次の方法で共有

Microsoft Defender for Cloud Apps の使用を開始する

  • [アーティクル]

このクイック スタートでは、Microsoft Defender ポータルでMicrosoft Defender for Cloud Appsの操作を開始する方法について説明します。

Defender for Cloud Appsは、企業リソースの制御を維持しながら、クラウド アプリケーションの利点を利用するのに役立ちます。 Defender for Cloud Appsにより、クラウド アクティビティの可視性が向上し、企業データに対する保護が強化されます。

ヒント

この記事のコンパニオンとして、Microsoft 365 管理センターにサインインするときに、自動セットアップ ガイドMicrosoft Defender for Cloud Apps使用することをお勧めします。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、 Microsoft 365 セットアップ ポータルにアクセスします。

前提条件

Defender for Cloud Appsを設定するには、少なくとも Microsoft Entra ID または Microsoft 365 のセキュリティ管理者である必要があります。

管理者ロールを持つユーザーは、ロールを割り当てた場所に関係なく、organizationがサブスクライブされているクラウド アプリ全体で同じ管理者アクセス許可を持ちます。 詳細については、「管理者ロールの割り当て」と「Microsoft Entra IDでの管理者ロールの割り当て」を参照してください。

Microsoft Defender for Cloud Appsはセキュリティ ツールであるため、Microsoft 365 Productivity Suite ライセンスは必要ありません。 Microsoft 365 Cloud App Security (Microsoft 365 の場合のみMicrosoft Defender for Cloud Apps) については、「Microsoft Defender for Cloud Appsと Microsoft 365 の違いとは」を参照してください。Cloud App Security?.

Microsoft Defender for Cloud Appsは、次のMicrosoft Entra IDアプリケーションが正常に機能するかどうかによって異なります。 Microsoft Entra IDでこれらのアプリケーションを無効にしないでください。

  • Microsoft Defender for Cloud Apps - API
  • Microsoft Defender for Cloud Apps - カスタマー エクスペリエンス
  • Microsoft Defender for Cloud Apps - Information Protection
  • Microsoft Defender for Cloud Apps - MIP サーバー

アクセス Defender for Cloud Apps

  1. Defender for Cloud Appsによって保護する各ユーザーのDefender for Cloud Apps ライセンスを取得します。 詳細については、 Microsoft 365 ライセンスデータシートを参照してください

    Defender for Cloud Apps試用版は、Microsoft 365 E5試用版の一部として利用でき、Microsoft 365 管理センター >Marketplace からライセンスを購入できます。 詳細については、「Microsoft 365 の試用または購入」または「ビジネス向け Microsoft 365 のサポートを受ける」を参照してください。

    注:

    Microsoft Defender for Cloud Appsはセキュリティ ツールであるため、Microsoft 365 Productivity Suite ライセンスは必要ありません。 詳細については、「Microsoft Defender for Cloud Appsと Microsoft 365 Cloud App Securityの違いについて」を参照してください。

  2. Microsoft Defender ポータルの [Cloud Apps] でDefender for Cloud Appsにアクセスします。 以下に例を示します。

    Defender for Cloud Apps Cloud Discovery ページのスクリーンショット。

手順 1: アプリの即時可視性、保護、ガバナンス アクションを設定する

ページを作成する方法: アプリの即時可視性、保護、ガバナンス アクションを設定する

必要なタスク: アプリを接続する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。
  2. [ 接続済みアプリ] で、[ アプリ コネクタ] を選択します。
  3. +Connect アプリを選択してアプリを追加し、アプリを選択します。
  4. 構成手順に従ってアプリを接続します。

アプリを接続する理由 アプリを接続すると、より詳細な可視性を得ることができるので、クラウド環境内のアプリのアクティビティ、ファイル、アカウントを調査できます。

手順 2: DLP ポリシーを使用して機密情報を保護する

[方法] ページ: DLP ポリシーを使用して機密情報を保護する

推奨タスク: ファイルの監視を有効にし、ファイル ポリシーを作成する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。
  2. [Information Protection] で [ファイル] を選択します
  3. [ ファイルの監視を有効にする] を選択し、[保存] を選択 します
  4. Microsoft Purview Information Protectionの秘密度ラベルを使用する場合は、[Information Protection] で [Microsoft Information Protection] を選択します。
  5. 必要な設定を選択し、[ 保存] を選択します。
  6. 手順 3 で、組織の要件を満たすファイル ポリシーを作成します。

ヒント

接続されているアプリからファイルを表示するには、Microsoft Defender ポータルで Cloud Apps>Files を参照します。

移行に関する推奨事項
Defender for Cloud Apps機密情報保護は、現在の Cloud Access Security Broker (CASB) ソリューションと並行して使用することをお勧めします。 まず、保護するアプリをMicrosoft Defender for Cloud Appsに接続します。 API コネクタは帯域外接続を使用するため、競合は発生しません。 その後、現在の CASB ソリューションからDefender for Cloud Appsにポリシーを段階的に移行します。

注:

サード パーティ製アプリの場合は、現在の読み込みがアプリの許可される API 呼び出しの最大数を超えていないことを確認します。

手順 3: ポリシーを使用してクラウド アプリを制御する

[方法] ページ: ポリシーを使用してクラウド アプリを制御する

必須タスク: ポリシーを作成する

ポリシーを作成するには

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->[ポリシー テンプレート] を選択します。
  2. 一覧からポリシー テンプレートを選択し、 + アイコンを選択してポリシーを作成します。
  3. ポリシーをカスタマイズし (フィルター、アクション、その他の設定を選択)、[ 作成] を選択します。
  4. [Cloud Apps] で、[ポリシー] ->[ポリシー管理] を選択してポリシーを選択し、関連する一致 (アクティビティ、ファイル、アラート) を表示します。

ヒント

クラウド環境のすべてのセキュリティ シナリオに対応するには、 リスク カテゴリごとにポリシーを作成します。

ポリシーは、organizationにどのように役立ちますか?

ポリシーを使用すると、傾向の監視、セキュリティの脅威の表示、カスタマイズされたレポートとアラートの生成に役立ちます。 ポリシーを使用すると、ガバナンス アクションを作成し、データ損失防止とファイル共有制御を設定できます。

手順 4: クラウド検出を設定する

[方法] ページ: クラウド検出を設定する

必要なタスク: Defender for Cloud Appsを有効にしてクラウド アプリの使用を表示する

  1. Microsoft Defender for Endpoint との統合により、社内外の Windows 10 および Windows 11 デバイスに対して Defender for Cloud Apps による監視が自動的に有効化されるようにします。

  2. Zscaler を使用する場合は、Defender for Cloud Appsと統合します。

  3. 完全なカバレッジを実現するには、継続的なクラウド検出レポートを作成します

    1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。
    2. [ Cloud Discovery]\(クラウド検出\) で、[ 自動ログ アップロード] を選択します。
    3. [ データ ソース ] タブで、ソースを追加します。
    4. [ ログ コレクター ] タブで、ログ コレクターを構成します。

移行に関する推奨事項
Defender for Cloud Apps検出は、現在の CASB ソリューションと並行して使用することをお勧めします。 まず、Defender for Cloud Apps ログ コレクターへのファイアウォール ログの自動アップロードを構成します。 Defender for Endpoint を使用する場合は、Microsoft Defender XDRで、信号をDefender for Cloud Appsに転送するオプションをオンにしてください。 クラウド検出の構成は、現在の CASB ソリューションのログ コレクションと競合しません。

スナップショット クラウド検出レポートを作成するには

  1. Microsoft Defender ポータルの [Cloud Apps] で、[クラウド検出] を選択します。
  2. 右上隅にある [アクション] -> [Cloud Discovery スナップショット レポートの作成] を選択します

クラウド検出レポートを構成する必要があるのはなぜですか?

組織内に存在するシャドウ IT を可視化することは非常に重要です。 ログを分析すると、どのようなクラウド アプリが、どのユーザーによって、どのデバイスで使用されているかを簡単に把握できます。

手順 5: エクスペリエンスをカスタマイズする

[方法] ページ: エクスペリエンスをカスタマイズする

推奨タスク: organizationの詳細を追加する

メール設定を入力するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。
  2. [ システム] で、[ メール設定] を選択します。
  3. [送信者 ID Email] で、メール アドレスと表示名を入力します。
  4. [Emailデザイン] で、organizationのメール テンプレートをアップロードします。

管理者通知を設定するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[Microsoft Defender XDR] を選択します。
  2. [Email通知] を選択します
  3. システム通知に設定するメソッドを構成します。

スコア メトリクスをカスタマイズするには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。
  2. [ Cloud Discovery]\(クラウド検出\) で、[ メトリックのスコア付け] を選択します。
  3. さまざまなリスク値の重要性を構成します。
  4. 保存] を選択します。

以上で、検出されたアプリに与えられるリスク スコアが、組織のニーズと優先課題に合わせて正確に構成されました。

環境をカスタマイズする理由

一部の機能については、最適な動作のためにニーズに合わせてカスタマイズすることが想定されている場合があります。 独自の電子メール テンプレートを使用して、ユーザーに優れたエクスペリエンスを提供します。 受け取る通知を決定し、organizationの好みに合わせてリスク スコア メトリックをカスタマイズします。

手順 7: ニーズに応じてデータを整理する

[方法] ページ: IP 範囲とタグを操作する

推奨タスク: 重要な設定を構成する

IP アドレス タグを作成するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

  2. [ システム] で、[ IP アドレス範囲] を選択します。

  3. [ + IP アドレス範囲の追加] を選択して、IP アドレス範囲を追加します。

  4. [IP 範囲 名]、[ IP アドレス範囲]、[ カテゴリ]、[ タグ] を入力します。

  5. [作成] を選択します。

    ポリシーを作成するとき、および継続的なレポートをフィルター処理して作成するときに、IP タグを使用できるようになりました。

継続的なレポートを作成するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。
  2. [ Cloud Discovery]\(クラウド検出\) で、[ 継続的なレポート] を選択します。
  3. [ レポートの作成] を選択します
  4. 構成手順に従います。
  5. [作成] を選択します。

これで、ビジネス ユニットや IP 範囲など、独自の好みに基づいて検出されたデータを表示できるようになりました。

ドメインを追加するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。
  2. [ システム] で、[ 組織の詳細] を選択します。
  3. organizationの内部ドメインを追加します。
  4. 保存] を選択します。

これらの設定を構成する必要があるのはなぜですか?

これらの設定は、コンソールの機能をより適切に制御するのに役立ちます。 IP タグを使用すると、ニーズに合ったポリシーを作成し、データを正確にフィルター処理する方が簡単です。 データ ビューを使用して、データを論理カテゴリにグループ化します。

次の手順

ポリシーを使用してクラウド アプリを制御します

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。