チュートリアル: 条件付きアクセス アプリ制御を使用して機密情報のダウンロードをブロックする
現在の IT 管理者は板挟みになっています。 従業員が生産性を高められるようにする必要があります。 これは、従業員が任意のデバイスからいつでも作業できるようにアプリへのアクセスを許可することを意味します。 一方で、会社の資産を守らなければなりません。それには所有財産や特権アクセス情報などが含まれます。 従業員にクラウド アプリへのアクセスを許可しつつ、データを保護するにはどうすればよいでしょうか。 このチュートリアルを利用して、アンマネージド デバイスや社外ネットワークの場所からエンタープライズ クラウド アプリの機密データにアクセスできるユーザーによるダウンロードをブロックできます。
このチュートリアルで学習する内容は次のとおりです。
脅威
組織のアカウント マネージャーが週末、自宅で自分のノート PC から Salesforce の情報を確認します。 Salesforce データには、顧客のクレジット カード情報や個人情報が含まれている可能性があります。 自宅の PC は管理されていません。 Salesforce のドキュメントを PC にダウンロードすると、マルウェアに感染するおそれがあります。 デバイスが紛失または盗難された場合、パスワードで保護されていない可能性があり、デバイスを見つけた人は誰でも機密情報にアクセスできます。
解決策
任意の IdP ソリューションと Defender for Cloud Apps のアプリの条件付きアクセス制御を使用し、クラウド アプリの使用を監視して制御することで、組織を保護します。
前提条件
Microsoft Entra ID P1 ライセンスの有効なライセンス、またはアイデンティティ プロバイダー (IdP) ソリューションに必要なライセンス
次のいずれかの認証プロトコルを使用して、SSO 用にクラウド アプリを構成します。
IdP プロトコル Microsoft Entra ID SAML 2.0 または OpenID Connect その他 SAML 2.0
管理されていないデバイスに対するダウンロードのブロック ポリシーを作成する
Defender for Cloud Apps セッション ポリシーを使用すると、デバイスの状態に基づいてセッションを制限できます。 条件としてそのデバイスを使用するセッションの制御を実現するには、条件付きアクセス ポリシーとセッション ポリシーの両方を作成します。
条件付きアクセス ポリシーを作成するには、「Defender for Cloud Apps アクセス ポリシーを作成する」の手順に従います。 このチュートリアルでは、セッション ポリシーを作成する方法について説明します。
手順 1: Defender for Cloud Apps と連動するように IdP を構成する
次のように、Defender for Cloud Apps と連携するように IdP ソリューションが構成されていることを確認してください。
- Microsoft Entra 条件付きアクセスについては、「Microsoft Entra ID との統合の構成」を参照してください。
- 他の IdP ソリューションについては、「他の IdP ソリューションとの統合の構成」を参照してください。
このタスクを完了したら、Defender for Cloud Apps ポータルにアクセスし、セッションのファイルのダウンロードを監視して制御するためのセッション ポリシーを作成します。
手順 2: セッション ポリシーを作成する
Microsoft Defender ポータルの [クラウド アプリ] で [ポリシー] に移動し、[ポリシー管理] を選択します。
[ポリシー] ページで、[ポリシーの作成] を選択し、続いて [セッション ポリシー] を選択します。
[セッション ポリシーの作成] ページで、ポリシーの名前と説明を指定します。 たとえば、管理されていないデバイスに対して Salesforce からのダウンロードをブロックするなどと指定します。
[ポリシー重要度] と [カテゴリ] を割り当てます。
セッション制御の種類で、ファイルのダウンロードの制御 (検査あり)を選択します。 この設定により、Salesforce セッション内でユーザーが行うあらゆる活動を監視し、ダウンロードをリアルタイムでブロックしたり、保護したりできます。
[Activities matching all of the following]\(次のすべてに一致するアクティビティ\) セクションの [アクティビティ ソース] で、次のフィルターを選択します。
デバイスタグ: 等しくないを選択します。 次に、[Intune 準拠]、[Microsoft Entra ハイブリッド参加済み]、または[有効なクライアント証明書] を選択します。 選択は、マネージド デバイスを識別するために組織で使用されている方法に応じます。
[アプリ]: 制御対象のアプリを選択します。
[ユーザー]: 監視対象のユーザーを選択します。
または、企業ネットワークに含まれない場所でのダウンロードをブロックできます。 [Activities matching all of the following]\(次のすべてに一致するアクティビティ\) セクションの [アクティビティ ソース] で、次のフィルターを設定します。
- IP アドレス または 場所: これら 2 つのパラメータのいずれかを使用して、ユーザーが機密データにアクセスしようとしている可能性のある企業以外の場所または未知の場所を識別できます。
Note
アンマネージド デバイスと会社以外の場所の両方からのダウンロードをブロックする場合は、2 つのセッション ポリシーを作成する必要があります。 1 つのポリシーでは、場所を使用して [アクティビティ ソース] を設定します。 もう 1 つのポリシーでは、[アクティビティ ソース] をアンマネージド デバイスに設定します。
[アプリ]: 制御対象のアプリを選択します。
[ユーザー]: 監視対象のユーザーを選択します。
[次のすべてに一致するファイル] セクションの [アクティビティ ソース] で、次のフィルターを設定します。
[秘密度ラベル]: Microsoft Purview Information Protection の秘密度ラベルを使用する場合は、特定の Microsoft Purview Information Protection 秘密度ラベルに基づいてファイルをフィルター処理します。
[ファイル名] または [ファイルの種類] を選択し、ファイルの名前または種類に基づいて制限を適用します。
[コンテンツ検査] を有効にし、内部 DLP でファイルをスキャンし、機密性の高いコンテンツがないかを確認できるようにします。
[アクション] で、[ブロック] を選択します。 ユーザーがファイルをダウンロードできない場合に表示するブロック メッセージをカスタマイズします。
ポリシーに一致したときに受け取るアラートを設定します。 アラートが大量に発生しすぎないように上限を設定できます。 アラートを電子メール メッセージとして取得するかどうかを選択します。
[作成] を選択します
ポリシーの検証
アンマネージド デバイスまたは会社以外のネットワークの場所からのブロックされているファイルのダウンロードをシミュレートするには、アプリにログインします。 それから、ファイルのダウンロードを試します。
ファイルはブロックされ、[ブロック メッセージのカスタマイズ] で設定したメッセージが表示されます。
Microsoft Defender ポータルの [クラウド アプリ] で [ポリシー] に移動し、[ポリシー管理] を選択します。 次に、作成したポリシーを選択してポリシー レポートを表示します。 セッション ポリシーの一致がすぐに表示されます。
ポリシー レポートでは、セッション制御のために Microsoft Defender for Cloud Apps にリダイレクトされたログインと、監視対象セッションからダウンロードまたはブロックされたファイルを確認できます。
次のステップ
問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。