Microsoft Defender for Cloud Appsの条件付きアクセスアプリコントロール
今日の職場では、クラウド環境で何が起こったかを事後に把握するだけでは不十分です。 また、侵害やリークをリアルタイムで停止し、従業員が意図的または誤ってデータや組織を危険にさらすことを防ぐ必要があります。
組織内のユーザーが利用可能な最高のクラウドアプリを使用し、独自のデバイスを使用している間、ユーザーをサポートする必要があります。 ただし、データの漏洩や盗難からリアルタイムで組織を保護するためのツールも必要です。 Microsoft Defender for Cloud Appsは、任意のidプロバイダー (IdP) と統合して、アクセスとセッションポリシーを使用してこの保護を提供します。
次に例を示します。
アクセスポリシーを使用して、次のことを行います。
- 管理されていないデバイスからのユーザーのSalesforceへのアクセスをブロックします
- ネイティブクライアントのDropboxへのアクセスをブロックします。
セッションポリシーを使用して、のことを行います。
- OneDriveから管理されていないデバイスへの機密ファイルのダウンロードをブロックします
- SharePoint Onlineへのマルウェアファイルのアップロードをブロックします
Microsoft Edgeユーザーは、ブラウザーのアドレスバーに表示されるロックアイコンで示される、直接のブラウザー内保護を利用できます。
他のブラウザーのユーザーは、リバースプロキシ経由でDefender for Cloud Appsにリダイレクトされ、リンクのURLに*.mcas.ms
サフィックスが表示されます。 たとえば、アプリのURLがmyapp.comの場合、アプリのURLはmyapp.com.mcas.msに更新されます。
この記事では、 Microsoft Entra Conditional Access ポリシーを使用した Defender for Cloud Apps の条件付きアクセス アプリ制御について説明します。
条件付きアクセス アプリ制御アクティビティ
条件付きアクセス アプリ制御は、 アクセス ポリシー と セッション ポリシー を使用して、組織全体でユーザーのアプリ アクセスとセッションをリアルタイムで監視および制御します。
各ポリシーには、ポリシーが適用されるユーザー (ユーザーまたはユーザーのグループ) 、内容 (クラウドアプリ) 、および場所 (場所とネットワーク) を定義する条件があります。 条件を決定したら、まずユーザーをDefender for Cloud Appsにルーティングします。ここでは、データを保護するためにアクセスとセッションの制御を適用できます。
アクセスポリシーとセッションポリシーには、次の種類のアクティビティが含まれます。
アクティビティ | 説明 |
---|---|
データ流出を防止する | 管理されていないデバイスなどで、機密性の高いドキュメントのダウンロード、切り取り、コピー、印刷をブロックします。 |
認証コンテキストを要求します | 多要素認証を要求するなど、機密性の高いアクションがセッションで発生した場合は、Microsoft Entra条件付きアクセスポリシーを再評価します。 |
ダウンロード時に保護する | 機密性の高いドキュメントのダウンロードをブロックするのではなく、Microsoft Purview Information Protectionと統合するときに、ドキュメントにラベルを付けて暗号化するように要求します。 このアクションにより、危険を及ぼす可能性のあるセッションにおいて確実にドキュメントが保護され、ユーザー アクセスが制限されます。 |
ラベル付けされていないファイルがアップロードされないようにする | ユーザーがコンテンツを分類するまで、機密性の高いコンテンツを含むラベルのないファイルがアップロードされないようにします。 機密性の高いファイルがアップロード、配布、および他のユーザーによって使用される前に、機密性の高いファイルに組織のポリシーで定義されたラベルがあることを確認することが重要です。 |
潜在的なマルウェアをブロックします | 悪意のある可能性のあるファイルのアップロードをブロックして、マルウェアから環境を保護します。 アップロードまたはダウンロードされるファイルはすべて、Microsoft 脅威インテリジェンスに対してスキャンされ、即座にブロックされます。 |
コンプライアンスのためにユーザー セッションを監視する | ユーザーの動作を調査および分析して、今後セッションポリシーを適用する必要がある場所と条件を把握します。 危険性の高いユーザーはアプリにサインインするときに監視され、アクションはセッション内からログに記録されます。 |
アクセスをブロックする | 複数のリスク要因に応じて、特定のアプリとユーザーのアクセスを詳細にブロックします。 例えば、デバイス管理のフォームとしてクライアント証明書を使用している場合は、それらをブロックできます。 |
カスタム アクティビティをブロックする | アプリによっては、リスクを伴う固有のシナリオがあります。Microsoft Teams や Slack のようなアプリで、機密性の高いコンテンツを含むメッセージを送信するなどです。 このようなシナリオでは、機密性の高いコンテンツのメッセージをスキャンし、リアルタイムでブロックします。 |
詳細については、以下を参照してください:
使いやすさ
アプリの条件付きアクセス制御では、デバイスに何かをインストールする必要がないため、アンマネージド デバイスやパートナー ユーザーからのセッションを監視または制御する場合に最適です。
Defender for Cloud Appsでは、クラス最高の特許取得済みヒューリスティックを使用して、ターゲットアプリでユーザーが実行したアクティビティを識別して制御します。 当社のヒューリスティックは、セキュリティと使いやすさを最適化し、バランスをとるように設計されています。
まれに、サーバー側でアクティビティをブロックすることでアプリが使用できなくなる場合、これらのアクティビティはクライアント側でのみ保護されるため、悪意のある内部関係者による悪用を受けやすくなります。
システムパフォーマンスとデータストレージ
Defender for Cloud Apps では、世界中の Azure データ センターが使用され、位置情報によって最適化されたパフォーマンスが提供されます。 これは、トラフィック パターンとユーザーの場所に応じて、ユーザーのセッションが特定の地域の外でホストされる可能性があることを意味します。 ただし、プライバシーを保護するため、セッション データはこれらのデータ センターには保存されません。
Defender for Cloud Appsプロキシサーバーは、保存データを格納しません。 コンテンツをキャッシュする場合、RFC 7234 (HTTP キャッシュ) に定められた要件に従い、パブリック コンテンツのみをキャッシュします。
サポートされているアプリとクライアント
SAML 2.0認証プロトコルを使用する対話型シングルサインオンに、セッションとコントロールへのアクセスを適用します。 アクセス制御は、組み込みのモバイルおよびデスクトップクライアントアプリでもサポートされています。
さらに、Microsoft Entra IDアプリを使用している場合は、セッションとアクセスの制御を適用します。
- Open ID Connect認証プロトコルを使用する対話型シングルサインオン。
- オンプレミスでホストされ、Microsoft Entraアプリケーションプロキシで構成されたアプリ。
Microsoft Entra ID アプリも条件付きアクセス アプリ制御用に自動的にオンボードされますが、他の IdP を使用するアプリは 手動でオンボード する必要があります。
Defender for Cloud Appsは、クラウドアプリカタログのデータを使用してアプリを識別します。 プラグインを使用してアプリをカスタマイズした場合は、関連付けられているカスタムドメインをカタログ内の関連するアプリに追加する必要があります。 詳しくは、「リスク スコアの操作」をご覧ください。
Note
Authenticator アプリやその他の組み込みアプリなど、非対話型のサインイン フローを備えたインストール済みアプリは、アクセス制御で使用できません。 その場合は、Microsoft Defender for Cloud Apps アクセス ポリシーに加えて、Entra ID ポータルでアクセス ポリシーを作成することをお勧めします。
セッション制御のサポート範囲
セッション制御は、任意のオペレーティングシステム上の任意の主要なプラットフォーム上の任意のブラウザーで動作するように構築されていますが、次のブラウザーをサポートしています。
- Microsoft Edge (最新)
- Google Chrome (最新)
- Mozilla Firefox (最新)
- Apple Safari (最新)
Microsoft Edgeユーザーは、リバースプロキシにリダイレクトすることなく、ブラウザー内保護を利用できます。 詳細については、 「Microsoft Edge for Business (プレビュー) を使用したブラウザー内保護」 を参照してください。
TLS 1.2以降のアプリのサポート
Defender for Cloud Appsは、トランスポート層セキュリティ (TLS) プロトコル1.2以降を使用してクラス最高の暗号化を提供します。TLS 1.2以降をサポートしていない組み込みのクライアントアプリとブラウザーは、セッション制御を使用して構成されている場合はアクセスできません。
しかし、TLS 1.1 以下を使用している SaaS アプリは、Defender for Cloud Apps を使用して構成されている場合、TLS 1.2 以降を使用しているようにブラウザーに表示されます。
関連するコンテンツ
詳細については、以下を参照してください: