ヘッダー挿入を使用してユーザーが Microsoft 個人アカウントにログインできないようにする方法
17019
Created On 04/04/23 15:07 PM - Last Modified 02/02/24 06:02 AM
Objective
ユーザーが Outlook.com やOneDriveなどのMS個人アカウントにログインできないようにするには、カスタムヘッダーを「login.live.com」ドメインに適用することにより、ヘッダー挿入機能を使用します。
Environment
- パロアルトのファイアウォール
- サポートされている PAN-OS
- URL フィルタリングプロファイル
Procedure
- URL フィルタリングプロファイルで、新しいヘッダー挿入エントリを作成します。
- 名前:この新しいエントリの名前を指定します(テストでは「Block-MS-Personal-Accounts」)。
- [タイプ] で [カスタム] を選択します
- [ドメイン] で、このワイルドカード ドメイン "login.live.com" を追加します。
- [ヘッダー] で、ヘッダー "sec-Restrict-Tenant-Access-Policy" と値 "restrict-msa" を追加します。
- [OK] をクリックします。
- URL フィルタリングを目的のセキュリティ ポリシーに付加します。
- ユーザーが認証を試みると、資格情報を入力した後、次のエラーメッセージが表示されます。
Additional Information
- HTTP ヘッダー挿入を使用した Office365 の認可されたアクセス
- ヘッダー挿入機能の下に事前定義された「Microsoft Office365テナント制限」は、ユーザーが別の企業アカウントを使用して認証することのみをブロックします。 これは、Microsoft 個人アカウントには適用されません。