Microsoft Defender for Cloud Apps でポリシーにアクセスする

[アーティクル]
02/07/2024

Microsoft Defender for Cloud Apps アクセスポリシーでは、ユーザー、場所、デバイス、アプリを基準に、クラウドアプリへのアクセスをリアルタイムで監視し、制御できます。クライアント証明書を管理対象デバイスにロールアウトするか、サードパーティの MDM 証明書などの既存の証明書を使用して、任意のデバイス (Microsoft Entra 参加済みではなく Microsoft Intune で管理されていないデバイスを含む) のアクセスポリシーを作成できます。たとえば、マネージドデバイスにクライアント証明書を展開し、その後、証明書のないデバイスからのアクセスをブロックできます。

Note

セッションポリシーでは、アクセスを完全に許可またはブロックするのではなく、セッションを監視しながらアクセスを許可したり、特定のセッションアクティビティを制限したりできます。
ホストアプリ用に作成したポリシーと、関連するリソースアプリの間に接続はありません。たとえば、Teams、Exchange、Gmail 用に作成したアクセスポリシーは、Sharepoint、OneDrive、または Google ドライブに接続されません。ホストアプリに加えてリソースアプリのポリシーが必要な場合は、別のポリシーを作成します。

アクセスポリシーを使うための前提条件

Microsoft Entra ID P1 ライセンス、または ID プロバイダー (IdP) ソリューションに必要なライセンス
関連するアプリを Conditional Access App Control と共にデプロイする必要があります。
以下に従って、Defender for Cloud Apps と連動するように IdP ソリューションを構成してあるか確認してください。
- 「Microsoft Entra 条件付きアクセス」については、「Microsoft Entra ID との統合の構成」を参照してください
- 他の IdP ソリューションについては、「他の IdP ソリューションとの統合の構成」を参照してください。

Defender for Cloud Apps アクセスポリシーを作成する

新しいアクセスポリシーを作成するには、次の手順を実行します。

Microsoft Defender ポータルの [Cloud Apps] で [ポリシー] ->[ポリシー管理] に移動します。その後、[条件付きアクセス] タブを選択します。
[ポリシーの作成] を選択し、[ポリシーにアクセス] を選択します。
[アクセスポリシー] ウィンドウで、Block access from unmanaged devices のような名前をポリシーに付けます。
[次のすべてに一致するアクティビティ] セクションで、ポリシーに適用する追加のアクティビティフィルターを選びます。フィルターには次のオプションがあります。
- [デバイスタグ]: 管理されていないデバイスを識別するには、このフィルターを使います。
- [場所]: 不明な (したがって危険な) 場所を識別するには、このフィルターを使います。
- [IP アドレス]: IP アドレスでフィルター処理するか、前に割り当てた IP アドレスタグを使うには、このフィルターを使います。
- [ユーザーエージェントタグ]: モバイルアプリまたはデスクトップアプリを識別するためにヒューリスティックを有効にするには、このフィルターを使います。このフィルターは、"等しい" または "等しくない" に設定できます。値は、各クラウドアプリのモバイルアプリとデスクトップアプリに対してテストする必要があります。
[アクション] で、次のいずれかのオプションを選択します。
- [テスト]: 設定したポリシーフィルターに従ってアクセスを明示的に許可するには、このアクションを設定します。
- [ブロック]: 設定したポリシーフィルターに従ってアクセスを明示的にブロックするには、このアクションを設定します。
一致するイベントごとにポリシー重要度に応じたアラートを作成し、アラート制限を設定して、アラートをメールとテキストメッセージのどちらか一方または両方にするかどうかを選ぶことができます。