テナント制限 v2(TRv2: Tenant Restrictions v2)を利用した、データ流出を防止する方法の紹介です。
How Tenant Restrictions v2 Can be Used to Prevent Data Exfiltration - Microsoft Community Hub
まず前段の整理として、テナント制限v2(TRv2)は、Microsoft Entra External ID ソリューションの「テナント間アクセス設定」に含まれる機能です。
そして、Microsoft Entra External ID 製品自体は、FAQ によると「製品開発チームは 2024 年初めの一般提供開始に向けてこの新しい顧客ソリューションを形作っているところ」となっています。
Microsoft Entra 外部 ID | Microsoft Security
ドキュメント上は、旧称の Azure AD External Identities として書かれているものもまだ多いです。
TRv2 により防止する、外部 ID を使ったデータ流出として想定されるケースは以下が例にあげられています。
悪意ある内部関係者が、
1)Microsoft Entra テナントを新規作成(=不正に使うためのテナント)
2)組織管理のデバイスからそのテナントの Exchange Online へアクセス(認証)
3)メールの添付ファイルとしてデータを漏えい
通常のセキュリティ設定では、このようなケースはブロックできないため、TRv2 が提供する特別な防御が必要になります。
TRv2 ポリシーでは、Entra ID、Microsoft アカウント、その他の Microsoft リソースに特別なシグナルを送信するため、承認されていないアクセスをブロックします。
TRv2 には、2つの主要なオプションがあります。
1.認証プレーン テナント制限 v2(一般提供)
組織にネットワークプロキシを展開し、Entra ID と Microsoft アカウントへの全てのトラフィックに TRv2 シグナルを設定するよう構成します。
攻撃者が不正なテナントにログインできなくなります。
2.ユニバーサル テナント制限 v2(パブリックプレビュー)
攻撃者が、不正なテナントのアプリへの匿名アクセスを許可し、認証をバイパスするといった、より高度な攻撃から保護します。
認証プレーン(Entra ID、Microsoftアカウント)とデータプレーン(Microsoft クラウドアプリケーション)で TRv2 シグナルを付加するため、上記の攻撃を防止します。
組織のプロキシはなしで提供されます。
なお、TRv2 には Windows テナント制限 v2 もありますが、これは管理対象の Windows デバイスで機能し、一部のシナリオでのみ使用されますが、導入が難しく十分なセキュリティが確保されていないとの指摘もあり、ユニバーサル TRv2 がリリースされるまでの一時的な保護目的となります。
ユニバーサル TRv2 が一般公開された後には、廃止される予定だそうです。
(参考)
テナント制限を構成する - Azure AD - Microsoft Entra | Microsoft Learn
