Defender for Cloud Apps の条件付きアクセス アプリ制御を使用する

この記事では、Microsoft Defender for Cloud Apps アプリ制御を使用してアクセス ポリシーとセッション ポリシーを作成する方法の概要を説明します。 条件付きアクセス アプリ制御は、クラウド アプリへのユーザー アクセスをリアルタイムで監視および制御します。

条件付きアクセス アプリ制御の使用フロー

次の図は、条件付きアクセス アプリ制御を構成および実装するための大まかなプロセスを示しています。

どの ID プロバイダーを使用していますか?

条件付きアクセス アプリ制御の使用を開始する前に、アプリが Microsoft Entra によって管理されているか、別の ID プロバイダー (IdP) によって管理されているかを理解してください。

• Microsoft Entra アプリ は、条件付きアクセス アプリ制御用に自動的にオンボードされ、アクセス ポリシーとセッション ポリシーの条件ですぐに使用できるようになります。

• Microsoft 以外の IdP を使用するアプリは、アクセスおよびセッション ポリシーの条件で選択する前に手動でオンボードする必要があります。

  • Microsoft 以外の IdP のカタログ アプリを使用している場合は、すべてのカタログ アプリをオンボードするように IdP と Defender for Cloud Apps 間の統合を構成します。 詳細については、「条件付きアクセス アプリ制御用の Microsoft IdP カタログ以外のアプリのオンボード」を参照してください。

  • カスタム アプリを使用している場合は、IdP と Defender for Cloud Apps 間の統合を構成するとともに、各カスタム アプリをオンボードする必要があります。 詳細については、「条件付きアクセス アプリ制御用の Microsoft IdP 以外のカスタム アプリのオンボード」を参照してください。

サンプル手順

次の記事では、Microsoft 以外の IdP を Defender for Cloud Apps と連携するように構成するためのサンプル プロセスを示します。

• PingOne を IdP として利用
• IdP としての Active Directory フェデレーション サービス (AD FS)
• Okta を IdP として

Microsoft Entra ID 条件付きアクセス ポリシーを作成する

アクセス ポリシーまたはセッション ポリシーが機能するには、トラフィックを制御するアクセス許可を作成する Microsoft Entra ID 条件付きアクセス ポリシーも必要です。

このプロセスのサンプルは、 アクセス および セッション ポリシー作成ドキュメントに埋め込まれています。

詳細については、「条件付きアクセス ポリシー」および「条件付きアクセス ポリシーの構築」を参照してください。

アクセスポリシーとセッションポリシーを作成する

アプリが Microsoft Entra ID アプリであるため自動的にオンボードされているか、手動でオンボードされているかを確認し、Microsoft Entra ID 条件付きアクセス ポリシーの準備が整ったら、必要なシナリオのアクセス ポリシーとセッション ポリシーの作成を続行できます。

詳細については、以下を参照してください:

• Defender for Cloud Apps アクセス ポリシーを作成する
• Defender for Cloud Apps セッション ポリシーを作成する

ポリシーをテストする

必ずポリシーをテストし、必要に応じて条件や設定を更新してください。 詳細については、以下を参照してください:

• アクセスポリシーをテストする
• セッションポリシーをテストする

関連するコンテンツ

詳細については、「Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御によるアプリの保護」を参照してください。