office365 テナント制御編～ - fortinet...5 –fortigate secure sd-wan configuration –...

1 –FortiGate Secure SD-WAN Configuration – Office365 Tenant Restriction – Ver1.00

Presented by Fortinet SE Team

セキュア SD-WAN

設定ガイド

～Office365 テナント制御編～

Version 1.00

フォーティネットジャパン株式会社

2018 年 9 月



免責事項

本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。

フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を

問わず本ドキュメントまたはその一部を複製する事は禁じられています。

また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、

ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承

下さい。尚、本ドキュメントの作成にあたっては最新の注意を払っておりますが、その

記述内容は予告なしに変更される事があります。



目次：

第１章：はじめに P4

第 2 章： Web フィルタ機能 P7

第 3 章： Explicit プロキシ機能 P15

Appendix

改訂履歴 P22



1. はじめに

この設定ガイドは Office 365 を使用する際に、自社テナントと個人契約テナントへの

アクセスを制御するための設定ガイドです。

Office 365 を使用するためには、既存ファイアウォールやプロキシサーバにホワイト

リストとして、Office 365 接続先 URL を追加する必要があります。Office 365 接続

先は全世界共通のため、業務で使用する自社テナントへの接続を許可すると、他社の

テナントや個人契約のテナントなど、すべての Office 365 へのアクセスが可能とな

り、社外秘のファイルやメールの意図的な持ち出し、操作ミスによる情報流出が発生

するリスクが生じます。

FortiGate でテナントアクセス制御を行うことで、社内におけるセキュリティリスク

を防止することが可能になります。

本設定ガイドでは、FortiGate の Web フィルタ機能を使う方法と Explicit プロキシ機

能を使う方法の二通りをご紹介しています。なお、本設定ガイドで紹介する機能は

「Office 365 Modern Authentication(先進認証/ADAL)が有効になっていること」が

前提となります。



1-1 利用機器と OS バージョン

FortiGate FortiGate VM 6.0.2

1-2 物理構成

1-3 論理構成

1-4 テナント制限機能のための HTTP ヘッダー、対象 URL

HTTP ヘッダー

Restrict-Access-To-Tenants

Restrict-Access-Context

対象 URL

login.microsoftonline.com

login.windows.net

login.microsoft.com

※参考）自社テナント以外へのアクセス制御 – “テナントの制限”機能

https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-

restrictions/

https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/



1-5 参考資料

本設定ガイドで紹介している設定は公式な設定ガイドに基づいています。より詳細な

情報が必要な場合は以下も合わせてご参照ください。

FortiGate

FortiOS Handbook – Explicit Proxy

https://docs.fortinet.com/d/fortigate-pdf-handbook-60

FortiOS 6.0 CLI Reference – web-proxy / firewall proxy-policy

https://docs.fortinet.com/d/fortigate-cli-ref-60

FortiGate モデル毎に Explicit プロキシ最大同時接続ユーザ数が設定されています。

FortiOS 6.0.2 Maximum Values Table

https://docs.fortinet.com/d/fortigate-fortios-6.0.2-maximum-values-table

Cookbook: Blocking Google access for consumer accounts

https://cookbook.fortinet.com/blocking-google-access-for-consumer-accounts/

https://docs.fortinet.com/d/fortigate-pdf-handbook-60https://docs.fortinet.com/d/fortigate-cli-ref-60https://docs.fortinet.com/d/fortigate-fortios-6.0.2-maximum-values-table



2. Web フィルタ機能

第２章では、Web フィルタ機能を利用してテナントアクセスを制御する方法について

説明しています。Web フィルタ機能は、Web サイトに対してアクセスを制御するた

め、Skype for Business 等のアプリケーションを使用しない場合において有効な制御

方法です。

2-1. システムオペレーションの設定

FortiGate でテナントアクセス制御をするにはプロキシモードで動作する必要があり

ます。左メニュー「システム」→「設定」をクリックします。インスペクションモー

ドの「プロキシ」を選択して「適用」をクリックします。

2-2. アドレスオブジェクトの作成

HTTP ヘッダーを追加する対象のアドレスオブジェクトを作成します。左メニュー

「ポリシー＆オブジェクト」→「アドレス」をクリックし、新規作成をします。



カテゴリ：アドレス

名前： login.microsoftonline.com

カラー：赤 ※作成したことがわかりやすい色にしましょう

タイプ： FQDN

FQDN： login.microsoftonline.com

同様に login.microsoftonline.com, login.windows.net を作成します。作成が完了す

ると下記のように表示されます。



2-3. CLI へアクセス

2-4～2-6 の設定は FortiGate の GUI 管理画面上での設定をサポートしていません。

GUI 管理画面右上の「>_」をクリックして CLI にアクセスし設定を行います。

2-4. Web プロキシプロファイルの作成

社内 LAN から自社テナントのみに接続を許可するため、以下 2 つの HTTP ヘッダー

を定義します。

Restrict-Access-To-Tenants

Restrict-Access-Context

config web-proxy profile

edit “insert-headers”

config headers

edit1

set name “Restrict-Access-To-Tenants”

set content

next

edit 2

set name “Restrict-Access-Context”

set content

next

end

next

end

※HTTP ヘッダー名を間違えると正しく動作しません。入力ミスをしないように気をつけまし

ょう。

自社テナント名を入力

例）

example.onmicrosoft.com

Microsoft Azure ポータル

→ プロパティから

ディレクトリ ID を確認

HTTP ヘッダー名



2-5. Web フィルタ(URL フィルタ)の作成

ヘッダーを挿入する URL を以下３つ定義します。それぞれの URL に対して 2-4 で作

成した HTTP ヘッダーを挿入する設定を行います。

login.microsoftonline.com

login.windows.net

login.microsoft.com

config webfilter urlfilter

edit 1

set name "Office365"

config entries

edit 1

set url "login.microsoftonline.com"

set action allow

set web-proxy-profile "insert-headers"

next

edit 2

set url "login.windows.net"

set action allow


next

edit 3

set url "login.microsoft.com"

set action allow


next

end

next

end

2-4 で定義した、

Web プロキシプロ

ファイル



2-6. Web フィルタプロファイルの作成

Web フィルタのセキュリティプロファイルを作成します。

config webfilter profile

edit "O365"

config web

set urlfilter-table 1

end

next

end

2-7. IPv4 ポリシーの作成－テナント制御

GUI 管理画面、左メニュー「ポリシー＆オブジェクト」→「IPv4 ポリシー」をクリッ

クし、新規作成をします。

名前： O365-headers

入力インターフェース： port10

出力インターフェース： port1

送信元： all

宛先： 2-2 で作成をしたアドレス

セキュリティプロファイル：すべて有効化

Web フィルタ：O365 を選択

SSL インスペクション： deep-inspection を選択

ロギングオプション：すべてのセッション

※動作確認をしやすくするため「すべてのセッション」にしています。

※設定画面の GUI は次のページにあります。

2-5 で定義した、

URL フィルタ



2-8. IPv4 ポリシーの作成－テナント制御以外の通信

続けて、2-2 で作成したアドレス以外の通信を許可するポリシーを作成します。この

ポリシーでは Web フィルタは default を使用し、SSL deep inspection は行いませ

ん。



名前： ALL

入力インターフェース： port10


送信元： all

宛先： all

サービス： ALL


Web フィルタ： default を選択

SSL インスペクション： certification-inspection を選択





2-9. アクセス確認

PC から Web ブラウザを使用し、Office365 へアクセスをします。

自社テナントにはアクセス可能ですが、個人契約テナントへアクセスをしようとする

と、下記のように表示され、アクセスすることができません。



3. Explicit プロキシ機能

第 3 章では、Explicit プロキシ機能を利用してテナントアクセスを制御する方法につ

いて説明しています。FortiGate を Web プロキシサーバとして使用する場合の設定で

す。先進認証/ADAL が有効になっている Skype for Business 等のアプリケーション

に対しても有効な制御方法です。

3-1. システムオペレーションの設定

2-1 と同様の設定を行います。

3-2. アドレスオブジェクトの作成


3-3. Explicit プロキシの機能表示

Explicit プロキシの設定画面を表示させます。左メニュー「システム」→「表示機能

設定」をクリックします。セキュリティフィーチャー「Explicit プロキシ」を有効に

して「適用」をクリックします。

3-4. Explicit プロキシの設定

左メニュー「ネットワーク」→「Explicit プロキシ」をクリックします。「Explicit

Web プロキシ」を有効にして、以下の設定を入力し「適用」をクリックします。

リッスンするインターフェース： port10

HTTP ポート： 8080



3-5. プロキシポリシーの作成－テナント制御

左メニュー「ポリシー＆オブジェクト」→「プロキシポリシー」をクリックし、新規

作成をします。以下の設定を入力し「OK」をクリックします。


送信元： all

宛先： 2-2 で作成したアドレス

サービス： webproxy



SSL インスペクション： deep-inspection を選択



※設定画面の GUI は次のページにあります。



3-6. プロキシポリシーの作成－テナント制御以外の通信

続けて、2-2 で作成したアドレス以外の通信を許可するポリシーを作成します。この

ポリシーでは SSL deep inspection は行いません。

※設定内容、設定画面の GUI は次のページにあります。




送信元： all

宛先： all

サービス： webproxy



SSL インスペクション： certification-inspection を選択





3-7. Web プロキシプロファイルの作成


3-8. Web プロキシプロファイルをプロキシポリシーへ適用

3-5 で作成をした Web プロキシプロファイルを 3-6 で作成をしたプロキシポリシー

に適用します。この設定は FortiGate の GUI 管理画面上での設定をサポートしていま

せん。GUI 管理画面右上の「>_」をクリックして CLI にアクセスし設定を行いま

す。

config firewall proxy-policy

edit 1

set webproxy-profile "insert-headers"

next

end

3-9. IPv4 ポリシーの作成

2-8 で作成をした IPv4 ポリシーを利用します。

3-10. PC の設定

インターネットのプロパティを開き、以下の設定を入力し「OK」をクリックします。

LAN にプロキシサーバーを使用する：チェックする

アドレス： 172.16.30.254

ポート： 8080



3-11. アクセス確認

PC から Web ブラウザを使用し、Office365 へアクセスをします。自社テナントには

アクセス可能ですが、個人契約テナントへアクセスをしようとすると、下記のように

表示され、アクセスすることができません。

PC から Skype for Business アプリを使用し、個人契約テナントのアカウントでサイ

ンインを試みます。下記のように表示され、サインインすることができません。



Appendix

Office 365 へのテナント制御に関連する、Microsoft 社の参考ページ一覧です。

Microsoft 社から提供されている”テナント制限”機能は、Modern Authentication(先

進認証/ADAL)が使用されていることが前提となっています。レガシー認証を使用する

Outlook クライアントは、”テナント制限“機能の認証・認可フェーズを迂回するた

め、Office 2010 以前の旧バージョンを使用しない、Office 2013・Office 2016 につ

いては先進認証/ADAL 機能を有効化する、等の対策が必要になります。

自社テナント以外へのアクセス制御 – “テナントの制限”機能

https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-

restrictions/

Outlook のレガシー認証ブロック（テナント制限に関連する ADAL 認証の強制）

https://blogs.technet.microsoft.com/office365-tech-

japan/2017/09/26/block_legacy_auth_with_tenant_restriction/

Lync/Skype for Business クライアントの”テナントの制限“の対応について

https://blogs.msdn.microsoft.com/lync_support_team_blog_japan/2018/08/1

7/tenant-restriction-1/

https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/https://blogs.technet.microsoft.com/office365-tech-japan/2017/09/26/block_legacy_auth_with_tenant_restriction/https://blogs.technet.microsoft.com/office365-tech-japan/2017/09/26/block_legacy_auth_with_tenant_restriction/https://blogs.msdn.microsoft.com/lync_support_team_blog_japan/2018/08/17/tenant-restriction-1/https://blogs.msdn.microsoft.com/lync_support_team_blog_japan/2018/08/17/tenant-restriction-1/



改訂履歴

バージョンリリース日改訂内容

1.0.0 2018.09.11 初版制定

office365 テナント制御編～ - fortinet...5 –fortigate secure sd-wan configuration –...

Documents