Microsoft Defender for Cloud Apps と Microsoft Entra ID を使ってリアルタイムでのアプリケーション アクセスの監視を構成する

Microsoft Entra ID のオンプレミス アプリケーションでリアルタイム監視のために Microsoft Defender for Cloud Apps を使用します。 Defender for Cloud Apps は、アプリの条件付きアクセス制御を使用して、条件付きアクセス ポリシーに基づいてセッションをリアルタイムで監視および制御します。 これらのポリシーは、Microsoft Entra ID でアプリケーション プロキシが使用されているオンプレミス アプリケーションに適用します。

Defender for Cloud Apps を使用して作成するポリシーの例をいくつか次に示します。

• アンマネージド デバイスの機密ドキュメントのダウンロードをブロックまたは保護する。
• 高リスク ユーザーがアプリケーションにサインオンするタイミングを監視し、セッション内からそのユーザーのアクションを記録する。 この情報を使用して、ユーザーの動作を分析することで、セッション ポリシーを適用する方法を判断します。
• クライアント証明書またはデバイスのコンプライアンスを使用して、アンマネージド デバイスからの特定のアプリケーションへのアクセスをブロックする。
• 企業ネットワーク外からのユーザー セッションを制限する。 ご自身の企業ネットワークの外からアプリケーションにアクセスするユーザーには、制限付きアクセスを付与できます。 たとえば、この制限付きアクセスによって、ユーザーによる機密ドキュメントのダウンロードをブロックできます。

詳細については、Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御によるアプリの保護に関するページを参照してください。

要件

EMS E5 ライセンス、または Microsoft Entra ID P1 と Defender for Cloud Apps スタンドアロン。

オンプレミスのアプリケーションでは、Kerberos 制約付き委任 (KCD) を使用する必要があります。

アプリケーション プロキシを使用するように Microsoft Entra ID を構成します。 アプリケーション プロキシの構成には、環境の準備とプライベート ネットワーク コネクタのインストールが含まれます。 チュートリアルについては、「Microsoft Entra ID のアプリケーション プロキシを使ってリモート アクセスするためのオンプレミス アプリケーションを追加する」を参照してください。

Microsoft Entra ID にオンプレミス アプリケーションを追加する

Microsoft Entra ID にオンプレミス アプリケーションを追加します。 クイックスタートについては、「Microsoft Entra ID にオンプレミス アプリを追加する」を参照してください。 アプリケーションを追加するときは、[オンプレミスのアプリケーションの追加] ページで 2 つの設定を必ず設定して、Defender for Cloud Apps で動作するようにします。

• 事前認証: 「Microsoft Entra ID」を入力します。
• [Translate URLs in Application Body](アプリケーション本文の URL を変換する) : [はい] を選択します。

オンプレミスのアプリケーションをテストする

ご自身のアプリケーションを Microsoft Entra ID に追加したら、「アプリケーションをテストする」の手順を使ってテストするユーザーを追加し、サインオンをテストします。

アプリの条件付きアクセス制御をデプロイする

条件付きアクセスのアプリケーション制御を使用してご自身のアプリケーションを構成するには、Microsoft Entra アプリのアプリケーションの条件付きアクセス制御のデプロイに関する記事を参照してください。

アプリの条件付きアクセス制御をテストする

アプリケーションの条件付きアクセス制御を使って Microsoft Entra アプリケーションのデプロイをテストするには、Microsoft Entra アプリのデプロイのテストに関する記事の手順に従ってください。