アプリ ガバナンスでアプリ ポリシーを作成する
機械学習アルゴリズムに基づいて異常なアプリ動作を検出し、アラートを生成する一連の組み込み機能に加えて、アプリ ガバナンスのアプリ ポリシーを使用すると、下記ができます。
自動または手動修復のアプリ動作に対するアラートをアプリ ガバナンスが生成する条件を指定する。
組織のアプリ コンプライアンス ポリシーを実施する。
アプリ ガバナンスを使用して、Microsoft Entra ID、Google Workspace、Salesforce に接続されているアプリの OAuth ポリシーを作成します。
Microsoft Entra ID の OAuth アプリ ポリシーを作成する
Microsoft Entra ID に接続されているアプリでは、提供されたカスタマイズ可能なテンプレートからアプリ ポリシーを作成するか、独自のカスタム アプリ ポリシーを作成します。
Azure AD アプリの新しいアプリ ポリシーを作成するには、[Microsoft Defender XDR] > [アプリ ガバナンス] > [ポリシー] > [Azure AD] にアクセスします。
次に例を示します。
[Create New Policy] (新しいポリシーの作成) オプションを選択し、次のいずれかの手順を実行します。
- テンプレートから新しいアプリ ポリシーを作成するには、関連するテンプレート カテゴリを選択し、そのカテゴリ内のテンプレートを選択します。
- カスタム ポリシーを作成するには、[カスタム] カテゴリを選択します。
次に例を示します。
アプリ ポリシー テンプレート
アプリ ポリシー テンプレートに基づいて新しいアプリ ポリシーを作成するには、[アプリ ポリシー テンプレートの選択] ページでアプリ テンプレートのカテゴリを選択し、テンプレートの名前を選択して、[次へ] を選択します。
以降のセクションでは、アプリ ポリシー テンプレートのカテゴリについて説明します。
使用方法
次の表に、アプリの使用状況に関するアラートの生成がサポートされているアプリ ガバナンス テンプレートを示します。
| テンプレート名 | 説明 |
|---|---|
| データ使用量が高い新しいアプリ | Graph API を使用して大量のデータをアップロードまたはダウンロードした、新しく登録されたアプリを検出します。 このポリシーでは次の条件を確認します。 |
| ユーザー数が増加 | ユーザー数がかなり増加しているアプリを見つけます。 このポリシーでは次の条件を確認します。 |
アクセス許可
次の表に、アプリのアクセス許可に関するアラートの生成がサポートされているアプリ ガバナンス テンプレートを示します。
| テンプレート名 | 説明 |
|---|---|
| 権限が過剰なアプリ | 使用されていない Graph API アクセス許可があるアプリを検出します。 これらのアプリには、通常の使用に不要なアクセス許可が付与されています。 |
| 高い権限がある新しいアプリ | 書き込みアクセス権限やその他の強力な Graph API アクセス許可が付与されている、新しく登録されたアプリを検出します。 このポリシーでは次の条件を確認します。 |
| Graph 以外の API アクセス許可がある新しいアプリ | Graph 以外の API に対するアクセス許可を持つ、新しく登録されたアプリを見つけます。 これらのアプリは、アクセスする API が、限定的なサポートと更新を受け取る場合に、リスクにさらされる可能性があります。 このポリシーでは次の条件を確認します。 |
[ 認定](#certification-phase)
次の表に、Microsoft 365 認定に関するアラートの生成がサポートされているアプリ ガバナンス テンプレートを示します。
| テンプレート名 | 説明 |
|---|---|
| 認定されていない新しいアプリ | 発行元の構成証明または Microsoft 365 認定がない、新しく登録されたアプリを見つけます。 このポリシーでは次の条件を確認します。 |
カスタム ポリシー
組み込みのテンプレートではまだ対応できない処理を実行する必要がある場合は、カスタムのアプリ ポリシーを使用します。
新しいカスタム アプリ ポリシーを作成するには、まず、[ポリシー] ページで [新しいポリシーの作成] を選択します。 [アプリ ポリシー テンプレートの選択] ページで、[カスタム] カテゴリ、[カスタム ポリシー] テンプレートの順に選択し、[次へ] を選択します。
[名前と説明] ページで、次を構成します。
- ポリシー名
- ポリシーの説明
- ポリシーの重要度を選択します。これにより、このポリシーによって生成されるアラートの重要度が設定されます。
- 高
- Medium
- 低
[ポリシーの設定と条件の選択] ページで、[このポリシーを適用するアプリを選択してください] に対し、次のいずれかを選択します。
- すべてのアプリ
- 特定のアプリを選択する
- 指定したものを除くすべてのアプリ
このポリシーに対して、特定のアプリまたは指定したものを除くすべてのアプリを選ぶ場合は、[アプリの追加] を選んで、一覧から目的のアプリを選びます。 [アプリを選択] ウィンドウで、このポリシーを適用するアプリを複数選択できます。そして、[追加] を選択します。 一覧が希望どおりの内容になったら、[次へ] をクリックします。
[Edit conditions] (条件の編集) を選択します。 [Add condition] (条件の追加) を選択し、一覧から条件を選択します。 選択した条件に必要なしきい値を設定します。 同じ操作を繰り返して条件を追加します。 [保存] を選択してルールを保存し、ルールの追加が完了したら、[次へ] を選択します。
Note
一部のポリシー条件は、Graph API のアクセス許可にアクセスするアプリにのみ適用されます。 Graph 以外の API にのみアクセスするアプリを評価する場合、アプリ ガバナンスはこれらのポリシー条件をスキップし、他のポリシー条件のみのチェックに進みます。
カスタム アプリ ポリシーで使用可能な条件は次のとおりです。
条件 許容される条件値 説明 詳細情報 登録からの期間 過去 X 日以内 現在の日付からの指定した期間内に Microsoft Entra ID に登録されたアプリ [ 認定](#certification-phase) 認定なし、発行元の構成証明済み、Microsoft 365 認定 Microsoft 365 認定のアプリ、発行元の証明レポートがあるアプリ、またはどちらでもないアプリ Microsoft 365 認定 発行元を検証済み はいまたはいいえ 発行元が検証済みのアプリ 発行元の検証 アプリケーションのアクセス許可 (Graph のみ) 1 つまたは複数の API アクセス許可を一覧から選択します 直接付与されている特定の Graph API アクセス許可があるアプリ Microsoft Graph のアクセス許可のリファレンス 委任されたアクセス許可 (Graph のみ) 1 つまたは複数の API アクセス許可を一覧から選択します ユーザーが指定した特定の Graph API アクセス許可があるアプリ Microsoft Graph のアクセス許可のリファレンス 権限が高い (Graph のみ) はいまたはいいえ 比較的強力な Graph API アクセス許可があるアプリ これは、Defender for Cloud Apps で使用されるものと同じ論理に基づく内部指定です。 権限が過剰 (Graph のみ) はいまたはいいえ 使用されていない Graph API アクセス許可があるアプリ 実際に使用されるよりも多くのアクセス許可を付与されているアプリのことです。 Graph 以外の API のアクセス許可 はいまたはいいえ Graph 以外の API へのアクセス許可があるアプリ。 これらのアプリは、アクセスする API が、限定的なサポートと更新を受け取る場合に、リスクにさらされる可能性があります。 データ使用量 (Graph のみ) 1 日あたり X GB を超えるデータをダウンロードおよびアップロード Graph API を使用して指定した量を超えるデータを読み書きしたアプリ データ使用量の傾向 (Graph のみ) データ使用量が前日と比較して X % 増加 Graph API を使用したデータの読み取りと書き込みが前日に比べて指定された割合で増加したアプリ API アクセス (Graph のみ) 1 日あたりの API 呼び出し数が X を超えている 1 日に指定された数以上の Graph API 呼び出しを行ったアプリ API アクセスの傾向 (Graph のみ) API 呼び出し数が前日と比較して X % 増加 Graph API 呼び出しの数が前日に比べて指定された割合で増加したアプリ 同意しているユーザーの数 X 人 (を超える、またはそれ未満) のユーザーが同意済み 指定されたユーザー数より多い、または少ない数のユーザーによって同意されたアプリ 同意しているユーザーが増加 過去 90 日間でユーザーが X % 増加 過去 90 日間に、同意したユーザーの数が指定された割合を超えて増加したアプリ 付与された優先アカウントの同意 はいまたはいいえ 優先ユーザーによって同意されたアプリ 優先アカウントを持つユーザーのことです。 同意しているユーザーの名前 一覧からユーザーを選択します 特定のユーザーによって同意されたアプリ 同意しているユーザーの役割 一覧からロールを選択します 特定の役割を持つユーザーによって同意されたアプリ 複数選択が可能です。 この一覧には、メンバーが割り当てられている Microsoft Entra の役割が表示されることになっています。
アクセスされた秘密度ラベル 一覧から 1 つ以上の秘密度ラベルを選択します 過去 30 日間に特定の秘密度ラベルがあるデータにアクセスしたアプリ。 アクセスされたサービス (Graph のみ) Exchange、OneDrive、SharePoint、または Teams Graph API を使用して OneDrive、SharePoint、または Exchange Online にアクセスしたアプリ 複数選択が可能です。 エラー率 (Graph のみ) 過去 7 日間のエラー率が X % を超えています 過去 7 日間の Graph API エラー率が指定された割合を超えるアプリ このアプリ ポリシーでアラートを生成するには、指定した条件がすべて満たされている必要があります。
条件の指定が完了したら、[保存] を選択し、[次へ] を選択します。
[ポリシー アクションの定義] ページで、このポリシーに基づくアラートが生成された場合にアプリ ガバナンスによってアプリを無効にする場合は [アプリを無効にする] を選択し、[次へ] を選択します。 ポリシーはユーザーや適正なアプリ使用に影響する可能性があるので、アクションを適用する場合には注意が必要です。
[ポリシーの状態の定義] ページ で、次のいずれかのオプションを選択します。
- 監査モード: ポリシーは評価されますが、構成されたアクションは発生しません。 監査モード ポリシーは、ポリシーの一覧に [監査] の状態で表示されます。 新しいポリシーをテストする際には、監査モードを使用する必要があります。
- アクティブ: ポリシーが評価され、構成されたアクションが実行されます。
- 非アクティブ: ポリシーは評価されず、構成されたアクションも実行されません。
カスタム ポリシーのすべてのパラメーターを慎重に確認してください。 問題がなければ、[送信] を選択します。 なお、任意の設定の下にある [編集] を選択して、設定を変更することもできます。
新しいアプリ ポリシーのテストと監視
アプリ ポリシーが作成されたら、[ポリシー] ページでポリシーを監視して、想定された数のアクティブ アラートが登録されているかどうかや、テスト時の合計アラート数を確認する必要があります。
アラートの数が予期しない値になっている場合は、アプリ ポリシーの設定を編集して、状態を設定する前にポリシーが正しく構成されていることを確認してください。
新しいポリシーを作成してテストし、アクティブにするプロセスの例を次に示します。
- 重大度、アプリ、条件、およびアクションを初期値に設定し、状態を [監査モード] に設定して、新しいポリシーを作成します。
- 想定された動作を確認します (アラートの生成など)。
- 想定外の動作である場合は、必要に応じてポリシーのアプリ、条件、およびアクションの設定を編集し、手順 2 に戻ります。
- 想定された動作である場合は、ポリシーを編集し、状態を [アクティブ] に変更します。
たとえば、次のフロー チャートは、関連する手順を示しています。
Salesforce や Google Workspace に接続されている OAuth アプリの新しいポリシーを作成する
OAuth アプリのポリシーは、テナント内のユーザーによって承認されたポリシーに対してのみアラートをトリガーします。
Salesforce、Google、その他のアプリの新しいアプリ ポリシーを作成するには:
[Microsoft Defender XDR] > [アプリ ガバナンス] > [ポリシー] > [その他のアプリ] にアクセスします。 次に例を示します。
ニーズに従ってアプリをフィルター処理します。 たとえば、メールボックスの予定表を変更するアクセス許可を要求しているすべてのアプリを表示できます。
ヒント
このアプリへのアクセスの許可が日常的か、日常的ではないか、稀かの情報を取得するには、[Community use] (コミュニティの利用状況) フィルターを使用してください。 このフィルターは、珍しいアプリで、重要度レベルが高いアクセス許可、または多くのユーザーからのアクセス許可が要求されている場合に役立ちます。
アプリを承認したユーザーのグループ メンバーシップに基づいてポリシーを設定できます。 たとえば、管理者は、アクセス許可を承認したユーザーが Administrators グループのメンバーである場合にのみ、一般的ではないアプリが高いアクセス許可を要求した場合にそれらを失効させるポリシーを設定することができます。
次に例を示します。
Salesforce や Google Workspace に接続されている OAuth アプリの異常検出 ポリシーを作成する
作成できる Oauth アプリ ポリシーに加えて、Defender for Cloud アプリには、悪意のある可能性のあるアプリを識別するために OAuth アプリのメタデータをプロファイリングする、すぐに使用できる異常検出ポリシーが備わっています。
このセクションは、Salesforce アプリケーションと Google Workspace アプリケーションにのみ関連します。
Note
異常検出ポリシーは、Microsoft Entra ID で承認されている OAuth アプリでのみ使用できます。 OAuth アプリの異常検出ポリシーの重大度は変更できません。
次の表には、Defender for Cloud Apps によって提供される既定の異常検出ポリシーを記載しています。
| ポリシー | 説明 |
|---|---|
| 誤解を招く OAuth アプリ名 | お使いの環境に接続されている OAuth アプリをスキャンし、不審な名前のアプリが検出された時にアラートをトリガーします。 ラテン文字に似た外国文字などの誤解を与えかねない名前は、悪意のあるアプリを既知の信頼できるアプリとして偽装しようとしていることを示している可能性があります。 |
| OAuth アプリの誤解を招く発行元名 | 環境に接続されている OAuth アプリをスキャンし、誤解を招くような発行元名を持つアプリが検出されるとアラートをトリガーします。 ラテン文字に似た外国文字などの誤解を招く発行元名は、悪意のあるアプリを既知の信頼された発行元からのアプリに偽装しようとしていることを示している可能性があります。 |
| 悪意のある OAuth アプリの同意 | 環境に接続されている OAuth アプリをスキャンし、悪意のある可能性のあるアプリが承認されるとアラートを作動させます。 悪意のある OAuth アプリは、ユーザーを侵害しようとしてフィッシング キャンペーンの一部として使用される可能性があります。 この検出では、マイクロソフトのセキュリティ調査と脅威インテリジェンスの専門知識を使用して、悪意のあるアプリを特定します。 |
| 疑わしい OAuth アプリ ファイルのダウンロード アクティビティ | 詳しくは、 異常検出ポリシーに関する記事をご覧ください。 |