次の方法で共有

チュートリアル: 条件付きアクセス アプリ制御を使用して機密情報のダウンロードをブロックする

  • [アーティクル]

今日の IT 管理者は、岩とハードな場所の間に立ち往生しています。 従業員の生産性を高めたいと考えています。 つまり、従業員は、任意のデバイスからいつでも作業できるようにアプリにアクセスできます。 ただし、独自の情報や特権情報を含む会社の資産を保護する必要があります。 従業員がデータを保護しながらクラウド アプリにアクセスできるようにする方法 このチュートリアルでは、管理されていないデバイスまたは会社外のネットワークの場所からエンタープライズ クラウド アプリの機密データにアクセスできるユーザーによるダウンロードをブロックできます。

このチュートリアルでは、次の方法について学ぶことができます。

脅威

organizationのアカウント マネージャーは、週末に自宅から Salesforce で個人用ノート PC に何かをチェックしたいと考えています。 Salesforce データには、クライアントクレジットカード情報や個人情報が含まれる場合があります。 ホーム PC は管理対象外です。 Salesforce から PC にドキュメントをダウンロードすると、マルウェアに感染している可能性があります。 デバイスが紛失または盗難された場合は、パスワードで保護されず、機密情報にアクセスできるユーザーである可能性があります。

この場合、ユーザーは、Microsoft Entra IDを使用して、会社の資格情報を使用して Salesforce にサインインします。

解決策

条件付きアクセス アプリの制御を使用してクラウド アプリの使用を監視および制御することで、organization Defender for Cloud Apps保護します。

前提条件

  • Microsoft Entra ID P1 ライセンスの有効なライセンス、または ID プロバイダー (IdP) ソリューションで必要なライセンス
  • Salesforce のMicrosoft Entra条件付きアクセス ポリシー
  • Microsoft Entra ID アプリとして構成された Salesforce

管理されていないデバイスのブロック ダウンロード ポリシーを作成する

この手順では、デバイスの状態に基づいてセッションを制限できる、Defender for Cloud Apps セッション ポリシーのみを作成する方法について説明します。

デバイスを条件として使用してセッションを制御するには、Defender for Cloud Appsアクセス ポリシーも作成する必要があります。 詳細については、「Microsoft Defender for Cloud Apps アクセス ポリシーの作成」を参照してください。

セッション ポリシーを作成するには

  1. Microsoft Defender ポータル[Cloud Apps] で、[ポリシー>ポリシー管理] を選択します。

  2. [ポリシー] ページ 、[ ポリシーの作成>Session ポリシー] を選択します。

  3. [ セッション ポリシーの作成 ] ページで、ポリシーに名前と説明を付けます。 たとえば、 管理されていないデバイスの Salesforce からのダウンロードをブロックします

  4. ポリシーの重大度カテゴリを割り当てます。

  5. [ セッション制御の種類] で、[ ファイルのダウンロードの制御 (検査あり)] を選択します。 この設定を使用すると、Salesforce セッション内でユーザーが行うすべての操作を監視し、ダウンロードをリアルタイムでブロックおよび保護することができます。

  6. [ アクティビティ ソース ] の [ 次のセクションすべてに一致するアクティビティ ] で、フィルターを選択します。

    • デバイス タグ: [等しくない] を選択します。 [Intune準拠]、[Hybrid Azure AD 参加済み]、または [有効なクライアント証明書] を選択します。 選択は、管理対象デバイスを識別するためにorganizationで使用される方法によって異なります。

    • アプリ: [ 自動 Azure AD オンボード>Equals>Salesforce] を選択します。

  7. または、企業ネットワークに含まれていない場所のダウンロードをブロックすることもできます。 次のすべてのセクションに一致するアクティビティの [アクティビティ ソース] で、次のフィルターを設定します。

    • IP アドレス または 場所: これら 2 つのパラメーターのいずれかを使用して、企業以外の場所または不明な場所を特定し、そこからユーザーが機密データにアクセスしようとしている可能性があります。

    注:

    アンマネージド デバイスと企業以外の場所の両方からのダウンロードをブロックする場合は、2 つのセッション ポリシーを作成する必要があります。 1 つのポリシーは、場所を使用して アクティビティ ソース を設定します。 もう 1 つのポリシーは、 アクティビティ ソース を非管理対象デバイスに設定します。

    • アプリ: [ 自動 Azure AD オンボード>Equals>Salesforce] を選択します。

  8. [次のセクションすべてに一致するファイル] の [アクティビティ ソース] で、次のフィルターを設定します。

    • 秘密度ラベル: Microsoft Purview Information Protectionの秘密度ラベルを使用する場合は、特定のMicrosoft Purview Information Protection秘密度ラベルに基づいてファイルをフィルター処理します。

    • [ファイル名] または [ファイルの種類] を選択して、ファイル名または種類に基づいて制限を適用します。

  9. コンテンツ検査を有効にして、内部 DLP が機密コンテンツのファイルをスキャンできるようにします。

  10. [ アクション] で、[ブロック] を選択 します。 ファイルをダウンロードできないときにユーザーが受け取るブロック メッセージをカスタマイズします。

  11. ポリシーが一致したときに受信するアラートを構成します。たとえば、アラートが多くなりすぎないように制限や、アラートを電子メールとして取得するかどうかを指定します。

  12. [作成] を選択します。

ポリシーを検証する

  1. アンマネージド デバイスまたは企業以外のネットワークの場所から、ブロックされたファイルのダウンロードをシミュレートするには、アプリにサインインします。 次に、ファイルをダウンロードしてみてください。

  2. ファイルはブロックする必要があり、前に定義したメッセージを受信する必要があります。[ ブロック メッセージのカスタマイズ] の下にあります。

  3. Microsoft Defender ポータル[Cloud Apps] で、[ポリシー] に移動し、[ポリシー管理] を選択します。 次に、作成したポリシーを選択してポリシー レポートを表示します。 セッション ポリシーの一致がすぐに表示されます。

  4. ポリシー レポートでは、セッション制御のためにMicrosoft Defender for Cloud Appsにリダイレクトされたサインインと、監視対象のセッションからダウンロードまたはブロックされたファイルを確認できます。

次の手順

アクセス ポリシーを作成する方法

セッション ポリシーを作成する方法

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。