Microsoft Defender for Cloud Appsでのアプリの条件付きアクセス制御
今日の職場では、事実の後にクラウド環境で何が起こったのかを知るだけでは十分ではありません。 侵害や漏洩をリアルタイムで停止する必要があります。 また、従業員が意図的または誤ってデータやorganizationを危険にさらすのを防ぐ必要もあります。
ユーザーが利用可能な最高のクラウド アプリを使用し、独自のデバイスを使用しながら、organizationでユーザーをサポートする必要があります。 ただし、データ漏洩や盗難からリアルタイムでorganizationを保護するためのツールも必要です。 Microsoft Defender for Cloud Appsは任意の ID プロバイダー (IdP) と統合され、アクセス ポリシーとセッション ポリシーを使用してこの保護を実現します。
以下に例を示します。
アクセス ポリシーを使用して、次の手順を実行します。
- 管理されていないデバイスのユーザーに対する Salesforce へのアクセスをブロックします。
- ネイティブ クライアントの Dropbox へのアクセスをブロックします。
セッション ポリシーを使用して、次の手順を実行します。
- OneDrive からアンマネージド デバイスへの機密ファイルのダウンロードをブロックします。
- SharePoint Online へのマルウェア ファイルのアップロードをブロックします。
Microsoft Edge ユーザーは 、ブラウザー内の直接的な保護の恩恵を受けることができます。 ブラウザーのアドレス バーのロック 
アイコンは、この保護を示します。
他のブラウザーのユーザーは、リバース プロキシ経由でDefender for Cloud Appsにリダイレクトされます。 これらのブラウザーでは、リンクの URL に *.mcas.ms サフィックスが表示されます。 たとえば、アプリ URL が myapp.comされている場合、アプリ URL は myapp.com.mcas.msに更新されます。
この記事では、条件付きアクセス ポリシーを使用したDefender for Cloud Appsの条件付きアクセス アプリ制御Microsoft Entra説明します。
条件付きアクセス アプリ制御のアクティビティ
条件付きアクセス アプリ制御では、アクセス ポリシーとセッション ポリシーを使用して、organization全体でユーザー アプリのアクセスとセッションをリアルタイムで監視および制御します。
各ポリシーには、ポリシーを適用する ユーザー (ユーザーまたはグループ)、 何 (どのクラウド アプリ)、および ポリシーを 適用する場所 (場所とネットワーク) を定義する条件があります。 条件を決定したら、まずユーザーをDefender for Cloud Appsにルーティングします。 そこで、データの保護に役立つアクセス制御とセッション制御を適用できます。
アクセス ポリシーとセッション ポリシーには、次の種類のアクティビティが含まれます。
| 最新情報 | 説明 |
|---|---|
| データ流出の防止 | 非管理対象デバイス上の機密ドキュメントのダウンロード、切り取り、コピー、印刷をブロックします。 |
| 認証コンテキストを要求する | 多要素認証の要求など、機密性の高いアクションがセッションで発生したときに、Microsoft Entra条件付きアクセス ポリシーを再評価します。 |
| ダウンロード時に保護する | 機密ドキュメントのダウンロードをブロックする代わりに、Microsoft Purview Information Protectionと統合するときにドキュメントのラベル付けと暗号化を行う必要があります。 このアクションは、ドキュメントを保護し、リスクの高いセッションでユーザー アクセスを制限するのに役立ちます。 |
| ラベル付けされていないファイルのアップロードを禁止する | ユーザーがコンテンツを分類するまで、機密性の高いコンテンツを含むラベル付けされていないファイルのアップロードがブロックされていることを確認します。 ユーザーが機密ファイルをアップロード、配布、または使用する前に、ファイルに、organizationのポリシーが定義したラベルが必要です。 |
| 潜在的なマルウェアをブロックする | 悪意のある可能性のあるファイルのアップロードをブロックすることで、マルウェアから環境を保護するのに役立ちます。 ユーザーがアップロードまたはダウンロードを試みるすべてのファイルは、Microsoft 脅威インテリジェンスに対してスキャンされ、瞬時にブロックされます。 |
| コンプライアンスのユーザー セッションを監視する | ユーザーの動作を調査して分析し、今後、セッション ポリシーを適用する必要がある場所と条件を把握します。 危険なユーザーは、アプリにサインインすると監視され、そのアクションはセッション内からログに記録されます。 |
| [アクセスのブロック] | いくつかのリスク要因に応じて、特定のアプリとユーザーのアクセスをきめ細かくブロックします。 たとえば、デバイス管理の形式としてクライアント証明書を使用している場合は、それらをブロックできます。 |
| カスタム アクティビティをブロックする | 一部のアプリには、リスクを伴う独自のシナリオがあります。 たとえば、Microsoft Teamsや Slack などのアプリで機密性の高いコンテンツを含むメッセージを送信します。 このようなシナリオでは、機密性の高いコンテンツのメッセージをスキャンし、リアルタイムでブロックします。 |
詳細については、以下を参照してください:
ユーザビリティ
条件付きアクセス アプリ制御では、デバイスに何もインストールする必要がないため、管理されていないデバイスまたはパートナー ユーザーからのセッションを監視または制御する場合に最適です。
Defender for Cloud Appsは、特許を取得したヒューリスティックを使用して、ターゲット アプリのユーザー アクティビティを識別および制御します。 ヒューリスティックは、セキュリティを最適化し、使いやすさとバランスを取るために設計されています。
まれなシナリオでは、サーバー側でアクティビティをブロックするとアプリが使用できなくなるため、組織はクライアント側でのみこれらのアクティビティをセキュリティで保護します。 このアプローチにより、悪意のある内部関係者による悪用を受けやすくなります。
システム パフォーマンスとデータ ストレージ
Defender for Cloud Appsは、世界中の Azure データセンターを使用して、位置情報を通じて最適化されたパフォーマンスを提供します。 ユーザーのセッションは、トラフィック パターンとその場所に応じて、特定のリージョンの外部でホストされる場合があります。 ただし、ユーザーのプライバシーを保護するために、これらのデータセンターにはセッション データは格納されません。
Defender for Cloud Appsプロキシ サーバーは保存データを格納しません。 コンテンツをキャッシュするときは、 RFC 7234 (HTTP キャッシュ) に記載されている要件に従い、パブリック コンテンツのみをキャッシュします。
サポートされているアプリとクライアント
SAML 2.0 認証プロトコルを使用する対話型シングル サインオンにセッションとアクセス制御を適用します。 アクセス制御は、組み込みのモバイル およびデスクトップ クライアント アプリでもサポートされています。
さらに、Microsoft Entra ID アプリを使用している場合は、セッションとアクセス制御を次に適用します。
- OpenID Connect 認証プロトコルを使用する対話型のシングル サインオン。
- オンプレミスでホストされ、Microsoft Entra アプリケーション プロキシで構成されたアプリ。
Microsoft Entra IDアプリは条件付きアクセス アプリ制御にも自動的にオンボードされますが、他の IdP を使用するアプリは手動でオンボードする必要があります。
Defender for Cloud Appsクラウド アプリ カタログのデータを使用してアプリを識別します。 プラグインを使用してアプリをカスタマイズした場合は、関連するカスタム ドメインをカタログ内の関連アプリに追加する必要があります。 詳細については、「 クラウド アプリを検索し、リスク スコアを計算する」を参照してください。
注:
Authenticator アプリやその他の組み込みアプリなど、 非対話型 のサインイン フローを持つインストール済みアプリをアクセス制御で使用することはできません。 その場合の推奨事項は、Microsoft Defender for Cloud Appsアクセス ポリシーに加えて、Microsoft Entra 管理センターでアクセス ポリシーを作成することです。
セッション制御のサポート範囲
セッション コントロールは、任意のオペレーティング システム上の任意の主要なプラットフォーム上の任意のブラウザーで動作するように構築されていますが、次のブラウザーの最新バージョンをサポートしています。
Microsoft Edge ユーザーは、リバース プロキシにリダイレクトすることなく、ブラウザー内保護の恩恵を受けることができます。 詳細については、「Microsoft Edge for Businessによるブラウザー内保護 (プレビュー)」を参照してください。
TLS 1.2 以降のアプリサポート
Defender for Cloud Appsは、トランスポート層セキュリティ (TLS) 1.2 以降のプロトコルを使用して暗号化を提供します。 TLS 1.2 以降をサポートしていない組み込みのクライアント アプリとブラウザーには、セッション制御を使用して構成する場合はアクセスできません。
ただし、TLS 1.1 以前を使用するサービスとしてのソフトウェア (SaaS) アプリは、Defender for Cloud Appsで構成すると、TLS 1.2 以降を使用するようにブラウザーに表示されます。