Microsoft Entra ID を使用するカスタム アプリに対してアプリの条件付きアクセス制御を展開する

  • [アーティクル]

Microsoft Defender for Cloud Apps のセッション制御は、任意の Web アプリと連動するように構成できます。 この記事では、カスタム基幹業務アプリ、おすすめ以外の SaaS アプリ、およびセッション制御を使用する Microsoft Entra アプリケーション プロキシ経由でホストされるオンプレミス アプリをオンボードして展開する方法について説明します。 ここでは、アプリ セッションを Defender for Cloud Apps にルーティングする Microsoft Entra 条件付きアクセス ポリシーを作成するための手順を示します。 その他の IdP ソリューションについては、「Microsoft 以外の IdP を使用するカスタム アプリに対してアプリの条件付きアクセス制御を展開する」を参照してください。

Defender for Cloud Apps でおすすめされている、すぐに使用できるアプリの一覧については、Defender for Cloud Apps のアプリの条件付きアクセス制御を使用したアプリの保護に関する記事をご覧ください。

前提条件

オンボーディング プロセスを開始する前に、以下を行う必要があります。

アプリのオンボード/メンテナンスの一覧に管理者を追加する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [アプリの条件付きアクセス制御] で、[アプリのオンボード/メンテナンス] を選択します。

  3. アプリをオンボードするユーザーのユーザー プリンシパル名または電子メールを入力し、[保存] を選択します。

    Screenshot of settings for App onboarding and maintenance.

必要なライセンスを確認する

  • アプリの条件付きアクセス制御を使用するには、組織が次のライセンスを持っている必要があります。

  • シングル サインオンを使用してアプリが構成されている必要があります

  • アプリで、次のいずれかの認証プロトコルを使用する必要があります。

    IdP プロトコル
    Microsoft Entra ID SAML 2.0 または OpenID Connect

任意のアプリをデプロイする方法

Defender for Cloud Apps の条件付きアクセス制御によって制御されるアプリケーションをオンボードするには、以下を行う必要があります。

以下の手順に従って、Defender for Cloud Apps のアプリの条件付きアクセス制御で制御されるように、任意のアプリを構成します。

Note

Microsoft Entra アプリに対してアプリの条件付きアクセス制御を展開するには、有効な Microsoft Entra ID P1 以上のライセンスと、Defender for Cloud Apps ライセンスが必要です。

Defender for Cloud Apps と連携するように Microsoft Entra ID を構成する

Note

Microsoft Entra ID または他の ID プロバイダーで SSO を使用してアプリケーションを構成する場合、オプションとしてリストされるフィールドの 1 つはサインオン URL 設定です。 アプリの条件付きアクセス制御を機能させるには、このフィールドが必要になる場合があることに注意してください。

  1. Microsoft Entra ID で、[セキュリティ]>[条件付きアクセス]に移動します。

  2. [条件付きアクセス] ペインの上部にあるツール バーで、[新しいポリシー]->[新しいポリシーの作成] を選択します。

  3. [新規] ウィンドウの [名前] テキストボックスに、ポリシー名を入力します。

  4. [割り当て] の下で、[ユーザーまたはワークロード ID] を選択し、アプリのオンボード (最初のサインオンと確認) を行うユーザーを割り当ててから、[完了] を選択します。

  5. [割り当て] の下で、[クラウド アプリまたは操作] を選択し、アプリの条件付きアクセス制御を使用して制御するアプリを割り当ててから、[完了] を選択します。

  6. [アクセス制御] の下で [セッション] を選択し、[アプリの条件付きアクセス制御を使う] を選択して、組み込みのポリシー ([監視のみ] または [ダウンロードを禁止する]) または [カスタム ポリシーを使用する] を選択し、Defender for Cloud Apps の高度なポリシーを設定します。その後、[選択] をクリックします。

    Microsoft Entra Conditional Access.

  7. 任意で、必要に応じて条件と付与の制御を追加します。

  8. [ポリシーを有効にする] を [オン] に設定して、[作成] を選択します。

アプリ カタログのアプリケーションは、[接続アプリ] の下のテーブルに自動的に入力されます。 アクティブなセッションがある場合は、アプリケーションからサインアウトし、もう一度サインインしてアプリを検出できるようにします。 デプロイするアプリが認識されていることを、そこに移動して確認します。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [接続アプリ] で、[アプリの条件付きアクセス制御アプリ] を選択して、アクセス ポリシーとセッション ポリシーで構成できるアプリケーションのテーブルにアクセスします。

    Conditional access app control apps.

  3. [アプリ: アプリの選択...] ドロップダウン メニューを選択して、展開するアプリをフィルター処理して検索します。

    Select App: Select apps to search for the app.

  4. アプリが表示されない場合は、手動で追加する必要があります。

不明なアプリを手動で追加する方法

  1. バナーで、[View new apps]\(新しいアプリの表示\) を選択します。

    Conditional access app control view new apps.

  2. 新しいアプリの一覧で、オンボードするアプリごとに + 記号を選択してから [追加] を選択します。

    Note

    アプリが Defender for Cloud Apps のアプリ カタログに表示されない場合は、不明なアプリの下のダイアログに、ログイン URL と共に表示されます。 これらのアプリの + 記号をクリックすると、カスタム アプリとしてアプリケーションをオンボードできます。

    Conditional access app control discovered Microsoft Entra apps.

適切なドメインをアプリに関連付けることにより、Defender for Cloud Apps によるポリシーと監査アクティビティの適用が可能になります。

たとえば、関連付けられているドメインのファイルのダウンロードをブロックするポリシーを構成した場合、アプリによるそのドメインからのファイルのダウンロードはブロックされます。 ただし、アプリに関連付けられていないドメインからの、アプリによるファイルのダウンロードはブロックされず、その操作はアクティビティ ログで監査されません。

Note

Defender for Cloud Apps では、シームレスなユーザー エクスペリエンスを保証するために、アプリに関連付けられていないドメインにもサフィックスを追加します。

  1. アプリ内の Defender for Cloud Apps 管理ツール バーで、[検出されたドメイン] を選択します。

    Select Discovered domains.

    Note

    管理者ツール バーは、アプリをオンボードまたはメンテナンスするアクセス許可を持つユーザーにのみ表示されます。

  2. [検出されたドメイン] パネルで、ドメインの名前をメモするか、一覧を .csv ファイルとしてエクスポートします。

    Note

    このパネルには、アプリに関連付けられていない検出されたドメインの一覧が表示されます。 ドメイン名は、完全修飾ドメイン名です。

  3. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  4. [接続アプリ] で、[アプリの条件付きアクセス制御アプリ] を選択します。

  5. アプリの一覧で、展開しているアプリが表示されている行の末尾にある 3 つの点を選択し、[アプリの編集] を選択します。

    Edit app details.

    ヒント

    アプリで構成されているドメインの一覧を表示するには、[アプリ ドメインの表示] を選択します。

    • ユーザー定義のドメイン: アプリケーションに関連付けられているドメイン。 アプリケーションに移動すると、管理ツール バーを使用して、アプリケーションに関連付けられているドメインを特定し、欠如しているものがないかどうかを判断できます。 ドメインが欠如していると、保護されたアプリケーションが正しくレンダリングされない可能性があることに注意してください。

    • アクセス トークンをログイン要求として扱う: 一部のアプリケーションでは、アクセス トークンとコード要求がアプリのログインとして使用されます。 これは、アプリケーションが正しくレンダリングされるようにアクセス制御とセッション制御にアプリをオンボードする際に、アクセス トークンとコード要求をログインとして扱えるようにするものです。 アプリケーションをオンボードするときは、常にこれがチェックされていることを確認してください。

    • セッション制御でアプリを使用する: このアプリをセッション コントロールで使用するか、使用しないかを指定します。 アプリケーションをオンボードするときは、常にこれがチェックされていることを確認してください。

    • 2 回目のログオンの実行: アプリケーションで nonce を使用する場合は、nonce 処理を構成するために 2 回目のログオンが必要です。 nonce または 2 回目のログオンは、IdP がユーザーに対して作成するログイン トークンを使用できるのが 1 回のみであり、盗まれたり他のユーザーによって再利用されたりしないことを確実にするために、アプリケーションによって使用されます。 nonce は、サービス プロバイダーによって、想定していた内容と合致すること、および、リプレイ攻撃を示す可能性のある最近すでに使用されたものではないことが確認されます。 これを選択すると、サフィックス付きセッションから 2 回目のログインがトリガーされ、正常なログインが保証されます。 パフォーマンスを向上させるには、これを有効にする必要があります。

      Perform a second login.

  6. [ユーザー定義のドメイン] で、このアプリに関連付けるすべてのドメインを入力し、[保存] を選択します。

    Note

    ワイルドカードの文字「*」を、任意の文字のプレースホルダーとして使用することができます。 ドメインを追加する際に、特定のドメイン (sub1.contoso.comsub2.contoso.com) または複数のドメイン (*.contoso.com) のどちらを追加するかを決定します。 これは、特定のドメイン (*.contoso.com) でのみサポートされ、トップレベル ドメイン (*.com) ではサポートされません。

  7. 次の手順を繰り返して、現在の CA次の CA の自己署名ルート証明書をインストールします。

    1. 証明書を選択します。
    2. [開く] を選択し、メッセージが表示されたら、もう一度 [開く] を選択します。
    3. [証明書のインストール] を選択します。
    4. [現在のユーザー] または [ローカル コンピューター] を選択します。
    5. [証明書をすべて次のストアに配置する] を選択し、[参照] を選択します。
    6. [信頼されたルート証明機関] を選択し、[OK] を選択します。
    7. [完了] を選択します。

    Note

    証明書が認識されるようにするには、証明書をインストールしたら、ブラウザーを再起動して同じページを開く必要があります。

  8. 続行を選択します。

  9. アプリケーションがテーブルで使用可能になっていることを確認します。

    Onboard with session control.

アプリケーションが保護されていることを確認するには、まず、アプリケーションに関連付けられているブラウザーのハードサインアウトを実行するか、シークレットモードで新しいブラウザーを開きます。

アプリケーションを開き、次のチェックを実行します。

  • ブラウザーにロックアイコンが表示されるかどうかを確認します。または、Microsoft Edge以外のブラウザーで作業している場合は、アプリのURLに.mcasサフィックスが含まれていることを確認します。 詳細については、 「Microsoft Edge for Business (プレビュー) を使用したブラウザー内保護」 を参照してください。
  • ユーザーの作業プロセスに含まれる、アプリ内のすべてのページにアクセスし、ページが正しく表示されることを確認します。
  • ファイルのダウンロードやアップロードなどの一般的な操作を実行することにより、アプリの動作と機能が悪影響を受けないことを確認します。
  • アプリに関連付けられているドメインの一覧を確認します。

エラーや問題が発生した場合は、管理ツール バーを使用して、サポート チケットを提出するために .har ファイルや記録されたセッションなどのリソースを収集します。

組織の運用環境でアプリを使用できるようにする準備ができたら、次の手順を実行します。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
  2. [接続アプリ] で、[アプリの条件付きアクセス制御アプリ] を選択します。
  3. アプリの一覧で、展開しているアプリが表示されている行の末尾にある 3 つの点を選択し、[アプリの編集] を選択します。
  4. [Use the app with session controls]\(セッション制御を指定してアプリを使用する\) を選択し、[保存] を選択します。
  5. Microsoft Entra ID で、[セキュリティ][条件付きアクセス] を選択します。
  6. 前に作成したポリシーを更新して、必要な関連するユーザー、グループ、および制御を含めます。
  7. [セッション]>[アプリの条件付きアクセス制御を使う] の下で [カスタム ポリシーを使用する] を選択した場合は、Defender for Cloud Apps に移動して、対応するセッション ポリシーを作成します。 詳しくは、「セッション ポリシー」をご覧ください。

次のステップ

前へ: カタログ アプリに対してアプリの条件付きアクセス制御を展開する

次へ: セッション ポリシーを作成する方法

関連項目

アプリの条件付きのアクセス制御の概要

アクセス制御とセッション制御に関するトラブルシューティング

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。