Microsoft Defender for Cloud Appsの条件付きアクセスアプリコントロール
今日の職場では、クラウド環境で何が起こったかを事後に把握するだけでは不十分です。 また、侵害やリークをリアルタイムで停止し、従業員が意図的または誤ってデータや組織を危険にさらすことを防ぐ必要があります。
組織内のユーザーが利用可能な最高のクラウドアプリを使用し、独自のデバイスを使用している間、ユーザーをサポートする必要があります。 ただし、データの漏洩や盗難からリアルタイムで組織を保護するためのツールも必要です。 Microsoft Defender for Cloud Appsは、任意のidプロバイダー (IdP) と統合して、アクセスとセッションポリシーを使用してこの保護を提供します。
次に例を示します。
アクセスポリシーを使用して、次のことを行います。
- 管理されていないデバイスからのユーザーのSalesforceへのアクセスをブロックします
- ネイティブクライアントのDropboxへのアクセスをブロックします。
セッションポリシーを使用して、のことを行います。
- OneDriveから管理されていないデバイスへの機密ファイルのダウンロードをブロックします
- SharePoint Onlineへのマルウェアファイルのアップロードをブロックします
Microsoft Edgeユーザーは、ブラウザーのアドレスバーに表示されるロック
アイコンで示される、直接のブラウザー内保護を利用できます。
他のブラウザーのユーザーは、リバースプロキシ経由でDefender for Cloud Appsにリダイレクトされ、リンクのURLに*.mcas.msサフィックスが表示されます。 たとえば、アプリのURLがmyapp.comの場合、アプリのURLはmyapp.com.mcas.msに更新されます。
この記事では、Microsoft Entra条件付きアクセスポリシーを使用したDefender for Cloud Appsの条件付きアクセスアプリコントロールについて説明します。
使いやすさ
条件付きアクセスアプリの制御では、デバイスに何もインストールする必要がないため、管理されていないデバイスまたはパートナーユーザーからのセッションを監視または制御する場合に最適です。
Defender for Cloud Appsでは、クラス最高の特許取得済みヒューリスティックを使用して、ターゲットアプリでユーザーが実行したアクティビティを識別して制御します。 当社のヒューリスティックは、セキュリティと使いやすさを最適化し、バランスをとるように設計されています。
まれに、サーバー側でアクティビティをブロックすることでアプリが使用できなくなる場合、これらのアクティビティはクライアント側でのみ保護されるため、悪意のある内部関係者による悪用を受けやすくなります。
システムパフォーマンスとデータストレージ
Defender for Cloud Apps では、世界中の Azure データ センターが使用され、位置情報によって最適化されたパフォーマンスが提供されます。 これは、トラフィック パターンとユーザーの場所に応じて、ユーザーのセッションが特定の地域の外でホストされる可能性があることを意味します。 ただし、プライバシーを保護するため、セッション データはこれらのデータ センターには保存されません。
Defender for Cloud Appsプロキシサーバーは、保存データを格納しません。 コンテンツをキャッシュする場合、RFC 7234 (HTTP キャッシュ) に定められた要件に従い、パブリック コンテンツのみをキャッシュします。
サポートされているアクティビティのリファレンス
条件付きアクセスアプリ制御では、アクセスポリシーとセッションポリシーを使用して、組織全体でユーザーアプリのアクセスとセッションをリアルタイムで監視および制御します。
各ポリシーには、ポリシーが適用されるユーザー (ユーザーまたはユーザーのグループ) 、内容 (クラウドアプリ) 、および場所 (場所とネットワーク) を定義する条件があります。 条件を決定したら、まずユーザーをDefender for Cloud Appsにルーティングします。ここでは、データを保護するためにアクセスとセッションの制御を適用できます。
アクセスポリシーとセッションポリシーには、次の種類のアクティビティが含まれます。
| アクティビティ | 説明 |
|---|---|
| データ流出を防止する | 管理されていないデバイスなどで、機密性の高いドキュメントのダウンロード、切り取り、コピー、印刷をブロックします。 |
| 認証コンテキストを要求します | 多要素認証を要求するなど、機密性の高いアクションがセッションで発生した場合は、Microsoft Entra条件付きアクセスポリシーを再評価します。 |
| ダウンロード時に保護する | 機密性の高いドキュメントのダウンロードをブロックするのではなく、Microsoft Purview Information Protectionと統合するときに、ドキュメントにラベルを付けて暗号化するように要求します。 このアクションにより、危険を及ぼす可能性のあるセッションにおいて確実にドキュメントが保護され、ユーザー アクセスが制限されます。 |
| ラベル付けされていないファイルがアップロードされないようにする | ユーザーがコンテンツを分類するまで、機密性の高いコンテンツを含むラベルのないファイルがアップロードされないようにします。 機密性の高いファイルがアップロード、配布、および他のユーザーによって使用される前に、機密性の高いファイルに組織のポリシーで定義されたラベルがあることを確認することが重要です。 |
| 潜在的なマルウェアをブロックします | 悪意のある可能性のあるファイルのアップロードをブロックして、マルウェアから環境を保護します。 アップロードまたはダウンロードされるファイルはすべて、Microsoft 脅威インテリジェンスに対してスキャンされ、即座にブロックされます。 |
| コンプライアンスのためにユーザー セッションを監視する | ユーザーの動作を調査および分析して、今後セッションポリシーを適用する必要がある場所と条件を把握します。 危険性の高いユーザーはアプリにサインインするときに監視され、アクションはセッション内からログに記録されます。 |
| アクセスをブロックする | 複数のリスク要因に応じて、特定のアプリとユーザーのアクセスを詳細にブロックします。 例えば、デバイス管理のフォームとしてクライアント証明書を使用している場合は、それらをブロックできます。 |
| カスタム アクティビティをブロックする | アプリによっては、リスクを伴う固有のシナリオがあります。Microsoft Teams や Slack のようなアプリで、機密性の高いコンテンツを含むメッセージを送信するなどです。 このようなシナリオでは、機密性の高いコンテンツのメッセージをスキャンし、リアルタイムでブロックします。 |
詳細については、以下を参照してください:
サポートされているアプリとクライアント
SAML 2.0認証プロトコルを使用する対話型シングルサインオンに、セッションとコントロールへのアクセスを適用します。 アクセス制御は、組み込みのモバイルおよびデスクトップクライアントアプリでもサポートされています。
さらに、Microsoft Entra IDアプリを使用している場合は、セッションとアクセスの制御を適用します。
- Open ID Connect認証プロトコルを使用する対話型シングルサインオン。
- オンプレミスでホストされ、Microsoft Entraアプリケーションプロキシで構成されたアプリ。
Defender for Cloud Appsは、クラウドアプリカタログのデータを使用してアプリを識別します。 プラグインを使用してアプリをカスタマイズした場合は、関連付けられているカスタムドメインをカタログ内の関連するアプリに追加する必要があります。 詳しくは、「リスク スコアの操作」をご覧ください。
Note
Authenticatorアプリやその他の組み込みアプリなど、非対話型のサインインフローを持つアプリは、アクセス制御では使用できません。
事前オンボード済みアプリ
前述の認証プロトコルを使用して構成された Web アプリは、アクセス制御とセッション制御を使用して動作するようにオンボードできます。 さらに、次のアプリには、Microsoft Entra ID のアクセスとセッションの両方の制御が既にオンボードされています。
Note
目的のアプリケーションをアクセス制御とセッション制御にルーティングして、最初のログインを実行する必要があります。
- AWS
- Box
- Concur
- CornerStone on Demand
- DocuSign
- Dropbox
- Egnyte
- GitHub
- Google ワークスペース
- HighQ
- JIRA/Confluence
- LinkedIn Learning
- Microsoft Azure DevOps (Visual Studio Team Services)
- Microsoft Azure ポータル
- Microsoft Dynamics 365 CRM
- Microsoft Exchange Online
- Microsoft OneDrive for Business
- Microsoft Power BI
- Microsoft SharePoint Online
- Microsoft Teams
- Microsoft Yammer
- セールスフォース
- Slack
- Tableau
- Workday
- Workiva
- Workplace from Meta
特定のアプリの事前オンボードに関心がある場合は、アプリに関する詳細情報をお送りください。 オンボーディングのために興味のあるユースケースを必ず送信してください。
サポートされているブラウザー
セッション制御は、任意のオペレーティングシステム上の任意の主要なプラットフォーム上の任意のブラウザーで動作するように構築されていますが、次のブラウザーをサポートしています。
- Microsoft Edge (最新)
- Google Chrome (最新)
- Mozilla Firefox (最新)
- Apple Safari (最新)
Microsoft Edgeユーザーは、リバースプロキシにリダイレクトすることなく、ブラウザー内保護を利用できます。 詳細については、 「Microsoft Edge for Business (プレビュー) を使用したブラウザー内保護」 を参照してください。
TLS 1.2以降のアプリのサポート
Defender for Cloud Appsは、トランスポート層セキュリティ (TLS) プロトコル1.2以降を使用してクラス最高の暗号化を提供します。TLS 1.2以降をサポートしていない組み込みのクライアントアプリとブラウザーは、セッション制御を使用して構成されている場合はアクセスできません。
しかし、TLS 1.1 以下を使用している SaaS アプリは、Defender for Cloud Apps を使用して構成されている場合、TLS 1.2 以降を使用しているようにブラウザーに表示されます。
関連するコンテンツ
詳細については、以下を参照してください: