4.5. テナントアクセス制御サポート機能の設定をする

FRAポータルにて設定するテナントアクセス制御サポート機能の設定手順について説明します。

4.5.1. 注意事項、前提条件

  • 設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。
  • 設定変更後、0系/1系で必ずコミットを実施してください。
  • クライアント端末へSSL復号化・FRAポータルアクセス(FIC経由)共通証明書のインストールが必要になります。
    インストール手順は こちら を参照してください。
  • FRAポータルで主に使用するゾーンの概要について以下に記載します。
    【ゾーン】
    VPN:VPN接続ユーザーに払い出されるIPアドレスが所属するインターフェイス
    VPNINET:VPN接続後FRAから直接インターネットに通信する際に利用するインターフェイス
    VPNFIC:VPN接続後FIC-Connection向けに通信する際に利用するインターフェイス

4.5.2. 事前に準備いただくもの

4.5.3. お申し込みの流れ、全体説明

図4.5.3.1. 設定変更の流れ

4.5.4. テナントアクセス制御サポート機能の設定手順

4.5.4.1. テナントアクセス制御用のURLカテゴリを作成する

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ➀[Objects]をクリックします。
    ➁[URLカテゴリ]をクリックします。
    ➂[追加]をクリックします。

図4.5.4.1.1. URLカテゴリ画面

  1. ①名前を入力します。
    ②[追加]をクリックしサイトを追加します。
    ③入力が完了したら[OK]ボタンを押下します。

図4.5.4.1.2. カスタムURLカテゴリ

表 4.5.4.1.1. 追加項目
項番 項目 設定値
1 名前 任意の名前を入力します。
2 サイト
以下3つのサイトを追加します
login.microsoftonline.com
login.microsoft.com
login.windows.net

4.5.4.2. テナントアクセス制御用のセキュリティプロファイル(URLフィルタリング)を作成する

  1. ➀[Objects]をクリックします。
    ➁[URLフィルタリング]をクリックします。
    ➂[追加]をクリックします。

図4.5.4.2.1. URLフィルタリング画面

  1. ➀名前を入力します。
    ➁[HTTPヘッダー検査]をクリックします。
    ➂[追加]をクリックします。

図4.5.4.2.2. URLフィルタリングプロファイル画面

  1. ①名前を入力し、タイプを選択します。
    ②ヘッダーに以下の項目を入力します。
    ③入力が完了したら[OK]ボタンを押下します。

図4.5.4.2.3. HTTPヘッダー検査

表 4.5.4.2.1. ヘッダー追加項目
項番 項目 設定値
1 名前 任意の名前を入力します。
2 タイプ Microsoft Office365 Tenant Restrictions
3 ヘッダー
タイプの設定でMicrosoft Office365 Tenant Restrictionsを指定するとでRestrict-Access-To-Tenants,Restrict-Access-Contextのヘッダーが表示されます。ヘッダーに以下を入力します。ログにチェックを入れてください。
Restrict-Access-To-Tenants:許可対象テナントのドメインもしくはIDを入力します。
Restrict-Access-Context:ログ出力するためのAzure ADのIDを入力します。

4.5.4.3. テナントアクセス制御用のセキュリティポリシーを作成する

  1. ①[Policies]をクリックします。
    ②[セキュリティ]をクリックします。
    ③[追加]をクリックします。

図4.5.4.3.1. Policies画面

  1. [全般]の以下の項目を入力します。

図4.5.4.3.2. セキュリティポリシールール(全般)

表 4.5.4.3.1. [全般]での設定可能な項目
項番 項目 設定値
1 名前 任意の名前を入力します。名前は必須項目です。
2 内容 作成したポリシーの説明を記載します。省略可能です。
3 監査コメント ポリシーの設定変更時に変更内容の履歴を残したい場合に入力します。省略可能です。
  1. [送信元]の以下の項目を選択します。

図4.5.4.3.3. セキュリティポリシールール(送信元)

表 4.5.4.3.2. [送信元]での設定可能な項目
項番 項目 設定値
1 送信元ゾーン [追加]をクリックし、VPNを指定します。
2 送信元アドレス いずれかにチェックを入れるか、特定のアドレスに制限したい場合は[追加]をクリックし対象のアドレスを指定します。
3 送信元ユーザー 通信の送信元ユーザーを指定します。すべてのユーザーを対象にする場合はanyを選択します。特定のユーザーを送信元に指定したい場合は[追加]をクリックし対象のユーザーを選択します。
4 送信元デバイス HIP機能を使用する場合に[追加]をクリックし対象のHIPプロファイルを選択します。HIPプロファイルを使用しない場合はanyを選択します。
  1. [宛先]の以下の項目を選択します。

図4.5.4.3.4. セキュリティポリシールール(宛先)

表 4.5.4.3.3. [宛先]での設定可能な項目
項番 項目 設定値
1 宛先ゾーン [追加]をクリックし、VPNINETを指定します。
2 宛先アドレス いずれかにチェックを入れます。
  1. [アプリケーション]の以下の項目を選択します。

図4.5.4.3.5. セキュリティポリシールール(アプリケーション)

表 4.5.4.3.4. [アプリケーション]での設定可能な項目
項番 項目 設定値
1 アプリケーション いずれかにチェックを入れます。
2 次に依存 特定のアプリケーションを指定する場合、指定したアプリケーションに関連するアプリケーションを同時に指定する必要があります。依存関係にあるアプリケーションにチェックを入れます。

注釈

  1. [サービス/URLカテゴリ]のURLカテゴリにて[追加]をクリックし 「4.5.4.1テナントアクセス制御用のURLカテゴリを作成する」 で作成したURLカテゴリを指定します。

図4.5.4.3.6. セキュリティポリシールール(サービス/URLカテゴリ)

  1. ①[アクション]で以下の項目を選択します。
    ②入力が完了したら[OK]ボタンを押下します。

図4.5.4.3.7. セキュリティポリシールール(アクション)

表 4.5.4.3.5. [アクション]での設定可能な項目
項目 項目 設定値
1 アクション設定 allowを選択します。
2 プロファイル設定 「4.5.4.2. テナントアクセス制御用のセキュリティプロファイル(URLフィルタリング)を作成する」 で作成したURLフィルタリングを指定します。
  1. ➀追加したポリシーを選択します。
    ➁画面下部の[移動]をクリックします。
    ➂[上へ]をクリックし変更可能なルールの間または直上直下に移動します。

図4.5.4.3.8. ルール移動

  1. 以下のように変更可能なルールの直上に移動しポリシーの移動が完了となります。

図4.5.4.3.9. ルール移動完了後の画面

4.5.4.4. テナントアクセス制御用のSSL復号化プロファイルを作成する

  1. ➀[Objects]をクリックします。
    ➁[復号プロファイル]をクリックします。
    ➂[追加]をクリックします。

図4.5.4.4.1. 復号プロファイル画面

  1. ①名前を入力します。
    ②クライアント拡張で[ストリップ ALPN]にチェックをします。
    ③入力が完了したら[OK]ボタンを押下します。

図4.5.4.4.2. 復号プロファイル(SSL復号化)

4.5.4.5. テナントアクセス制御用のSSL復号ポリシーを作成する

  1. ➀[Policies]をクリックします。
    ➁[復号]をクリックします。
    ➂[追加]をクリックします。

図4.5.4.5.1. Policies画面

  1. [全般]で以下の項目を入力します。

図4.5.4.5.2. 復号ポリシールール(全般)

表 4.5.4.5.1. [全般]での設定可能な項目
項番 項目 設定値
1 名前 任意の名前を入力します。名前は必須項目です。
2 内容 作成した復号ポリシーの説明を記載します。省略可能です。
3 監査コメント ポリシーの設定変更時に変更内容の履歴を残したい場合に入力します。省略可能です。
  1. [送信元]で以下の項目を選択します。

図4.5.4.5.3. 復号ポリシールール(送信元)

表 4.5.4.5.2. [送信元]での設定可能な項目
項番 項目 設定値
1 送信元ゾーン VPNを指定します。
2 送信元アドレス
通信の送信元アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを送信元に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)
3 送信元ユーザー 通信の送信元ユーザーを指定します。すべてのユーザーを対象にする場合はanyを選択します。特定のユーザーを送信元に指定したい場合は[追加]をクリックし対象のユーザーを選択します。
  1. [宛先]で以下の項目を選択します。

図4.5.4.5.4. 復号ポリシールール(宛先)

表 4.5.4.5.3. [宛先]での設定可能な項目
項番 項目 設定値
1 宛先ゾーン [追加]をクリックし、VPNINETを指定します。
2 宛先アドレス
通信の宛先アドレスを指定します。すべてのアドレスを対象にする場合はいずれかにチェックをします。特定のアドレスを宛先に指定したい場合は[追加]をクリックし対象のアドレスを選択します。また、アドレスの選択画面では以下のアドレスを直接指定する事が可能です。
・IPアドレス(Ex 192.168.1.1/32)
・ネットワークアドレス(Ex 192.168.0.0/16)
・アドレスレンジ(Ex 192.168.1.0-192.168.1.255)
  1. [サービス/URLカテゴリ]のURLカテゴリにて[追加]をクリックし 「4.5.4.1. テナントアクセス制御用のURLカテゴリを作成する」 で作成したURLカテゴリを指定します。

図4.5.4.5.5. 復号ポリシールール(サービス/URLカテゴリ)

  1. ①[オプション]で 「4.5.4.4. テナントアクセス制御用のSSL復号化プロファイルを作成する」 にて作成したSSL復号化プロファイルを指定します。
    ②入力が完了したら[OK]ボタンを押下します。

図4.5.4.5.6. 復号ポリシールール(オプション)

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。