アプリを接続して、Microsoft Defender for Cloud Appsで可視性と制御を取得する
アプリ コネクタは、アプリ プロバイダーの API を使用し、Microsoft Defender for Cloud Apps に接続したアプリの可視性と制御を強化するものです。
Microsoft Defender for Cloud Appsは、クラウド プロバイダーによって提供される API を利用します。 Defender for Cloud Appsと接続されているアプリ間のすべての通信は HTTPS を使用して暗号化されます。 各サービスには、調整、API 制限、動的時間シフト API ウィンドウなどの独自のフレームワークと API の制限があります。 Microsoft Defender for Cloud Appsサービスと連携して、API の使用を最適化し、最適なパフォーマンスを提供しました。 サービスが API に課すさまざまな制限事項を考慮して、Defender for Cloud Apps エンジンは許可された容量を使用します。 多数の API を必要とする操作 (たとえば、テナント内にあるすべてのファイルのスキャン) は、長期間にわたって分散されます。 ある種のポリシーの実行には、数時間、数日間といった長い期間が必要になります。
重要
2024 年 9 月 1 日より、Microsoft Defender for Cloud Appsから [ファイル] ページが非推奨になります。 その時点で、Information Protection ポリシーを作成して変更し、[ポリシー] > [ポリシー管理] ページ>クラウド アプリからマルウェア ファイルを見つけます。 詳細については、「Microsoft Defender for Cloud Appsのファイル ポリシー」を参照してください。
マルチインスタンスのサポート
Defender for Cloud Appsは、同じ接続済みアプリの複数のインスタンスをサポートします。 たとえば、Salesforce のインスタンスが複数ある場合 (1 つは販売用、1 つはマーケティング用)、両方をDefender for Cloud Appsに接続できます。 同じコンソールからさまざまなインスタンスを管理して、詳細なポリシーを作成し、より詳細な調査を行うことができます。 このサポートは、API に接続されたアプリにのみ適用され、Cloud Discovered アプリやプロキシ接続アプリには適用されません。
注:
マルチインスタンスは、Microsoft 365 と Azure ではサポートされていません。
メカニズム
Defender for Cloud Appsは、環境内のすべてのオブジェクトへのフル アクセスを許可するために、システム管理者特権でデプロイされます。
App Connector フローは次のとおりです。
Defender for Cloud Appsは、認証アクセス許可をスキャンして保存します。
Defender for Cloud Appsはユーザー リストを要求します。 要求が初めて行われると、スキャンが完了するまでに時間がかかる場合があります。 ユーザー スキャンが終了すると、Defender for Cloud Appsアクティビティとファイルに移動します。 スキャンが開始されるとすぐに、一部のアクティビティがDefender for Cloud Appsで利用できるようになります。
ユーザー要求が完了すると、Defender for Cloud Appsはユーザー、グループ、アクティビティ、およびファイルを定期的にスキャンします。 すべてのアクティビティは、最初のフル スキャン後に使用できます。
テナントのサイズ、ユーザーの数、スキャンする必要があるファイルのサイズと数によっては、この接続に時間がかかる場合があります。
接続するアプリに応じて、API 接続によって次の項目が有効になります。
- アカウント情報 - ユーザー、アカウント、プロファイル情報、状態 (中断、アクティブ、無効) グループ、および特権を表示します。
- 監査証跡 - ユーザー アクティビティ、管理者アクティビティ、サインイン アクティビティを表示します。
- アカウント ガバナンス - ユーザーの一時停止、パスワードの取り消しなどの機能。
- アプリのアクセス許可 - 発行されたトークンとそのアクセス許可を表示します。
- アプリのアクセス許可ガバナンス - トークンを削除する機能。
- データ スキャン - 2 つのプロセス (12 時間ごと) とリアルタイム スキャン (変更が検出されるたびにトリガーされる) を使用した非構造化データのスキャン。
- データ ガバナンス - ごみ箱内のファイルを含むファイルを検疫し、ファイルを上書きする機能。
次の表に、アプリ コネクタでサポートされている機能をクラウド アプリごとに示します。
注:
すべてのアプリ コネクタがすべての機能をサポートしているわけではないため、一部の行が空になる場合があります。
ユーザーとアクティビティ
| アプリ | アカウントの一覧表示 | グループの一覧表示 | 特権の一覧表示 | ログオン アクティビティ | ユーザー アクティビティ | 管理アクティビティ |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | 該当なし | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| ボックス | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ - Google Business または Enterprise が必要です | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| 壁画 | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | プロバイダーではサポートされていません | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | 一部 | 一部 |
| Salesforce | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる |
| 余裕期間 | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | プロバイダーではサポートされていません | ||
| WorkDay | ✔ | プロバイダーではサポートされていません | プロバイダーではサポートされていません | ✔ | ✔ | プロバイダーではサポートされていません |
| Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 拡大 |
ユーザー、アプリ ガバナンス、セキュリティ構成の可視性
| アプリ | ユーザー ガバナンス | アプリのアクセス許可を表示する | アプリのアクセス許可を取り消す | SaaS セキュリティ体制管理 (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | 該当なし | 該当なし | ||
| Azure | プロバイダーではサポートされていません | |||
| ボックス | ✔ | プロバイダーではサポートされていません | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | 件名 Google ワークスペース接続 | 該当なし | 該当なし | |
| Google Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| 壁画 | ||||
| NetDocuments | Preview | |||
| Okta | 該当なし | 該当なし | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| 余裕期間 | ||||
| Smartsheet | ||||
| Webex | 該当なし | 該当なし | ||
| WorkDay | プロバイダーではサポートされていません | 該当なし | 該当なし | |
| Workplace by Meta | Preview | |||
| Zendesk | ✔ | |||
| 拡大 | Preview |
情報保護
| アプリ | DLP - 定期的なバックログ スキャン | DLP - ほぼリアルタイム スキャン | 制御の共有 | ファイル ガバナンス | Microsoft Purview Information Protectionから秘密度ラベルを適用する |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ - S3 バケット検出のみ | ✔ | ✔ | 該当なし | |
| Azure | |||||
| ボックス | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| Google Workspace | ✔ | ✔ - Google Business Enterprise が必要です | ✔ | ✔ | ✔ |
| Okta | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| Miro | |||||
| 壁画 | |||||
| NetDocuments | |||||
| Okta | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | 該当なし | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| 余裕期間 | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | 該当なし |
| WorkDay | プロバイダーではサポートされていません | プロバイダーではサポートされていません | プロバイダーではサポートされていません | プロバイダーではサポートされていません | 該当なし |
| Workplace by Meta | |||||
| Zendesk | Preview | ||||
| 拡大 |
前提条件
Microsoft 365 コネクタを使用する場合は、セキュリティに関する推奨事項を表示する各サービスのライセンスが必要です。 たとえば、Microsoft Formsの推奨事項を表示するには、Formsをサポートするライセンスが必要です。
一部のアプリでは、Defender for Cloud Appsがログを収集し、Defender for Cloud Apps コンソールへのアクセスを提供できるように、IP アドレスの一覧を許可することが必要な場合があります。 詳細については、「ネットワーク要件」を参照してください。
注:
URL と IP アドレスが変更されたときに更新プログラムを取得するには、「 Microsoft 365 URL と IP アドレス範囲」で説明されているように RSS をサブスクライブします。
ExpressRoute
Defender for Cloud Appsは Azure にデプロイされ、ExpressRoute と完全に統合されています。 検出ログのアップロードを含め、Defender for Cloud Apps アプリとDefender for Cloud Appsに送信されるトラフィックとのやり取りはすべて ExpressRoute 経由でルーティングされ、待機時間、パフォーマンス、およびセキュリティが向上します。 Microsoft ピアリングの詳細については、「 ExpressRoute 回線とルーティング ドメイン」を参照してください。
アプリ コネクタを無効にする
注:
- アプリ コネクタを無効にする前に、コネクタを再度有効にする場合は、必要に応じて接続の詳細を使用できることを確認してください。
- これらの手順を使用して、条件付きアクセス アプリ制御アプリとセキュリティ構成アプリを無効にすることはできません。
接続されているアプリを無効にするには:
- [ 接続済みアプリ ] ページで、関連する行で 3 つのドットを選択し、[ アプリ コネクタの無効化] を選択します。
- ポップアップで、[ アプリ コネクタ インスタンスを無効にする ] をクリックしてアクションを確認します。
無効にすると、コネクタ インスタンスはコネクタからのデータの使用を停止します。
アプリ コネクタを再度有効にする
接続済みアプリを再度有効にするには:
- [ 接続済みアプリ ] ページで、関連する行で 3 つのドットを選択し、[ 設定の編集] を選択します。 これにより、コネクタを追加するプロセスが開始されます。
- 関連する API コネクタ ガイドの手順を使用してコネクタを追加します。 たとえば、GitHub を再度有効にする場合は、「GitHub Enterprise Cloud を接続してMicrosoft Defender for Cloud Appsする」の手順を使用します。
関連するビデオ
次の手順
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。