条件付きアクセス アプリ制御用に Microsoft IdP 以外のカスタム アプリをオンボードする

Microsoft Defender for Cloud アプリのアクセスとセッション制御は、カタログ アプリとカスタム アプリの両方で機能します。 Microsoft Entra IDアプリは、条件付きアクセス アプリ制御を使用するように自動的にオンボードされますが、Microsoft IdP 以外で作業している場合は、アプリを手動でオンボードする必要があります。

この記事では、Defender for Cloud Appsで動作するように IdP を構成する方法と、各カスタム アプリを手動でオンボードする方法について説明します。 一方、Microsoft IdP 以外のカタログ アプリは、IdP とDefender for Cloud Appsの統合を構成すると自動的にオンボードされます。

前提条件

• 条件付きアクセス アプリ制御を使用するには、organizationに次のライセンスが必要です。

  • ID プロバイダー (IdP) ソリューションで必要なライセンス
  • Microsoft Defender for Cloud Apps

• シングル サインオンでアプリを構成する必要がある

• アプリは SAML 2.0 認証プロトコルで構成する必要があります。

アプリのオンボード/メンテナンスリストに管理者を追加する

1. [Microsoft Defender XDR] で、[Cloud Apps >設定] > [条件付きアクセス アプリ制御] > [アプリのオンボード/メンテナンス] を選択します。

2. アプリをオンボードするユーザーのユーザー名またはメールを入力し、[保存] を選択 します。

詳細については、「管理 表示ツール バーを使用した診断とトラブルシューティング」を参照してください。

Defender for Cloud Appsで動作するように IdP を構成する

この手順では、他の IdP ソリューションからアプリ セッションをDefender for Cloud Appsにルーティングする方法について説明します。

ヒント

次の記事では、この手順の詳細な例を示します。

• PingOne IdP を構成する
• AD FS IdP を構成する
• Okta IdP を構成する

Defender for Cloud Appsで動作するように IdP を構成するには:

1. Microsoft Defender XDRで、[設定] > [Cloud Apps >接続済みアプリ] > [条件付きアクセス アプリ制御アプリ] を選択します。

2. [ 条件付きアクセス アプリ制御アプリ ] ページで、[ + 追加] を選択します。

3. [ ID プロバイダーを使用して SAML アプリケーションを追加 する] ダイアログで、[ アプリの検索 ] ドロップダウンを選択し、デプロイするアプリを選択します。 アプリが選択されている状態で、[ スタート ウィザード] を選択します。

4. ウィザードの [APP INFORMATION] ページで、アプリからメタデータ ファイルをアップロードするか、アプリ データを手動で入力します。

   次の情報を必ず入力してください。

   • アサーション コンシューマー サービス URL。 これは、アプリが IdP から SAML アサーションを受信するために使用する URL です。
   • アプリで SAML 証明書が提供されている場合。 このような場合は、[使用] を選択します 。SAML 証明書 オプションを選択し、証明書ファイルをアップロードします。

   完了したら、[ 次へ ] を選択して続行します。

5. ウィザードの [IDENTITY PROVIDER ] ページで、指示に従って IdP のポータルで新しいカスタム アプリを設定します。

   注:

   IdP によっては、必要な手順が異なる場合があります。 次の理由で説明されているように、外部構成を実行することをお勧めします。

   • 一部の ID プロバイダーでは、ギャラリー/カタログ アプリの SAML 属性または URL プロパティを変更できません。
   • カスタム アプリを構成する場合は、organizationの既存の構成された動作を変更することなく、Defender for Cloud Appsアクセスとセッション制御を使用してアプリをテストできます。

   この手順の後半で使用するために、アプリのシングル サインオン構成情報をコピーします。 完了したら、[ 次へ ] を選択して続行します。

6. ウィザードの [IDENTITY PROVIDER ] ページで、IdP からメタデータ ファイルをアップロードするか、アプリ データを手動で入力します。

   次の情報を必ず入力してください。

   • シングル サインオン サービス URL。 これは、IdP がシングル サインオン要求を受信するために使用する URL です。
   • IDP で SAML 証明書が提供されている場合。 このような場合は、[ ID プロバイダーの SAML 証明書を使用 する] オプションを選択し、証明書ファイルをアップロードします。

7. ウィザードの [IDENTITY PROVIDER ] ページで、この手順の後半で使用するために、シングル サインオン URL とすべての属性と値の両方をコピーします。

   完了したら、[ 次へ ] を選択して続行します。

8. IdP のポータルを参照し、IdP 構成にコピーする値を入力します。 通常、これらの設定は IdP のカスタム アプリ設定領域にあります。

   1. 前の手順からコピーしたアプリのシングル サインオン URL を入力します。 一部のプロバイダーは、シングル サインオン URL を 応答 URL として参照できます。

   2. 前の手順からコピーした属性と値をアプリのプロパティに追加します。 一部のプロバイダーは、 ユーザー属性 または 要求と参照できます。

      新しいアプリの属性が 1024 文字に制限されている場合は、まず関連する属性を含まないアプリを作成し、後でアプリを編集して追加します。

   3. 名前識別子がメール アドレスの形式であることを確認します。

   4. 完了したら、必ず設定を保存してください。

9. Defender for Cloud Appsに戻り、ウィザードの [APP CHANGES] ページで、SAML シングル サインオン URL をコピーし、Microsoft Defender for Cloud Apps SAML 証明書をダウンロードします。 SAML シングル サインオン URL は、アプリの条件付きアクセス制御で使用する場合Defender for Cloud Appsカスタマイズされた URL です。

10. アプリのポータルを参照し、次のようにシングル サインオン設定を構成します。

    1. (推奨)現在の設定のバックアップを作成します。
    2. ID プロバイダーのサインイン URL フィールドの値を、前の手順でコピーしたDefender for Cloud Apps SAML シングル サインオン URL に置き換えます。 このフィールドの特定の名前は、アプリによって異なる場合があります。
    3. 前の手順でダウンロードしたDefender for Cloud Apps SAML 証明書をアップロードします。
    4. 変更は必ず保存してください。

11. ウィザードで [ 完了] を選択して構成を完了します。

Defender for Cloud Appsによってカスタマイズされた値でアプリのシングル サインオン設定を保存すると、アプリに関連付けられているすべてのサインイン要求が、Defender for Cloud Appsと条件付きアクセス アプリ制御によってルーティングされます。

注:

Defender for Cloud Apps SAML 証明書は 1 年間有効です。 有効期限が切れた後、新しいを生成する必要があります。

アプリの条件付きアクセス制御のオンボード

アプリ カタログに自動的に設定されないカスタム アプリを使用している場合は、手動で追加する必要があります。

アプリが既に追加されているかどうかをチェックするには:

1. Microsoft Defender XDRで、[Cloud Apps >設定] > [接続済みアプリ] > [条件付きアクセス アプリ制御アプリ] を選択します。

2. [ アプリ: アプリの選択... ] ドロップダウン メニューを選択して、アプリを検索します。

アプリが既に一覧表示されている場合は、 代わりにカタログ アプリの手順に進みます。

アプリを手動で追加するには:

1. 新しいアプリがある場合は、オンボードする新しいアプリがあることを通知するバナーがページの上部に表示されます。 [ 新しいアプリの表示 ] リンクを選択して表示します。

2. [ 検出された Azure AD アプリ ] ダイアログで、[ ログイン URL ] の値など、アプリを見つけます。 [ + ] ボタンを選択し、[ 追加] を選択 してカスタム アプリとしてオンボードします。

ルート証明書をインストールする

アプリごとに正しい 現在の CA 証明書または 次の CA 証明書を使用していることを確認します。

証明書をインストールするには、証明書ごとに次の手順を繰り返します。

1. [ 現在のユーザー ] または [ ローカル コンピューター] を選択して、証明書を開いてインストールします。

2. 証明書を配置する場所を確認するメッセージが表示されたら、[ 信頼されたルート証明機関] を参照します。

3. [ OK] を 選択し、必要に応じて [完了] を選択 して手順を完了します。

4. ブラウザーを再起動し、アプリをもう一度開き、メッセージが表示されたら [続行 ] を選択します。

5. Microsoft Defender XDRで、[設定] > [Cloud Apps >接続済みアプリ>条件付きアクセス アプリ制御アプリ] を選択し、アプリが引き続き表に一覧表示されていることを確認します。

詳細については、「 アプリが条件付きアクセス アプリ制御アプリ ページに表示されない」を参照してください。

関連コンテンツ

• Microsoft Defender for Cloud Apps条件付きアクセス アプリ制御を使用してアプリを保護する
• Microsoft IdP 以外のカタログ アプリの条件付きアクセス アプリ制御を展開する
• アクセスとセッション制御のトラブルシューティング

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。