Microsoft Defender for Cloud Apps でポリシーにアクセスする
Microsoft Defender for Cloud Apps アクセス ポリシーでは、ユーザー、場所、デバイス、アプリを基準に、クラウド アプリへのアクセスをリアルタイムで監視し、制御できます。 クライアント証明書を管理対象デバイスにロールアウトするか、サードパーティの MDM 証明書などの既存の証明書を使用して、任意のデバイス (Microsoft Entra 参加済みではなく Microsoft Intune で管理されていないデバイスを含む) のアクセス ポリシーを作成できます。 たとえば、マネージド デバイスにクライアント証明書を展開し、その後、証明書のないデバイスからのアクセスをブロックできます。
Note
- セッション ポリシーでは、アクセスを完全に許可またはブロックするのではなく、セッションを監視しながらアクセスを許可したり、特定のセッション アクティビティを制限したりできます。
- ホスト アプリ用に作成したポリシーと、関連するリソース アプリの間に接続はありません。 たとえば、Teams、Exchange、Gmail 用に作成したアクセス ポリシーは、Sharepoint、OneDrive、または Google ドライブに接続されません。 ホスト アプリに加えてリソース アプリのポリシーが必要な場合は、別のポリシーを作成します。
アクセス ポリシーを使うための前提条件
- Microsoft Entra ID P1 ライセンス、または ID プロバイダー (IdP) ソリューションに必要なライセンス
- 関連するアプリを Conditional Access App Control と共にデプロイする必要があります。
- 以下に従って、Defender for Cloud Apps と連動するように IdP ソリューションを構成してあるか確認してください。
- 「Microsoft Entra 条件付きアクセス」については、「Microsoft Entra ID との統合の構成」を参照してください
- 他の IdP ソリューションについては、「他の IdP ソリューションとの統合の構成」を参照してください。
Defender for Cloud Apps アクセス ポリシーを作成する
新しいアクセス ポリシーを作成するには、次の手順を実行します。
Microsoft Defender ポータルの [Cloud Apps] で [ポリシー] ->[ポリシー管理] に移動します。 その後、[条件付きアクセス] タブを選択します。
[ポリシーの作成] を選択し、[ポリシーにアクセス] を選択します。
[アクセス ポリシー] ウィンドウで、Block access from unmanaged devices のような名前をポリシーに付けます。
[次のすべてに一致するアクティビティ] セクションで、ポリシーに適用する追加のアクティビティ フィルターを選びます。 フィルターには次のオプションがあります。
[デバイス タグ]: 管理されていないデバイスを識別するには、このフィルターを使います。
[場所]: 不明な (したがって危険な) 場所を識別するには、このフィルターを使います。
[IP アドレス]: IP アドレスでフィルター処理するか、前に割り当てた IP アドレス タグを使うには、このフィルターを使います。
[ユーザー エージェント タグ]: モバイル アプリまたはデスクトップ アプリを識別するためにヒューリスティックを有効にするには、このフィルターを使います。 このフィルターは、"等しい" または "等しくない" に設定できます。 値は、各クラウド アプリのモバイル アプリとデスクトップ アプリに対してテストする必要があります。
[アクション] で、次のいずれかのオプションを選択します。
[テスト]: 設定したポリシー フィルターに従ってアクセスを明示的に許可するには、このアクションを設定します。
[ブロック]: 設定したポリシー フィルターに従ってアクセスを明示的にブロックするには、このアクションを設定します。
一致するイベントごとにポリシー重要度に応じたアラートを作成し、アラート制限を設定して、アラートをメールとテキスト メッセージのどちらか一方または両方にするかどうかを選ぶことができます。
関連ビデオ
次のステップ
関連項目
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。