Microsoft Entra ID を使用してカタログ アプリに条件付きアクセス アプリ制御を展開する
Microsoft Defender for Cloud Apps のアクセス制御とセッション制御は、クラウド アプリ カタログのアプリケーションおよびカスタム アプリケーションと連携して動作します。 事前オンボードされていてすぐに使用できるアプリの一覧については、「Defender for Cloud Apps の条件付きアクセス アプリ制御を使用したアプリの保護」をご覧ください。
前提条件
条件付きアクセス アプリ制御を使用するには、組織が次のライセンスを持っている必要があります。
- Microsoft Entra ID P1 以上
- Microsoft Defender for Cloud Apps
シングル サインオンを使用してアプリが構成されている必要があります
アプリで、次のいずれかの認証プロトコルを使用する必要があります。
IdP プロトコル Microsoft Entra ID SAML 2.0 または OpenID Connect その他 SAML 2.0
Microsoft Entra ID との統合を構成する
Note
Microsoft Entra ID または他の ID プロバイダーで SSO を使用してアプリケーションを構成する場合、オプションとしてリストされるフィールドの 1 つはサインオン URL 設定です。 条件付きアクセス アプリ制御を機能させるには、このフィールドが必要になる場合があることに注意してください。
次の手順に従って、アプリ セッションを Defender for Cloud Apps にルーティングする Microsoft Entra 条件付きアクセス ポリシーを作成します。 その他の IdP ソリューションについては、「その他の IdP ソリューションとの統合を構成する」を参照してください。
Microsoft Entra ID で、[セキュリティ]>[条件付きアクセス]に移動します。
[条件付きアクセス] ペインの上部にあるツール バーで、[新しいポリシー]->[新しいポリシーの作成] を選択します。
[新規] ウィンドウの [名前] テキストボックスに、ポリシー名を入力します。
[割り当て] の下で、[ユーザーまたはワークロード ID] を選択し、アプリのオンボード (最初のサインオンと確認) を行うユーザーおよびグループを割り当てます。
[割り当て] の下で、[クラウド アプリまたは操作] を選択し、条件付きアクセス アプリ制御を使用して制御するアプリおよびアクションを割り当てます。
[アクセス制御] の下で [セッション] を選択し、[条件付きアクセス アプリの制御を使う] を選択して、組み込みのポリシー ([監視のみ] (プレビュー) または [ダウンロードを禁止する] (プレビュー)) または [カスタム ポリシーを使用する] を選択し、Defender for Cloud Apps の高度なポリシーを設定します。その後、[選択] を選択します。
任意で、必要に応じて条件と付与の制御を追加します。
[ポリシーを有効にする] を [オン] に設定して、[作成] を選択します。
Note
手順を進める前に、まず、既存のセッションからサインアウトしてください。
ポリシーを作成したら、そのポリシーで構成されている各アプリにサインインします。 必ずポリシーで構成されているユーザーでサインインしてください。
Defender for Cloud Apps によって、サインインする新しいアプリごとに、ポリシーの詳細がそのサーバーに同期されます。 これには最大 で1 分かかることがあります。
アクセス制御とセッション制御が構成されていることを確認する
上記の手順を使用すると、カタログ アプリ用の組み込みの Defender for Cloud Apps ポリシーを、Microsoft Entra ID で直接作成できます。 この手順では、これらのアプリに対してアクセス制御とセッション制御が構成されていることを確認します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
[接続アプリ] で、[条件付きアクセス アプリ制御アプリ] を選択します。 [使用可能なコントロール] 列を参照し、[アクセス制御] ([Azure AD 条件付きアクセス]) と [セッション制御] の両方がアプリに表示されていることを確認します。
アプリがセッション制御に対して有効になっていない場合は、[セッション制御を指定してオンボードする] を選択し、[セッション制御を指定してこのアプリを使用する] をチェックして追加します。 次に例を示します。
アプリを運用環境で使用できるようにする
準備ができたら、この手順では、組織の運用環境でアプリを使用できるようにする方法について説明します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
[接続アプリ] で、[条件付きアクセス アプリ制御アプリ] を選択します。 アプリの一覧で、展開しているアプリが表示されている行の末尾にある 3 つの点を選択し、[アプリの編集] を選択します。
[アプリがセッション制御で動作できるようにする] を選択し、[保存] を選択します。 次に例を示します。
まず、既存のセッションからサインアウトします。 次に、正常にデプロイされた各アプリにサインインします。 Microsoft Entra ID で構成されたポリシーに一致するユーザー、または ID プロバイダーで構成された SAML アプリのユーザーを使用してサインインします。
Microsoft Defender ポータルの [クラウド アプリ] で、[アクティビティ ログ] を選択し、アプリごとにログイン アクティビティがキャプチャされていることを確認します。
フィルター処理は、[詳細] を選択し、[ソースと同じアクセス制御] を使用してフィルター処理することで実行できます。 次に例を示します。
マネージド デバイスとアンマネージド デバイスからモバイルおよびデスクトップのアプリにサインインすることをお勧めします。 これは、アクティビティ ログで、アクティビティを正常にキャプチャするためです。
アクティビティが正常にキャプチャされたことを確認するには、[シングル サインオン ログイン] のアクティビティを選択してアクティビティ ドロワーを開きます。 [ユーザー エージェント タグ] に、デバイスがネイティブ クライアント (モバイルまたはデスクトップ アプリのいずれかであることを意味する) であるか、またはデバイスがマネージド デバイス (準拠、ドメイン参加済み、または有効なクライアント証明書) であるかが適切に反映されていることを確認します。
Note
デプロイ後は、[条件付きアクセス アプリ制御] ページからアプリを削除することはできません。 アプリにセッションやアクセス ポリシーを設定しないかぎり、条件付きアクセス アプリ制御でアプリの動作が変更されることは一切ありません。
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示