チュートリアル: organizationで使用されているアプリをリアルタイムで保護する
従業員が使用することを承認するアプリは、多くの場合、最も機密性の高い企業データとシークレットの一部を格納します。 最新の職場では、ユーザーは多くの危険な状況でこれらのアプリにアクセスします。 これらのユーザーは、可視性がほとんどないユーザーや、管理されていないデバイスを使用している従業員、またはパブリック IP アドレスから取得した従業員に対して、organizationのパートナーである可能性があります。 この状況では幅広いリスクがあるため、ゼロトラスト戦略を採用する必要があります。 多くの場合、事実の後にこれらのアプリの侵害やデータ損失について知るだけでは十分ではありません。そのため、多くの情報保護とサイバー脅威のシナリオにリアルタイムで対処または防止する必要があります。
このチュートリアルでは、アクセス制御とセッション制御を使用して、アプリとそのデータへのアクセスを監視および制御する方法について説明します。 データへのアクセスを適応的に管理し、脅威から軽減することで、Defender for Cloud Appsは最も機密性の高い資産を保護できます。 具体的には、次のシナリオについて説明します。
リアルタイムで任意のアプリからorganizationを保護する方法
このプロセスを使用して、organizationでリアルタイム コントロールをロールアウトします。
フェーズ 1: 異常がないかユーザー アクティビティを監視する
Microsoft Entra IDアプリは、条件付きアクセス アプリ制御用に自動的にデプロイされ、アクティビティと関連情報に関する即時の分析情報がリアルタイムで監視されます。 この情報を使用して、異常な動作を特定します。
Defender for Cloud Appsアクティビティ ログを使用して、環境内でのアプリの使用を監視および特徴付けし、そのリスクを理解します。 検索、フィルター、クエリを使用して一覧表示されるアクティビティの範囲を絞り込み、危険なアクティビティをすばやく特定します。
フェーズ 2: データが流出したときにデータを保護する
多くの組織にとっての主な関心事は、データ流出が発生する前にデータ流出を防ぐ方法です。 最大のリスクの 2 つとして、管理されていないデバイス (ピンで保護されていないか、悪意のあるアプリが含まれている可能性があります) と、IT 部門の可視性と制御がほとんどないゲスト ユーザーがあります。
アプリがデプロイされたので、デバイス管理、ユーザー グループのMicrosoft Entra ID、データ保護のMicrosoft Purview Information ProtectionにMicrosoft Intuneとのネイティブ統合を活用することで、これらの両方のリスクを軽減するポリシーを簡単に構成できます。
- 管理されていないデバイスを軽減する: organization内のユーザー専用の機密性の高いファイルにラベルを付けて保護するセッション ポリシーを作成します。
- ゲスト ユーザーを軽減する: ゲスト ユーザーによってダウンロードされたすべてのファイル にカスタム アクセス許可を適用するセッション ポリシー を作成します。 たとえば、ゲスト ユーザーが保護されたファイルにのみアクセスできるように、アクセス許可を設定できます。
フェーズ 3: 保護されていないデータがアプリにアップロードされないようにする
組織は、データ流出を防ぐだけでなく、クラウド アプリに侵入したデータもセキュリティで保護することを望んでいることがよくあります。 一般的なユース ケースは、ユーザーが正しくラベル付けされていないファイルをアップロードしようとしたときです。
上記で構成したアプリでは、次のように、正しくラベル付けされていないファイルのアップロードを防ぐためにセッション ポリシーを構成できます。
ラベルが正しくないファイルのアップロードをブロックするセッション ポリシーを作成します。
このようにファイルのアップロードを保護すると、クラウドに保存されたデータに適切なアクセス許可が適用されます。 ファイルが共有または失われた場合は、承認されたユーザーのみがアクセスできます。
詳細情報
- 対話型ガイドを試す: Microsoft Defender for Cloud Appsを使用して情報を保護および制御する