Microsoft Defender for Cloud Apps の条件付きアクセス アプリ制御
今日の職場では、事後にクラウド環境で何が起こったかを知るだけでは十分ではありません。 侵入や漏洩をリアルタイムで阻止する必要があります。 また、従業員が意図的または誤ってデータや組織を危険にさらすことを防ぐ必要もあります。
組織内のユーザーが利用可能な最高のクラウドアプリを使用し、独自のデバイスを使用している間、ユーザーをサポートする必要があります。 ただし、データの漏洩や盗難からリアルタイムで組織を保護するためのツールも必要です。 Microsoft Defender for Cloud Appsは、任意のidプロバイダー (IdP) と統合して、 アクセス と セッション ポリシーを使用してこの保護を提供します。
次に例を示します。
アクセスポリシーを使用して、次のことを行います。
- アンマネージド デバイスのユーザーによる Salesforce へのアクセスをブロックします。
- ネイティブクライアントのDropboxへのアクセスをブロックします。
セッションポリシーを使用して、のことを行います。
- OneDrive からアンマネージド デバイスへの機密ファイルのダウンロードをブロックします。
- SharePoint Online へのマルウェア ファイルのアップロードをブロックします。
Microsoft Edge ユーザーは、 直接的なブラウザ内保護の恩恵を受けることができます。 ブラウザのアドレスバーにあるロック 
アイコンがこの保護を示します。
他のブラウザのユーザーは、リバース プロキシ経由で Defender for Cloud Apps にリダイレクトされます。 これらのブラウザでは、リンクの URL に *.mcas.ms サフィックスが表示されます。 たとえば、アプリの URL が myapp.comの場合、アプリの URL は myapp.com.mcas.msに更新されます。
この記事では、 Microsoft Entra 条件付きアクセス ポリシーを通じて、Defender for Cloud Apps での条件付きアクセス アプリ制御について説明します。
条件付きアクセス アプリ制御のアクティビティ
条件付きアクセス アプリ制御は、 アクセス ポリシー と セッション ポリシー を使用して、組織全体でユーザーのアプリ アクセスとセッションをリアルタイムで監視および制御します。
各ポリシーには、ポリシーが適用される ユーザー (ユーザーまたはユーザーのグループ) 、 内容 (クラウドアプリ) 、および 場所 (場所とネットワーク) を定義する条件があります。 条件を決定したら、まずユーザーを Defender for Cloud Apps にルーティングします。 そこで、アクセス制御とセッション制御を適用して、データを保護することができます。
アクセスポリシーとセッションポリシーには、次の種類のアクティビティが含まれます。
| アクティビティ | 説明 |
|---|---|
| データ流出を防止する | アンマネージド デバイスなどでの機密文書のダウンロード、切り取り、コピー、印刷をブロックします。 |
| 認証コンテキストを要求します | 多要素認証を要求するなど、機密性の高いアクションがセッションで発生した場合は、Microsoft Entra条件付きアクセスポリシーを再評価します。 |
| ダウンロード時に保護する | 機密性の高いドキュメントのダウンロードをブロックするのではなく、Microsoft Purview Information Protectionと統合するときに、ドキュメントにラベルを付けて暗号化するように要求します。 このアクションは、ドキュメントを保護し、潜在的に危険なセッションでのユーザー アクセスを制限するのに役立ちます。 |
| ラベル付けされていないファイルがアップロードされないようにする | ユーザーがコンテンツを分類するまで、機密コンテンツを含むラベルのないファイルのアップロードがブロックされることを確認します。 ユーザーが機密ファイルをアップロード、配布、または使用する前に、そのファイルに組織のポリシーで定義されたラベルを付ける必要があります。 |
| 潜在的なマルウェアをブロックします | 悪意のある可能性のあるファイルのアップロードをブロックすることで、環境をマルウェアから保護します。 ユーザーがアップロードまたはダウンロードしようとするファイルは、Microsoft 脅威インテリジェンスでスキャンされ、即座にブロックされます。 |
| コンプライアンスのためにユーザー セッションを監視する | ユーザーの動作を調査および分析して、今後セッションポリシーを適用する必要がある場所と条件を把握します。 危険なユーザーはアプリにサインインするときに監視され、そのアクションはセッション内から記録されます。 |
| アクセスをブロックする | いくつかのリスク要因に応じて、特定のアプリとユーザーのアクセスを細かくブロックします。 例えば、デバイス管理のフォームとしてクライアント証明書を使用している場合は、それらをブロックできます。 |
| カスタム アクティビティをブロックする | 一部のアプリには、リスクを伴う独自のシナリオがあります。 たとえば、Microsoft Teams や Slack などのアプリで機密性の高いコンテンツを含むメッセージを送信する場合が挙げられます。 このようなシナリオでは、機密性の高いコンテンツのメッセージをスキャンし、リアルタイムでブロックします。 |
詳細については、以下を参照してください:
使いやすさ
条件付きアクセス アプリ制御ではデバイスに何かをインストールする必要がないため、アンマネージド デバイスやパートナー ユーザーからのセッションを監視または制御する場合に最適です。
Defender for Cloud Apps は、特許取得済みのヒューリスティックを使用して、対象アプリでのユーザー アクティビティを識別および制御します。 ヒューリスティックは、セキュリティと使いやすさを最適化し、バランスをとるように設計されています。
まれに、サーバー側でアクティビティをブロックするとアプリが使用できなくなるため、組織はこれらのアクティビティをクライアント側でのみ保護します。 このアプローチでは、悪意のある内部者による悪用を受ける可能性が高くなります。
システムパフォーマンスとデータストレージ
Defender for Cloud Apps は、世界中の Azure データセンターを使用して、地理位置情報を通じて最適化されたパフォーマンスを提供します。 トラフィック パターンと場所によっては、ユーザーのセッションが特定の地域外でホストされることがあります。 ただし、ユーザーのプライバシーを保護するために、これらのデータセンターではセッション データは保存されません。
Defender for Cloud Apps プロキシ サーバーは保存データを保存しません。 コンテンツをキャッシュする場合は、 RFC 7234 (HTTP キャッシュ) に規定されている要件に従い、公開コンテンツのみをキャッシュします。
サポートされているアプリとクライアント
SAML 2.0 認証プロトコルを使用するあらゆる対話型シングル サインオンにセッションおよびアクセス制御を適用します。 アクセス制御は、組み込みのモバイルおよびデスクトップクライアントアプリでもサポートされています。
さらに、Microsoft Entra IDアプリを使用している場合は、セッションとアクセスの制御を適用します。
- OpenID Connect 認証プロトコルを使用する任意の対話型シングル サインオン。
- オンプレミスでホストされ、 Microsoft Entraアプリケーションプロキシで構成されたアプリ。
Microsoft Entra ID アプリも条件付きアクセス アプリ制御用に自動的にオンボードされますが、他の IdP を使用するアプリは 手動でオンボードする必要があります。
Defender for Cloud Apps は、クラウド アプリ カタログのデータを使用してアプリを識別します。 プラグインを使用してアプリをカスタマイズした場合は、カタログ内の関連するアプリに関連付けられたカスタム ドメインを追加する必要があります。 詳細については、「クラウド アプリを見つけてリスク スコアを計算する」を参照してください。
Note
アクセス制御では、Authenticator アプリやその他の組み込みアプリなど、 非対話型 のサインイン フローを備えたインストール済みアプリは使用できません。 その場合、Microsoft Defender for Cloud Apps のアクセス ポリシーに加えて、Microsoft Entra 管理センターでアクセス ポリシーを作成することをお勧めします。
セッション制御のサポート範囲
セッション コントロールは、あらゆるオペレーティング システム上のあらゆる主要プラットフォーム上のあらゆるブラウザーで動作するように構築されていますが、次のブラウザーの最新バージョンをサポートしています。
Microsoft Edgeユーザーは、リバースプロキシにリダイレクトすることなく、ブラウザー内保護を利用できます。 詳細については、「Microsoft Edge for Business によるブラウザー内保護 (プレビュー)」を参照してください。
TLS 1.2以降のアプリのサポート
Defender for Cloud Apps は、暗号化を提供するために Transport Layer Security (TLS) 1.2 以上のプロトコルを使用します。 TLS 1.2 以降をサポートしていない組み込みクライアント アプリとブラウザーは、セッション制御を使用して構成するとアクセスできなくなります。
ただし、TLS 1.1 以前を使用するソフトウェア アズ ア サービス (SaaS) アプリは、Defender for Cloud Apps を使用して構成すると、ブラウザーでは TLS 1.2 以降を使用しているものとして表示されます。