テナント制限v2 で Microsoftエンドポイントのファイアウォール保護を WDACポリシーで制御してみた

Last updated at 2024-11-09Posted at 2023-09-17

はじめに

この記事は、以下のサイト「Microsoft Entra テナント制限v2 で外部テナントへのアクセスをブロックする」という記事の参照先になっています。
まず、以下のサイトを初めに参照ください。

テナント制限v2 の使用時に、「Microsoftエンドポイントのファイアウォール保護」を有効にすると、すべてのアプリが Microsoftエンドポイントへのアクセス時にファイアウォールでブロックされてしまい、何もできません。

この記事では、WDACポリシーを使って Edgeなどの Microsoftアプリだけを除外対象にして利用できるようにする手順を紹介しています。
※除外している目的は、テナント制限v2 に対応しているアプリだけを使えるようにし、それ以外のアプリは引き続きブロックするようにして、テナント制限の完全性を満たすことです。

（Chrome、Firefox、および PowerShell などの .NET アプリケーションをブロックする）
★前提として、テナント制限v2 で制御可能なのは Edgeや Officeアプリなどであり、他社製アプリは制御できません。
https://learn.microsoft.com/ja-jp/azure/active-directory/external-identities/tenant-restrictions-v2#block-chrome-firefox-and-net-applications-like-powershell

この記事を書くことになったのは、上記の公開情報があまりにも分かりづらかったからです。
PowerShell を除外する説明はあっても、じゃあ Edge や Officeアプリがブロックされてしまうのは、どうやって解除すれば良いのか分からないからです。

設定の Before / After

ファイアウォール保護：無効

左：Edge　右：Chrome
テナント制限が、Edge でしか機能しない。Chrome では外部テナントにサインイン可

この状態だと、Edge は希望通りの動作なのですが、Chrome を使って外部アクセスできてしまうので、セキュリティ要件を満たせません。

ファイアウォール保護：有効、WDACポリシー適用前

左：Edge　右：Chrome
両ブラウザとも、Office365や Azure Portal などの Microsoftサービスを利用できない。

この状態だと、Microsoft 365 や、Azure Portal のほか、Microsoft Entra アカウントで認証するサービスが一切使えません。

ファイアウォール保護：有効、WDACポリシー適用後

左：Edge　右：Chrome
Edge は、Microsoftサービスを利用できるようになりテナント制限も有効
Chrome は、Microsoftサービスを利用できない。

この状態が理想です。

では、次章からこの構成を行うための手順を紹介していきます。

構成手順

1. ポリシーファイル (.csp) の作成

1-1. 事前準備（資材の入手）

1．任意の Windowws 10 マシンで以下のサイトからダウンロードした WDAC ウィザードをインストールします。
(WDAC Policy Wizard)
https://webapp-wdac-wizard.azurewebsites.net/

2．同じマシンで、以下のサイトから RefreshPolicy ツールをダウンロードします。
(Refresh WDAC Policy)
https://www.microsoft.com/en-us/download/details.aspx?id=102925

1-2. WDAC タグ付けの構成

資材を入手した Windows 10 上で作業を続けます。

WDAC 構成ウィザードを起動し、[Policy Creator] を選択します。

　
[Base Policy] を選択します。

　
[Default Windows Mode] を選択します。

　
既定値のまま「Next」

　
既定値のまま「Next」

　
ポリシーの作成が完了。赤下線部のパスを確認します。

　
PowerShell を管理者モードで開き、上記の画面で赤下線部に記載されていたパスへ移動します。（C:\Users<ユーザー名>\Documents）

　
メモ帳で XML ファイルを開きます。
notepad .\WindowsWorks<日付>.xml

　
"SigningScenrios" セクショングループ内の "SigningScenario" セクションのうち Value=131 が登録されているセクション全体を削除して、上書き保存します。

　
以下のコマンドを実行して「M365ResourceAccessEnforcement」というタグ名でタグ付けを行う。
Set-CIPolicyIdInfo -ResetPolicyID -FilePath .\WindowsWorks<日付>.xml -AppIdTaggingPolicy -AppIdTaggingKey "M365ResourceAccessEnforcement" -AppIdTaggingValue "True"

　
出力結果として、緑下線部のように新しいポリシーID が表示されるので、コピーしてください。
PolicyID = {ポリシーID}

1-3. バイナリファイルへの変換 (xml → cip)

以下のコマンドを実行して XML のポリシーファイルをバイナリファイルに変換します。
Convertfrom-CIPolicy .\WindowsWorks<日付>.xml ".\{ポリシーID}.cip"
※控えたポリシーID を利用

　
dirコマンドでバイナリ変換されたファイルがあることを確認します。

2. ローカル PC へ WDAC ポリシーの適用

以下のパスへ前章で作成した .csp ファイルをコピーする。
パス： C:\Windows\System32\CodeIntegrity\CiPolicies\Active

2．事前にダウンロードした RefreshPolicy ツールを実行する
& '.\RefreshPolicy(AMD64).exe'

別の端末に cipファイルをコピーした場合は、 RefreshPolicy ツールをインストールして上記と同じコマンドを実行することで、ポリシーをその端末へ適用できます。

3. Microsoftエンドポイントのファイアウォール保護を有効にする

ローカル PC で「グループポリシーの管理」ツールを開きます。
左ペインのメニューから、以下を辿って開きます。
[コンピューターの構成]
　　[ポリシー]
　　　　[管理用テンプレート]
　　　　　　[Windowsコンポーネント]
　　　　　　　　[テナント制限]
　　　　　　　　　　[クラウドポリシーの詳細]

3．「クラウドポリシーの詳細」を開いたら、下図の通りに入力します。