SaaSアプリケーションのテナント制限の管理（テナント制限ポリシー）

この記事では、テナント制限ポリシーを使用してSaaSアプリのテナントへのアクセスを制御する方法を説明します。テナント制限ルールがヘッダーインジェクションを使用してアクセスを制御する方法の概要については、SaaSアプリケーションテナントへのアクセス制限を参照してください。

概要

テナント制限ポリシーを使用すると、ネットワークで許可されたアプリケーションのうち、ユーザーがアクセスできるテナントを制限するルールを作成できます。これにより、組織のテナント以外のテナントへのアクセスを防ぐことでネットワークを保護できます。例えば、ユーザーが個人のメールアカウントやファイル共有アカウントにアクセスするのを防ぎ、機密データの流出を防ぐことができます。

テナント制限ルールベースは、HTTPプロトコルクライアントリクエストのヘッダーフィールドを変更することで、SaaSアプリへ向かうユーザートラフィックを制御します。トラフィックがルールに一致すると、Catoはプロキシとして機能し、そのルールのために定義したHTTPヘッダーを挿入します。サードパーティのアプリは指定したヘッダーを受け取り、そのアプリのために組織のテナントアクセスポリシーを実行します。

特定のユーザーグループ、サイト、その他のソースに適用される詳細なテナント制限ルールを構成できます。詳細なルールを使うことで、徐々にテナント制限を実装し、潜在的な利便性の問題を回避するのに役立ちます。指定されたソース用にテナント制限を回避するルールも作成できます。

ポリシーのリビジョンと複数の管理者による同時編集

テナント制限ポリシーにより、異なる管理者がポリシーを並行して編集できます。各管理者はルールを編集し、独自のプライベートリビジョンに変更を保存し、その後アカウントポリシー（公開されたリビジョン）に公開できます。ポリシーリビジョンの管理方法について詳しくは、ポリシーリビジョンの操作を参照してください。

前提条件

For Tenant Restriction rules, you must enable TLS Inspection and define the TLS Inspection policy to inspect the traffic that matches the rule.
The Tenant Restriction feature is included in the CASB license. For more about purchasing the CASB license, please contact your Cato representative.

テナント制限ポリシーを有効化する

SaaSアプリケーションのテナントへのアクセスを制御するルールを作成するには、テナント制限ポリシーを有効にしてください。

テナント制限ポリシーを有効または無効にするには：

ナビゲーションメニューから、セキュリティ > App & データインライン を選択します。
テナント制限タブを選択します。
アカウントに対してテナント制限ポリシーを有効（緑）または無効（灰色）にするには、スライダーをクリックします。

テナント制限ルールを追加する

テナント制限ポリシーにルールを追加するとき、そのアプリケーションのテナントアクセスを定義するために必要な各ルールセクションを設定してください。

テナント制限ルールの作成

組織のテナント管理を実装するために、新しいテナント制限ルールを作成し、ルールの設定を構成します。 インジェクトされたヘッダーフィールドは、以下の文字のみを含むことができます：

ヘッダー名 - a-z, A-Z, 0-9、特殊文字: _ and -
ヘッダー値 - a-z, A-Z, 0-9、特殊文字: _ :;.,\/"'?!(){}[]@<>=-+*#$&`|~^&

新しいテナント制限ルールを作成するには：

ナビゲーションメニューから、セキュリティ > App & データインライン を選択します。
テナント制限タブを選択します。
新規をクリックします。 新規ルールパネルが表示されます。
ルールの名前を入力します。
ルールをルールベースの中で位置を設定します。
ソースを展開し、ソースの種類を選択します。
- 種類を選択します (例えば：ホスト、ネットワークインタフェース、IP、すべて)。デフォルト値はすべてです。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
ドロップダウンメニューからSaaS アプリケーションを選択します。
設定済みのアプリケーションに対するそれぞれのヘッダー名およびヘッダー値を定義してください（詳細は下記参照）。
このルールのアクションを選択します。オプションはヘッダーの挿入とバイパスです。
(オプション)このルールが有効になる時間を定義する時間オプションを設定してください。
保存をクリックしてください。

変更履歴は未公開の改訂に保存され、公開または破棄するまで編集することができます。

SaaSアプリのためのカスタムヘッダーの追加

ヘッダー名とヘッダー値フィールドは、アプリケーションとテナント制限ポリシーが施行するアクションを定義します。これらのフィールドは、各アプリケーションに特有です。以下は一般的に使用されるアプリの必須フィールドの例です。最新の情報を確認するため、アプリケーションのドキュメントを確認することをお勧めします。

Microsoft 365

Microsoft 365はテナント制限を施行するために2つのヘッダーを必要とします。この順序で次の2つのルールを追加してください。詳細については、Microsoftのドキュメントを参照してください。

ヘッダー名	ヘッダー値
`Sec-Restrict-Tenant-Access-Policy`	`restrict-msa`
`Restrict-Access-To-Tenants`または`Restrict-Access-Context`	あなたの組織のドメイン, 例えば`bbbbcccc-1111-dddd-2222-eeee3333ffff`

Slack

Slackはテナント制限を施行するために2つのヘッダーを必要とします。詳細については、Slackのドキュメントを参照してください。

ヘッダー名	ヘッダー値
`X-Slack-Allowed-Workspaces-Requester`、`X-Slack-Allowed-Workspaces`	あなたの組織のワークスペースID

Google Suite

テナント制限を施行するために次のヘッダーと値を追加してください。詳細については、Googleのドキュメントを参照してください。

ヘッダー名	ヘッダー値
`X-GooGApps-Allowed-Domains`	あなたの組織のドメイン

Dropbox

テナント制限を施行するために次のヘッダーと値を追加してください。詳細については、Dropboxのドキュメントを参照してください。

ヘッダー名	ヘッダー値
`X-Dropbox-allowed-Team-Ids`	あなたの組織のチームID