Office365などのクラウドの世界では、利用者すべてが一つのアドレスに対しアクセスを行い、CDNなどを介して利用者個人に関連する情報を返す。という動作となります。
この動作自体は入り口さえ覚えておけばアクセスは非常に容易に行うことができるという利点があるのですが、旧来の接続先のアドレスを制限することでアクセスを制御するという仕組みを用いたアクセス制限は非常に難しいものとなります。
同一アドレスで複数テナントがぶら下がる仕組みとしては仕方のないところかと思いますが、これに対するアプローチとして、Tenant Restrictionsという機能がOffice365では提供されています。
自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions) – MS Japan Office 365 Tech Blog
詳細は見てもらった方が早いですが、以下URLに対し、ヘッダを追加提供するだけで認知していないテナントに対するアクセス制限対応が行えます。追加提供するヘッダはアクセスを許可するテナント名を設定するとこのと。表記を見る限り、onmicrosoft.comを含んだテナント名を入れることでよいようです。
login.microsoftonline.com
login.windows.net
login.microsoft.com
【追加ヘッダ】
Restrict-Access-To-Tenants: contoso.onmicrosoft.com,fabrikam.onmicrosoft.com
このヘッダを追加提供するという作業ですが、簡単に行うためにはProxyを介したアクセスを行わせ、Proxyでヘッダを付与する。といったところでしょうか。
Office365についてはダイレクトアクセスさせているようなケースにおいては、PACなどの仕組みを用いて選択的にProxy経由させるような仕組みを提供してあげなくてはならないこととなります。
このアドレス群はExpressRouteにも対応しているため、場合によってはProxy-ExpressRouteの経路となるケースも出てきますので、忘れずに覚えておきましょう。また、SSL接続をインターセプトする必要があるので、Proxy側の要件は結構高いものとなりそうですね。
試験に関しては、以下のサイトにあるように、Fiddlerを用いて手元で実施すると簡単そうですね。
テナントを制限してクラウド アプリへのアクセスを管理する - Azure | Microsoft Docs
いずれにせよ、テナント外のアクセス制限はクラウド世代のアクセス制限として必要になるケースかと思います。
自社の状況によりけりかと思いますが、一つのケースとして必要となる可能性を意識しておくとよいのではないでしょうか。
音楽:預言者