ヘッダー挿入を使用した Office365 エンタープライズの承認されたアクセス HTTP
71003
Created On 01/21/20 15:16 PM - Last Modified 03/26/21 18:03 PM
Objective
以前は、Office365 エンタープライズ アカウントの認可されたインスタンスのみを許可し、認可されていないエンタープライズ アカウントとコンシューマー アカウントをブロックする規定がありました。 これは、Office365 エンタープライズ アカウントへのログインに使用されるドメインに基づいてカスタム アプリケーションを作成することで行われました。 ただし、Microsoft のエンドで変更が加えられたため、これは、認可されたドメインに対応するカスタム アプリケーションに対応するトラフィックが、事前に定義されたアプリケーション Office-365 ベースとして識別されることで、もはや不可能です。
Environment
HTTP パロアルトネットワークデバイスのヘッダー挿入機能。
Procedure
この問題を回避するには、 HTTP ヘッダー挿入機能を使用します。
- 最初の手順は URL 、Microsoft ドメインのカスタム カテゴリを作成することです。
次に、このトラフィックが復号化されていることを確認する必要があります。
- 復号化ルールを作成 Policy し、[サービス/ URL カテゴリ] タブで、 URL 前の手順で作成したカテゴリを追加します。
- [オプション] タブで、アクションが [復号化] に設定されていること、および [種類] が [転送プロキシ] に設定されていることを確認 SSL します。
ここで、フィルタリングプロファイルを編集または作成 URL する必要があります。
- HTTP URL [プロファイルのフィルタリング]ダイアログで[ヘッダー挿入]を選択します。
- エントリを追加します。
ユーザーにアクセスを許可するテナントのリストを持つテナントへのアクセス制限を提供します。
- テナントに登録されている任意のドメインを使用して、この一覧のテナントを識別できます。
テナントの制限を設定しているディレクトリでアクセスの ID 制限コンテキストを指定します。
- ディレクトリは Azure ID ポータルで確認できます。 管理者としてサインインし、[Azure アクティブ ディレクトリ] を選択して、[プロパティ] を選択します。
docs.microsoft.com/en-us/azure/active-directory/active-directory-tenant-restrictions
HTTP Office365 のテナント ターゲットを使用してヘッダーを変更するという考え方です。 ルールはトラフィックの送信を許可しますが、認証しようとしている Office365 インスタンスを定義しているため、ドメインのテナントに属していない Office365 アカウントでログインしようとした場合、Microsoft はそれをブロックします。
また、 URL フィルタリングプロファイルで許可するために作成されたカスタムカテゴリのアクション URL を設定することを忘れないでください。 認可されていないドメインにアクセスしようとすると、次のような Microsoft からの応答ページが表示されます。