SaaSアプリケーションのテナント制限の管理（テナント制限ポリシー）

この記事では、テナント制限ポリシーを使用してSaaSアプリのテナントへのアクセスを制御する方法を説明します。テナント制限ルールがヘッダーインジェクションを使用してアクセスを制御する方法の概要については、SaaSアプリケーションテナントへのアクセス制限を参照してください。

概要

テナント制限ポリシーを使用すると、ネットワークで許可されたアプリケーションのうち、ユーザーがアクセスできるテナントを制限するルールを作成できます。これにより、組織のテナント以外のテナントへのアクセスを防ぐことでネットワークを保護できます。例えば、ユーザーが個人のメールアカウントやファイル共有アカウントにアクセスするのを防ぎ、機密データの流出を防ぐことができます。

テナント制限ルールベースは、HTTPプロトコルクライアントリクエストのヘッダーフィールドを変更することで、SaaSアプリへ向かうユーザートラフィックを制御します。トラフィックがルールに一致すると、Catoはプロキシとして機能し、そのルールのために定義したHTTPヘッダーを挿入します。サードパーティのアプリは指定したヘッダーを受け取り、そのアプリのために組織のテナントアクセスポリシーを実行します。

特定のユーザーグループ、サイト、その他のソースに適用される詳細なテナント制限ルールを構成できます。詳細なルールを使うことで、徐々にテナント制限を実装し、潜在的な利便性の問題を回避するのに役立ちます。指定されたソース用にテナント制限を回避するルールも作成できます。

ポリシーのリビジョンと複数の管理者による同時編集

テナント制限ポリシーにより、異なる管理者がポリシーを並行して編集できます。各管理者はルールを編集し、独自のプライベートリビジョンに変更を保存し、その後アカウントポリシー（公開されたリビジョン）に公開できます。ポリシーリビジョンの管理方法について詳しくは、ポリシーリビジョンの操作を参照してください。

前提条件

テナント制限ルールのために、TLSインスペクションを有効化し、ルールに一致するトラフィックを検査するようにTLSインスペクションポリシーを定義する必要があります。
テナント制限機能はCASBライセンスに含まれています。 CASBライセンスの購入について詳しくは、Catoの担当者にお問い合わせください。

テナント制限ポリシーを有効化する

SaaSアプリケーションのテナントへのアクセスを制御するルールを作成するには、テナント制限ポリシーを有効にしてください。

テナント制限ポリシーを有効または無効にするには:

ナビゲーションメニューから、セキュリティ > アプリ & データインラインを選択します。
テナント制限タブを選択します。
スライダーをクリックして、アカウントのテナント制限ポリシーを有効にする（緑）か、無効にする（グレー）かを選択します。

テナント制限ルールを追加する

テナント制限ポリシーにルールを追加するとき、そのアプリケーションのテナントアクセスを定義するために必要な各ルールセクションを設定してください。

テナント制限ルールの作成

組織のテナント管理を実装するために、新しいテナント制限ルールを作成し、ルールの設定を構成します。 インジェクトされたヘッダーフィールドは、以下の文字のみを含むことができます：

ヘッダー名 - a-z, A-Z, 0-9 および特殊文字: _と。 -
ヘッダー値 - a-z, A-Z, 0-9 および特殊文字: _:;.,\/"'?!(){}[]@<>=-+*#$&`|~^&

新しいテナント制限ルールを作成するには:

ナビゲーションメニューから、セキュリティ > アプリ & データインラインを選択します。
テナント制限タブを選択します。
新規をクリックします。 新規ルールパネルが表示されます。
ルールの名前を入力します。
ルールベース内でのルールの位置を設定します。
ソースを展開し、ソースの種類を選択します。
- 種類を選択します (例えば：ホスト、ネットワークインタフェース、IP、すべて)。デフォルト値はすべてです。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
ドロップダウンメニューからSaaSアプリケーションを選択します。
設定済みのアプリケーションについて、各ヘッダー名とヘッダー値を定義します（詳細は下記を参照）。
このルールのアクションを選択します。オプションはヘッダーの挿入とバイパスです。
(オプション) ルールが有効になる時間を定義する時間オプションを設定します。
保存をクリックしてください。

変更履歴は未公開の改訂に保存され、公開または破棄するまで編集することができます。

SaaSアプリのためのカスタムヘッダーの追加

ヘッダー名とヘッダー値フィールドは、アプリケーションとテナント制限ポリシーが施行するアクションを定義します。これらのフィールドは、各アプリケーションに特有です。以下は一般的に使用されるアプリの必須フィールドの例です。最新の情報を確認するため、アプリケーションのドキュメントを確認することをお勧めします。

ChatGPT

ChatGPTはテナント制限を強制するために、以下のヘッダーと値を要求します。詳細については、OpenAIのドキュメントをご覧ください。

ヘッダー名	ヘッダー値
`Chatgpt-Allowed-Workspace-Id`	`OpenAIワークスペースID (UUID)`

Claude

Claudeはテナント制限を強制するために、以下のヘッダーと値を要求します。詳細については、Claudeのドキュメントをご覧ください。

ヘッダー名	ヘッダー値
`anthropic-allowed-org-ids`	あなたの組織のチームID

Microsoft 365

Microsoft 365はテナント制限を施行するために2つのヘッダーを必要とします。この順序で次の2つのルールを追加してください。詳細については、Microsoftのドキュメントをご覧ください。

ヘッダー名	ヘッダー値
`Sec-Restrict-Tenant-Access-Policy`	`restrict-msa`
`Restrict-Access-To-Tenants`または`Restrict-Access-Context`	貴社のドメイン（例えば、`bbbbcccc-1111-dddd-2222-eeee3333ffff`）

Slack

Slackはテナント制限を施行するために2つのヘッダーを必要とします。詳細については、Slackのドキュメントをご覧ください。

ヘッダー名	ヘッダー値
`X-Slack-Allowed-Workspaces-Requester`、`X-Slack-Allowed-Workspaces`	あなたの組織のワークスペースID

Google Suite

テナント制限を施行するために次のヘッダーと値を追加してください。詳細については、Googleのドキュメントをご覧ください。

ヘッダー名	ヘッダー値
`X-GooGApps-Allowed-Domains`	あなたの組織のドメイン

Dropbox

テナント制限を施行するために次のヘッダーと値を追加してください。詳細については、Dropboxのドキュメントをご覧ください。

ヘッダー名	ヘッダー値
`X-Dropbox-allowed-Team-Ids`	貴社の組織のチームID