次の方法で共有

チュートリアル: 危険なアクション時にステップアップ認証 (認証コンテキスト) を要求する

  • [アーティクル]

今日の IT 管理者は、岩とハードな場所の間に立ち往生しています。 従業員の生産性を高めたいと考えています。 つまり、従業員は、任意のデバイスからいつでも作業できるようにアプリにアクセスできます。 ただし、独自の情報や特権情報を含む会社の資産を保護する必要があります。 従業員がデータを保護しながらクラウド アプリにアクセスできるようにする方法

このチュートリアルでは、ユーザーがセッション中に機密性の高いアクションを実行するときにMicrosoft Entra条件付きアクセス ポリシーを再評価できます。

脅威

会社のオフィスから SharePoint Online にログインした従業員。 同じセッション中に、その IP アドレスが企業ネットワークの外部に登録されます。 たぶん、彼らは階下のコーヒーショップに行ったり、悪意のある攻撃者によってトークンが侵害されたり盗まれたりしたかもしれません。

解決策

Microsoft Entra条件付きアクセス ポリシーを、Defender for Cloud Apps条件付きアクセス アプリ制御の機密性の高いセッション アクション中に再評価するように要求することで、organizationを保護します。

前提条件

  • Microsoft Entra ID P1 ライセンスの有効なライセンス

  • クラウド アプリ (この場合は SharePoint Online) をMicrosoft Entra ID アプリとして構成し、SAML 2.0 または OpenID Connect 経由で SSO を使用する

  • アプリが Defender for Cloud Apps にデプロイされていることを確認する

ステップアップ認証を適用するポリシーを作成する

Defender for Cloud Appsセッション ポリシーを使用すると、デバイスの状態に基づいてセッションを制限できます。 デバイスを条件として使用してセッションの制御を実現するには、条件付きアクセス ポリシー セッション ポリシーの両方を作成します。

ポリシーを作成するには:

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->[ポリシー管理] に移動します。

  2. [ポリシー] ページで、[ポリシーの作成]、[セッション ポリシー] の順に選択します。

  3. [ セッション ポリシーの作成 ] ページで、ポリシーに名前と説明を付けます。 たとえば、 非管理対象デバイスからの SharePoint Online からのダウンロード時にステップアップ認証を要求します。

  4. ポリシーの重大度カテゴリを割り当てます。

  5. [セッション制御の種類] で、[アクティビティのブロック]、[ファイルのアップロードの制御 (検査あり)]、[ファイルのダウンロードの制御 (検査あり)] の順に選択します

  6. [ アクティビティ ソース ] の [ 次のセクションすべてに一致するアクティビティ ] で、フィルターを選択します。

    • デバイス タグ: [等しくない] を選択し、準拠Intuneハイブリッド参加済みMicrosoft Entra、または [有効なクライアント証明書] を選択します。 選択は、管理対象デバイスを識別するためにorganizationで使用される方法によって異なります。

    • アプリ: [ 自動 Azure AD オンボード ] を選択し、一覧から [SharePoint Online ] を選択します。

    • [ユーザー]: 監視するユーザーを選択します。

  7. [次のセクションすべてに一致するファイル] の [アクティビティ ソース] で、次のフィルターを設定します。

    • 秘密度ラベル: Microsoft Purview Information Protectionの秘密度ラベルを使用する場合は、特定のMicrosoft Purview Information Protection秘密度ラベルに基づいてファイルをフィルター処理します。

    • [ファイル名] または [ファイルの種類] を選択して、ファイル名または種類に基づいて制限を適用します。

  8. コンテンツ検査を有効にして、内部 DLP が機密コンテンツのファイルをスキャンできるようにします。

  9. [ アクション] で、[ ステップアップ認証が必要] を選択します。

    注:

    これには、Microsoft Entra IDで認証コンテキストを作成する必要があります

  10. ポリシーが一致したときに受信するアラートを設定します。 アラートが多くなりすぎないように制限を設定できます。 アラートを電子メール メッセージとして取得するかどうかを選択します。

  11. [作成] を選択します。

ポリシーを検証する

  1. このポリシーをシミュレートするには、アンマネージド デバイスまたは企業以外のネットワークの場所からアプリにサインインします。 次に、ファイルをダウンロードしてみてください。

  2. 認証コンテキスト ポリシーで構成されたアクションを実行する必要があります。

  3. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->[ポリシー管理] に移動します。 次に、作成したポリシーを選択してポリシー レポートを表示します。 セッション ポリシーの一致がすぐに表示されます。

  4. ポリシー レポートでは、セッション制御のためにMicrosoft Defender for Cloud Appsにリダイレクトされたログインと、監視対象のセッションからダウンロードまたはブロックされたファイルを確認できます。

次の手順

アクセス ポリシーを作成する方法

セッション ポリシーを作成する方法

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。