team-Ids | あなたの組織のID |
詳細については、Dropboxのドキュメント ↗を参照してください。
Browser Isolationを設定してカスタムヘッダーを送信できます。これは、孤立したSaaSアプリケーションのテナント制御を実装したり、孤立したウェブサイトに任意のカスタムリクエストヘッダーを送信したりするのに便利です。
ブラウザ分離でカスタムヘッダーを使用するには、同じドメインまたはアプリケーショングループを対象とした2つのHTTPポリシーを作成します。たとえば、HTTPリクエストのテスト用のオープンソースサイトであるhttpbin ↗のポリシーを作成できます。
-
httpbin.orgのためのIsolateポリシーを作成します。Selector Operator Value Action Domain in httpbin.orgIsolate -
カスタムヘッダーを持つ
httpbin.orgのAllowポリシーを作成します。Selector Operator Value Action Domain in httpbin.orgAllow Custom header name Custom header value Example-Headerexample-value -
httpbin.org/anything↗に移動します。Cloudflareはサイトを孤立したブラウザでレンダリングします。あなたのカスタムヘッダーはヘッダーのリストに表示されます。