セッション ポリシー

Microsoft Defender for Cloud Apps セッション ポリシーを使用すると、リアルタイムのセッション レベルの監視により、クラウド アプリをきめ細かく可視化できます。 セッション ポリシーを使用して、ユーザー セッションに設定したポリシーに応じてさまざまなアクションを実行します。

セッション ポリシーでは、アクセスを完全に許可またはブロックするのではなく、セッションを監視しながらアクセスを許可します。 条件付きアクセス アプリ制御のリバース プロキシ サポートを使用して、特定のセッション アクティビティを制限することもできます。

たとえば、ユーザーがアンマネージド デバイスから、または特定の場所からのセッションからアプリへのアクセスを許可するといったことができるようになります。 ただし、機密性の高いファイルのダウンロードを制限したり、ダウンロード時に特定のドキュメントを保護したりする必要があります。

セッション ポリシーを使用すると、ユーザー セッション制御の設定、アクセスの構成などを行うことができます。

Note

  • 適用できるポリシーの数に制限はありません。
  • ホスト アプリ用に作成したポリシーと、関連するリソース アプリの間に接続はありません。 たとえば、Teams、Exchange、Gmail 用に作成したセッション ポリシーは、Sharepoint、OneDrive、または Google ドライブに接続されません。 ホスト アプリに加えてリソース アプリのポリシーが必要な場合は、別のポリシーを作成します。

セッション ポリシーを使うための前提条件

開始する前に、次の前提条件を満たしていることを確認してください。

  • Defender for Cloud Apps ライセンス (スタンドアロンまたは別のライセンスの一部)

  • Microsoft Entra ID P1 のライセンス (スタンドアロン ライセンスまたは E5 ライセンスとして)、またはアイデンティティ プロバイダー (IdP) ソリューションに必要なライセンス

  • 関連するアプリを Conditional Access App Control と共にデプロイする必要があります。

  • 次のように、Defender for Cloud Apps と連携するように IdP ソリューションが構成されていることを確認してください。

Defender for Cloud Apps セッション ポリシーを作成する

新しいセッション ポリシーを作成するには、次の手順に従います。

  1. Microsoft Defender ポータルの [Cloud Apps][ポリシー] ->[ポリシー管理] に移動します。 次に [条件付きアクセス] タブを選択します。

  2. ポリシーの作成を選択し、セッションポリシーを選択します。 次に例を示します。

    Screenshot of the Create a Conditional access policy page.

  3. [セッション ポリシー] ウィンドウで、ポリシーの名前を割り当てます (例: "マーケティング ユーザー用 Box の機密ドキュメントのダウンロードをブロックする")。

  4. [セッション制御の種類] フィールドで次のように選択します。

    • ユーザーによるアクティビティのみを監視する場合は、[監視のみ] を選びます。 これにより、すべてのサインインが行われる選択アプリに対して、監視のみポリシーが作成されます。

    • ユーザーのアクティビティを監視する場合は、ファイルのダウンロードを制御 (検査あり) を選択します。 ユーザーのダウンロードをブロックまたは保護するなど、さらに多くのアクションを実行できます。

    • [アクティビティのブロック] を選択して、[アクティビティの種類] フィルターを使用して選択する特定のアクティビティをブロックします。 選択したアプリのすべてのアクティビティが監視されます (さらにアクティビティ ログで報告されます)。 [ブロック] アクションを選択した場合は、選択した特定のアクティビティがブロックされます。 [監査] アクションを選択してアラートをオンにした場合は、選択した特定のアクティビティによってアラートが生成されます。

  5. [次のすべてに一致するアクティビティ] セクションの [アクティビティ ソース] で、ポリシーに適用するアクティビティ フィルターをさらに選びます。 これらのフィルターには次のオプションを含めることができます。

    • [デバイス タグ]: 管理されていないデバイスを識別するには、このフィルターを使います。

    • [場所]: 不明な (したがって危険な) 場所を識別するには、このフィルターを使います。

    • [IP アドレス]: IP アドレスでフィルター処理するか、前に割り当てた IP アドレス タグを使うには、このフィルターを使います。

    • [ユーザー エージェント タグ]: モバイル アプリまたはデスクトップ アプリを識別するためにヒューリスティックを有効にするには、このフィルターを使います。 このフィルターは、ネイティブ クライアントと等しくなるように、または等しくならないように設定できます。 このフィルターは、各クラウド アプリのモバイル アプリとデスクトップ アプリに対してテストする必要があります。

    • [アクティビティの種類]: 次のような特定のアクティビティを制御対象として選ぶには、このフィルターを使います。

      • 印刷

      • クリップボードの操作: コピー、切り取り、貼り付け

      • Teams、Slack、Salesforce などのアプリでアイテムを送信する

      • さまざまなアプリでアイテムを共有および共有解除する

      • さまざまなアプリでアイテムを編集する

      たとえば、条件に従ってアイテムの送信アクティビティを使用し、Teams チャットまたは Slack チャネルで情報を送信しようとしているユーザーをキャッチし、パスワードやその他の資格情報などの機密情報が含まれている場合はメッセージをブロックします。

    Note

    セッション ポリシーはモバイル アプリとデスクトップ アプリをサポートしていません。 モバイル アプリとデスクトップ アプリは、アクセス ポリシーの作成によって許可またはブロックすることもできます。

  6. ファイルのダウンロードを制御する (検査あり) オプションを選択した場合:

    • [次のすべてに一致するファイル] セクションの [アクティビティ ソース] で、ポリシーに適用するファイル フィルターをさらに選びます。 これらのフィルターには次のオプションを含めることができます。

      • [秘密度ラベル] - 組織で Microsoft Purview Information Protection が使用されていて、データが秘密度ラベルによって保護されている場合は、このフィルターを使用します。 適用した秘密度ラベルに基づいてファイルをフィルター処理できます。 Microsoft Purview Information Protection との統合の詳細については、「Microsoft Purview Information Protection の統合」を参照してください。

      • [ファイル名]: 特定のファイルにポリシーを適用するには、このフィルターを使います。

      • [ファイルの種類]: 特定のファイルの種類にポリシーを適用するには、このフィルターを使います (すべての .xls ファイルのダウンロードをブロックする場合など)。

    • [コンテンツ検査] セクションで、DLP エンジンによるドキュメントとファイルのコンテンツのスキャンを有効にするかどうかを設定します。

    • [アクション] で、次のいずれかの項目を選びます。

      • [監査](すべてのアクティビティを監視する): 設定したポリシー フィルターに従ってダウンロードを明示的に許可するには、このアクションを設定します。
      • [ブロック](ファイルのダウンロードをブロックし、すべてのアクティビティを監視します): 設定したポリシー フィルターに従ってダウンロードを明示的にブロックするには、このアクションを設定します。 詳しくは、「ダウンロードのブロックのしくみ」をご覧ください。
      • [Protect (Apply sensitivity label to download and monitor all activities)](保護 (ダウンロードしたファイルに秘密度ラベルを適用し、すべてのアクティビティを監視します)): このオプションは、[セッション ポリシー][ファイル ダウンロードの制御 (検査を含む)] を選択した場合にのみ使用できます。 Microsoft Purview Information Protection を使用している組織では、[Action](アクション) を設定して、Microsoft Purview Information Protection で設定されている秘密度ラベルをファイルに適用できます。 詳しくは、「ダウンロードの保護のしくみ」をご覧ください。
  7. アラートを電子メールとして送信するには、ポリシーの重大度に応じたイベントごとにアラートを作成する を選択し、アラート制限を設定します。

  8. ユーザーに通知する: セッション ポリシーを作成すると、ポリシーに一致する各ユーザー セッションは、直接アプリにではなく、セッション制御にリダイレクトされます。

    ユーザーには、セッションが監視されていることを知らせる監視通知が表示されます。 監視されていることをユーザーに通知したくない場合は、通知メッセージを無効にすることができます。

    1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

    2. 次に、[アプリの条件付きアクセス制御] の下で、[ユーザーの監視] チェック ボックスをオンにし、[ユーザーへの通知] チェック ボックスをオフにします。

  9. ログを監視する: ユーザーをセッション内に留めておくため、アプリの条件付きアクセス制御によって、アプリ セッション内のすべての関連 URL、Java スクリプト、Cookie が、Microsoft Defender for Cloud Apps の URL に置き換えられます。 たとえば、ドメインが myapp.com で終わるリンクを含むページをアプリが返した場合、条件付きアクセス アプリ制御はリンクを myapp.com.mcas.ms などで終わるドメインに置き換えます。 このようにして、セッション全体が Defender for Cloud Apps によって監視されます。

Cloud Discovery ログのエクスポート

Conditional Access App Control は、ルーティングされてきたすべてのユーザー セッションのトラフィック ログを記録します。 トラフィック ログには、時刻、IP、ユーザー エージェント、アクセスした URL、アップロードおよびダウンロードされたバイト数が含まれます。 これらのログが分析され、継続的なレポート (Defender for Cloud Apps のアプリの条件付きアクセス制御) が、Cloud Discovery ダッシュボードの Cloud Discovery レポートの一覧に追加されます。

Cloud Discovery ダッシュボードから Cloud Discovery のログをエクスポートするには:

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[条件付きアクセス アプリ制御] を選択します。

  2. テーブルの上にある [エクスポート] ボタンを選択します。 次に例を示します。

    Screenshot of the export button.

  3. レポートの範囲を選択し、エクスポートを選択します。 この処理には時間がかかる場合があります。

  4. レポートの準備ができた後にエクスポートされたログをダウンロードするには、Microsoft Defender ポータルで、 [レポート] に移動し、>[クラウド アプリ] - -[エクスポートされたレポート] に移動します。

  5. テーブルでアプリの条件付きアクセス制御トラフィック ログの一覧から関連するレポートを選んで、[ダウンロード] を選びます。 次に例を示します。

    Screenshot of the download button.

すべてを監視する

監視のみアクティビティは、ログインアクティビティのみを監視し、アラートは送信されません。 

他のアクティビティを監視するには、監査アクションを選択します。その場合、ポリシーに従ってアラートが送信されます。 監査 アクションのアクティビティは、ポリシーが一致するかどうかに関係なく、監視され、ログに記録されます。 

Note

ダウンロードやアップロード以外の他のアクティビティを監視するには、監視ポリシーにアクティビティ ポリシーごとに少なくとも 1 つのブロックが必要です。

すべてのダウンロードをスキャンする

Defender for Cloud Apps セッション ポリシーで実行する [Action]\(アクション\) として [ブロック] が設定されている場合、アプリの条件付きアクセス制御では、ポリシーのファイル フィルターに従ってユーザーによるファイルのダウンロードが禁止されます。 Defender for Cloud Apps は、ユーザーがダウンロードを開始すると、各アプリのダウンロード イベントを認識します。 アプリの条件付きアクセス制御はリアルタイムで介入して実行を防ぎます。 ユーザーがダウンロードを開始したことを示す信号を受け取ったアプリの条件付きアクセス制御は、ダウンロードが制限されているというメッセージをユーザーに返し、ダウンロードされるファイルを、テキスト ファイルに置き換えます。 このユーザーに対するテキスト ファイルのメッセージは、セッション ポリシーから構成およびカスタマイズすることができます。

ステップアップ認証が必要 (認証コンテキスト)

セッション制御タイプブロックアクティビティ、制御ファイルダウンロード(検査あり)、制御ファイルアップロード(検査あり)に設定されている場合、ステップアップ認証が必要ですアクションを選択することができます。 このアクションが選択されると、Defender for Cloud Apps は、選択したアクティビティが発生するたびに、ポリシーの再評価のためにセッションを Microsoft Entra 条件付きアクセスにリダイレクトします。 Microsoft Entra ID で構成された認証コンテキストに基づいて、多要素認証やデバイスのコンプライアンスなどのクレームをセッション中にチェックできます。

特定のアクティビティをブロックする

[アクティビティの種類] として [アクティビティのブロック] が設定されているとき、特定のアプリ内でブロックする特定のアクティビティを選択できます。 選択したアプリのすべてのアクティビティが監視され、アクティビティ ログで報告されます。 [ブロック] アクションを選択した場合は、選択した特定のアクティビティがブロックされます。 [監査] アクションを選択してアラートをオンにした場合は、選択した特定のアクティビティによってアラートが生成されます。

ブロックされるアクティビティの例を次に示します。

  • Teams メッセージの送信: Microsoft Teams から送信されるメッセージをブロックしたり、特定の内容を含むメッセージ Teams ブロックしたりするために使います
  • 印刷: 印刷アクションをブロックするために使います
  • コピー: クリップボードへのコピー アクションをブロックしたり、特定の内容のコピーのみをブロックしたりするために使います

特定のアクティビティをブロックして、それを特定のグループに適用し、組織用の包括的な読み取り専用モードを作成します。

ダウンロード時にファイルを保護する

[アクティビティのブロック] を選択して、[アクティビティの種類] フィルターを使用して見つけることができる特定のアクティビティをブロックします。 選択したアプリのすべてのアクティビティが監視されます (さらにアクティビティ ログで報告されます)。 [ブロック] アクションを選択した場合は、選択した特定のアクティビティがブロックされます。 [監査] アクションを選択してアラートをオンにした場合は、選択した特定のアクティビティによってアラートが生成されます。

Defender for Cloud Apps セッション ポリシーで実行する [Action]\(アクション\) として [保護] が設定されている場合、アプリの条件付きアクセス制御により、ポリシーのファイル フィルターに従って、ファイルのラベル付けとその後の保護が適用されます。 ラベルは Microsoft Purview コンプライアンス ポータルで構成され、ラベルは、Defender for Cloud Apps ポリシーでオプションとして表示されるように、そのラベルが暗号化を適用するように構成されている必要があります。

特定のラベルを選択し、ユーザーがポリシーの条件を満たすファイルをダウンロードすると、ラベルとそれに対応する保護とアクセス許可がファイルに適用されます。

元のファイルはクラウド アプリ内にそのまま残っていますが、ダウンロードされるファイルは保護されています。 ファイルにアクセスしようとするユーザーは、適用された保護によって決定されるアクセス許可要件を満たす必要があります。

現在、Defender for Cloud Apps では、次のファイルの種類に対する Microsoft Purview Information Protection の秘密度ラベルの適用がサポートされています。

  • Word: docm、docx、dotm、dotx
  • Excel: xlam、xlsm、xlsx、xltx
  • PowerPoint: potm、potx、ppsx、ppsm、pptm、pptx
  • PDF

Note

  • PDF の場合は、統一されたラベルを使用する必要があります。
  • セッション ポリシーの [保護] オプションを使用して、既存のラベルが既にあるファイルを上書きすることはできません。

機密ファイルのアップロードを保護する

Defender for Cloud Apps セッション ポリシーで [セッション制御の種類] として [ファイル アップロードの制御 (検査を含む)] が設定されている場合、アプリの条件付きアクセス制御では、ポリシーのファイル フィルターに従ってユーザーによるファイルのアップロードが禁止されます。 アップロード イベントが認識されると、アプリの条件付きアクセス制御がリアルタイムで介入して、ファイルが機密性があり、保護が必要かどうかを判断します。 ファイルに機密データが含まれており、適切なラベルが付けられていない場合、ファイルのアップロードはブロックされます。

たとえば、ファイルのコンテンツをスキャンして、社会保障番号などの機密コンテンツの一致が含まれているかどうかを判断するポリシーを作成できます。 機密性の高い内容が含まれていて、Microsoft Purview Information Protection の機密ラベルが付いていない場合、ファイルのアップロードはブロックされます。 ファイルがブロックされている場合、ファイルをアップロードするためにファイルにラベルを付ける方法を指示するカスタム メッセージをユーザーに表示できます。 そうすることで、クラウド アプリに保存されているファイルがポリシーに準拠していることが保証されます。

アップロード時にマルウェアをブロックする

Defender for Cloud Apps セッション ポリシーで [セッション制御の種類] として [ファイル アップロードの制御 (検査を含む)] が設定され、[検査方法] として [マルウェアの検出] が設定されている場合、アプリの条件付きアクセス制御では、マルウェアが検出された場合、ユーザーによるファイルのアップロードがリアルタイムで禁止されます。 ファイルは Microsoft 脅威インテリジェンス エンジンを使用してスキャンされます。

アクティビティ ログの [潜在的なマルウェアが検出されました] フィルターを使用して、潜在的なマルウェアとしてフラグが付けられたファイルを表示できます。

ダウンロード時にマルウェアをブロックするようにセッション ポリシーを構成することもできます。

機密ファイルを保護するようにユーザーを教育する

ユーザーがポリシーに違反したら教育を行って、組織のポリシーに準拠する方法を学ばせることが重要です。

各企業には独自のニーズとポリシーがあるため、Defender for Cloud Apps を使用すると、ポリシーのフィルターと、違反が検出されたときにユーザーに表示されるメッセージをカスタマイズできます。

ファイルが正常にアップロードされるように、ファイルに適切にラベルを付ける方法や、管理対象外のデバイスを登録する方法などの具体的なガイダンスをユーザーに提供できます。

たとえば、ユーザーが秘密度ラベルなしでファイルをアップロードした場合、機密性の高い内容が含まれているファイルには適切なラベルを付ける必要があることを説明するメッセージを表示できます。 同様に、ユーザーが管理対象外のデバイスからドキュメントをアップロードしようとすると、そのデバイスを登録する方法に関する指示、またはデバイスを登録する必要がある理由の詳細を説明するメッセージが表示されます。

ポリシー間の競合

2 つのポリシー間に競合がある場合は、より制限の厳しいポリシーが優先されます。 次に例を示します。

  • ユーザー セッションのスコープがダウンロードのブロックポリシーとダウンロード時のラベル付けポリシーに設定されている場合、ファイル ダウンロード アクションはブロックされます。

  • ユーザー セッションのスコープがダウンロードのブロック ポリシーと監査のダウンロードポリシーの場合、ファイルダウンロードのアクションはブロックされます。

次のステップ

詳細については、次を参照してください。

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。