Catoクラウドでは、CASB機能の一つHeader Injectionsを利用して
Microsoft365に対してアカウント毎の制御ができます。

具体的には、Security ＞ Application Control ＞ Header Injections から設定します。
新しいルール作成にて、ApplicationでAzure Active Directoryを指定し、適切なヘッダ名と値を入力することでアクセス制御が可能です。
以下のブログにて、Header Injectionsの検証が紹介されておりますのでご参照ください。
・Catoでやる「Microsoft 365」のテナント制御～「Header Injection」機能の紹介～

なお、ログインテナントの制御は、Header Injectionの他、Application Control Policyにて制御することも可能です。
こちらの手順が知りたい方は、以下のFAQをご参照ください。
・Microsoft365に対してアカウント毎の制御を行いたい