Microsot 365 を組織で利用していると、組織外のテナントへのアクセスを制限したくなることが多々あると思います。
そんなセキュリティ要望が多くあったために Microsoft 365 ではテナント制限という、プロキシを用いたアクセスのときに許可するテナントのみ認証できるようにする仕組みが導入されていました。
この仕組みはプロキシを通す必要があったため、昨今のリモートワークでインターネット経由で仕事を行うようなケースに対応できないという問題があったのです。
これを何とかするために、テナント制限 v2 という新しい取り組みが現在用意され始めています。
動きのイメージは以下の Learn を見るとわかるのですが、 Entra ID P1 以上のラインセスを持っている場合にポリシーとして制御が行える仕組みとなっています。
https://learn.microsoft.com/ja-jp/entra/external-id/tenant-restrictions-v2?WT.mc_id=M365-MVP-5002496
このフローでいう 2 ~ 4 の動作がテナント制限 v2 に当たります。
見ての通りなのですが、マネージデバイスを経由したアクセスが対象となるというのがポイントとなっています。
3 は認証、 4 はデータに対するアクセス制限ですね。 3 はテナント制限で行われていたプロキシーで指定したケースに似ていますが、 4 のデータレベルで制限するというのは、アクセストークンが奪取されたようなケースに有用となるのかと思います。
このようにセキュリティ関連の機能はどんどんと進化を進めているため、導入後に自身の環境が付いてこれているか、定期的に確認しておくのもよいですよね。
音楽:Atomic Bird
