Microsoft Defender for Endpoint を使用して検出されたアプリを管理する

Microsoft Defender for Cloud Apps の Microsoft Defender for Endpoint との統合により、シャドウ IT のシームレスな表示と制御ソリューションが実現します。 この統合により、Defender for Cloud Apps の管理者は、Defender for Cloud Apps のアプリ ガバナンス コントロールを Microsoft Defender for Endpoints のネットワーク保護とネイティブに統合することで、クラウド アプリへのエンド ユーザーのアクセスをブロックすることができます。 あるいは、管理者は、危険なクラウド アプリにアクセスしたときにユーザーに警告するという、より穏やかなアプローチを取ることもできます。

Defender for Cloud Apps では、組み込みの承認されていないというアプリ タグを使って、クラウド アプリが使用禁止としてマークされます。これは、Cloud Discovery と Cloud の両方のアプリ カタログ ページで使用できます。 Defender for Endpoint との統合を有効にすることにより、Defender for Cloud Apps ポータルで 1 回クリックするだけで、承認されていないアプリへのアクセスをシームレスにブロックできます。

Defender for Cloud Apps で Unsanctioned としてマークされたアプリは、Defender for Endpoint に自動的に同期されます。 具体的には、これらの承認されていないアプリによって使用されるドメインはエンドポイント デバイスに伝達され、ネットワーク保護 SLA 内で Microsoft Defender ウイルス対策によってブロックされます。

Note

Defender for Endpoint 経由でアプリをブロックする待ち時間は、Defender for Cloud Apps でアプリを不承認としてマークした瞬間から、アプリがデバイスでブロックされるまで、最大 3 時間です。 これは、Defender for Cloud Appsが認可/非認可アプリをDefender for Endpointに同期するのに最大1時間、Defender for Endpointでインジケータが作成されると、アプリをブロックするためにポリシーをデバイスにプッシュするのに最大2時間かかるためです。

前提条件

Defender for Endpoint によるクラウド アプリのブロックを有効にする

以下の手順で、クラウドアプリのアクセス制御を有効にします:

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [Cloud Discovery][Microsoft Defender for Endpoint] を選択し、[Enforce app access] (アプリ アクセスの強制) を選択します。

    Screenshot showing how to enable blocking with Defender for Endpoint.

    Note

    この設定が有効になるまでに最大 30 分かかる場合があります。

  2. Microsoft Defender XDR で、[設定]>[エンドポイント]>[高度な機能] に移動し、[カスタム ネットワーク インジケーター] を選択します。 ネットワーク インジケーターの詳細については、「IP および URL/ドメインのインジケーターの作成」を参照してください。

    これにより、Microsoft Defender ウイルス対策ネットワーク保護機能を利用し、Defender for Cloud Apps を使用して定義済みの URL セットへのアクセスをブロックすることができます。そのためには、特定のアプリにアプリ タグを手動で割り当てるか、アプリ検出ポリシーを自動的に使用します。

    Screenshot showing how to enable custom network indicators in Defender for Endpoint.

特定のデバイス グループについてアプリをブロックする

特定のデバイス グループの使用をブロックするには、次の手順を実行します。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 次に、[クラウド検出][アプリ タグ] を選択し、[Scoped profiles] (スコープが指定されたプロファイル) タブに移動します。

  2. [プロファイルの追加] を選択します。 プロファイルによって、アプリのブロックまたはブロック解除用にスコープが設定されたエンティティが設定されます。

  3. わかりやすいプロファイルの名前と説明を指定してください。

  4. プロファイルを [含める] プロファイルにするか、[除外する] プロファイルにするかを選びます。

    • [含める]: 含まれているエンティティのセットだけが、アクセスの適用の影響を受けます。 たとえば、プロファイル myContoso では、デバイス グループ A と B に対して [含める] が設定されているとします。プロファイル myContoso を使ってアプリ Y をブロックすると、グループ A と B に対してのみアプリのアクセスがブロックされます。

    • [除外する]: 除外されているエンティティのセットは、アクセスの適用の影響を受けません。 たとえば、プロファイル myContoso では、デバイス グループ A と B に対して [除外する] が設定されているとします。プロファイル myContoso を使ってアプリ Y をブロックすると、グループ A と B を除く組織全体のアプリのアクセスがブロックされます。

  5. プロファイルに関連するデバイス グループを選択します。 リストにあるデバイス グループは、Microsoft Defender for Endpoint からプルされます。 詳細については、「デバイス グループを作成する」を参照してください。

  6. [保存] を選択します。

    Scoped profiles.

アプリをブロックするには、次の手順を実行します。

  1. Microsoft Defender ポータルの [クラウド アプリ] で、[Cloud Discovery] に移動し、[検出されたアプリ] タブに移動します。

  2. ブロックする必要があるアプリを選択します。

  3. アプリに [承認されていない] というタグを付けます。

    Unsanction an app.

  4. 組織内のすべてのデバイスをブロックするには、[保存] を選択します。 組織内の特定のデバイス グループをブロックするには、[Select a profile to include or exclude groups from being blocked]\(ブロック対象のグループを含めるまたは除外するためのプロファイルを選択します\) を選択します。 次に、アプリをブロックするプロファイルを選択し、[保存] を選択します。

    Choose a profile to unsanction an app with.

Note

  • 適用機能は、Defender for Endpoint のカスタム URL インジケーターに基づいています。
  • この機能のリリース前に Defender for Cloud Apps によって作成されたインジケーターに対して手動で設定された組織のスコープ設定は、Defender for Cloud Apps によってオーバーライドされます。 Defender for Cloud Apps エクスペリエンスから、スコープ付きプロファイル エクスペリエンスを使用して、必要なスコープを設定する必要があります。
  • 承認されていないアプリから選択したスコープ プロファイルを削除するには、承認されていないタグを削除した後、必須のスコープ付きプロファイルを使ってアプリに再度タグを付けます。
  • 関連するタグやスコープを使ってマークされた後、アプリ ドメインが反映され、エンドポイント デバイスで更新されるには、最大で 2 時間かかる場合があります。
  • アプリに [監視対象] のタグが付けられている場合、スコープ プロファイルを適用するオプションは、組み込みのWin10 エンドポイント ユーザー データ ソースが過去 30 日間に一貫してデータを受信した場合にのみ表示されます。

危険なアプリにアクセスするときにユーザーを教育する

管理者には、ユーザーが危険なアプリにアクセスしたときにユーザーに警告するオプションがあります。 ユーザーをブロックするのではなく、使用を許可されているアプリが一覧表示されている会社のページへのカスタム リダイレクト リンクを示したメッセージが表示されます。 このプロンプトには、ユーザーが警告を回避してアプリを続行するためのオプションが表示されます。 管理者は、警告メッセージを回避するユーザーの数を監視することもできます。

Defender for Cloud Apps は、組み込みの監視中アプリ タグを使用して、クラウド アプリを使用するには危険であるとしてマークします。 このタグは、Cloud Discovery ページと Cloud App Catalog ページの両方で使用できます。 Defender for Endpoint との統合を有効にすることにより、Defender for Cloud Apps ポータルで 1 回クリックするだけで、監視対象アプリへのアクセスについてシームレスにユーザーに警告できます。

監視対象 としてマークされたアプリは、通常は数分以内に Defender for Endpoint のカスタム URL インジケーターに自動的に同期されます。 具体的には、監視対象のアプリによって使用されるドメインがエンドポイント デバイスに伝播され、ネットワーク保護 SLA 内の Microsoft Defender ウイルス対策によって警告メッセージが提供されます。

警告メッセージのカスタム リダイレクト URL の設定

次の手順を使用して、会社の Web ページを示すカスタム URL を構成します。このページでは、警告が表示された理由について従業員に教育し、組織のリスクの許容内容に準拠している、または組織によって既に管理されている代替の承認済みアプリの一覧を提供できます。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [Cloud Discovery] で、[Microsoft Defender for Endpoint] を選択します。

  2. [通知 URL] ボックスに URL を入力します。

    Screenshot showing how to configure notification URL.

ユーザーバイパス期間の設定

ユーザーは警告メッセージをバイパスできるため、次の手順を使用してバイパス適用の期間を構成できます。 この期間が経過すると、ユーザーが監視対象のアプリに次回アクセスするときに警告メッセージが表示されます。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [Cloud Discovery] で、[Microsoft Defender for Endpoint] を選択します。

  2. [バイパス期間] ボックスに、ユーザー バイパスの期間 (時間) を入力します。

    Screenshot showing how to configure bypass duration.

適用されたアプリ コントロールを監視する

コントロールが適用されると、次の手順を使用して、適用されたコントロール (アクセス、ブロック、バイパス) ごとにアプリの使用パターンを監視できます。

  1. Microsoft Defender ポータルの [クラウド アプリ] で、[Cloud Discovery][検出されたアプリ] タブの順に移動します。[フィルター] を使用して、関連する監視対象アプリを見つけます。
  2. アプリの名前を選択すると、アプリの概要ページで適用されたアプリ コントロールが表示されます。

次のステップ

問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。