Application Control Policyにおいて、こちらで紹介されているように
任意のSaaSアプリケーションへログインする際、
特定ドメインのみログインを許可するよう設定することが可能です。

またTenant Restrincitonにおいて、こちらで紹介されているように
アクセス可能なテナントを制限する機能が提供されています。

主な違い

Application Control Policyではログインドメインに基づく制御を行い、
Tenant Restrincitonではアクセス可能なテナントを制御します。

社用ドメインと私用ドメインが存在する場合、
私用ドメインでのアプリログインを防止したい場合は、Application Control Policyで実現が可能です。

社用ドメインでログインを行っていた場合でも、
私用テナントなど外部から招待を受けた時は
社用ドメインのままアクセスすることが想定されます。
外部テナントへの一切のアクセスを禁止したい場合には、Tenant Restrincitonで実現が可能です。
 

補足

本稿は下記メーカーKBを参考に作成されています。
Managing Tenant Restrictions for SaaS Apps
Using Default Recommended CASB/DLP Policy
本稿の内容は公開日時時点の情報に基づきます。