アプリ コネクタは、アプリ プロバイダーの API を使用し、Microsoft Defender for Cloud Apps に接続したアプリの可視性と制御を強化するものです。
Microsoft Defender for Cloud Apps では、クラウド プロバイダーから提供される API を使用します。 Defender for Cloud Apps と接続されているアプリ間のすべての通信は、HTTPS を使用して暗号化されます。 各サービスには、調整、API の制限、動的なタイム シフト API ウィンドウなど、独自のフレームワークと API の制限があります。 Microsoft Defender for Cloud Apps は各種サービスと連携して API の使用状況を最適化し、最善のパフォーマンスを発揮します。 サービスが API に課すさまざまな制限を考慮して、Microsoft Defender for Cloud Apps エンジンは許可された容量を使用します。 多数の API を必要とする操作 (たとえば、テナント内にあるすべてのファイルのスキャン) は、長期間にわたって分散されます。 ある種のポリシーの実行には、数時間、数日間といった長い期間が必要になります。
重要
2024 年 9 月 1 日から、Microsoft は Microsoft Defender for Cloud Apps から Files ページを非推奨にしました。 詳細については、「Microsoft Defender for Cloud Apps のファイル ポリシー」を参照してください。
複数インスタンスのサポート
Defender for Cloud Apps では、同じ接続アプリの複数のインスタンスがサポートされています。 たとえば、Salesforce のインスタンスが複数ある場合 (営業用、マーケティング用) は、両方とも Defender for Cloud Apps に接続できます。 同じコンソールから異なるインスタンスを管理して、詳細なポリシーと詳細な調査を作成できます。 このサポートは、API に接続されたアプリにのみ適用され、Cloud Discovered アプリやプロキシ接続アプリには適用されません。
注:
Microsoft 365 と Azureでは、マルチインスタンスはサポートされていません。
メカニズム
Defender for Cloud Apps は、環境内のすべてのオブジェクトへのフル アクセスを許可するために、システム管理者特権でデプロイされます。
App Connector フローは次のとおりです:
- Defender for Cloud Apps は、認証アクセス許可をスキャンして保存します。
- Defender for Cloud Apps はユーザーの一覧を要求します。 初めて要求を行う場合、スキャンが完了するまでに時間がかかる場合があります。 ユーザー スキャンが完了すると、Defender for Cloud Appsアクティビティとファイルに移動します。 スキャンが開始されるとすぐに、一部のアクティビティをDefender for Cloud Appsで利用できます。
- ユーザー要求が完了すると、Defender for Cloud Apps はユーザー、グループ、アクティビティ、ファイルを定期的にスキャンします。 すべてのアクティビティは、最初のフル スキャン後に使用できます。
テナントのサイズ、ユーザーの数、スキャンする必要があるファイルのサイズと数によっては、この接続に時間がかかる場合があります。
接続先のアプリに応じて、API 接続によって次の項目が有効になります:
- アカウント情報 ‐ ユーザー、アカウント、プロファイル情報、状態 (一時停止、アクティブ、無効) グループ、特権の可視性。
- 監査証跡 ‐ ユーザー アクティビティ、管理者アクティビティ、サインイン アクティビティの可視性。
- アカウント ガバナンス - ユーザーの一時停止、パスワードの取り消しなどの機能。
- アプリのアクセス許可 - 発行されたトークンとそのアクセス許可の可視性。
- アプリのアクセス許可ガバナンス - トークンを削除する機能。
- データ スキャン ‐ 定期スキャン (12 時間ごと) およびリアルタイム スキャン (変更が検出されるたびにトリガーされる) の 2 つのプロセスを使用した、非構造化データのスキャン。
- データ ガバナンス ‐ ごみ箱の中のファイルを含むファイルを検疫し、ファイルを上書きする機能。
次のテーブルに、クラウド アプリごとの一覧を示します。アプリ コネクタでサポートされている機能は次のとおりです:
注:
すべてのアプリ コネクタがすべての機能をサポートしているわけではないため、一部の行が空の場合があります。
ユーザーとアクティビティ
| アプリ | アカウントの一覧表示 | グループの一覧表示 | 特権の一覧表示 | ログオン アクティビティ | ユーザー アクティビティ | 管理アクティビティ |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | 該当なし | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ - Google Business または Enterprise が必要です | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| Mural | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | プロバイダーではサポートされていません | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | 一部 | 一部 |
| Salesforce | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | プロバイダーではサポートされていません | ||
| WorkDay | ✔ | プロバイダーではサポートされていません | プロバイダーではサポートされていません | ✔ | ✔ | プロバイダーではサポートされていません |
| Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
ユーザー、アプリ ガバナンス、セキュリティ構成の可視性
| アプリ | ユーザー ガバナンス | アプリのアクセス許可を表示する | アプリのアクセス許可を取り消す | SaaS セキュリティ体制管理 (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | 該当なし | 該当なし | ||
| Azure | プロバイダーではサポートされていません | |||
| Box | ✔ | プロバイダーではサポートされていません | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | 件名 Google ワークスペース接続 | 該当なし | 該当なし | |
| Google Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| Mural | ||||
| NetDocuments | Preview | |||
| Okta | 該当なし | 該当なし | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Slack | ||||
| Smartsheet | ||||
| Webex | 該当なし | 該当なし | ||
| WorkDay | プロバイダーではサポートされていません | 該当なし | 該当なし | |
| Workplace by Meta | Preview | |||
| Zendesk | ✔ | |||
| Zoom | Preview |
情報保護
| アプリ | DLP - 定期的なバックログ スキャン | DLP - 凖リアルタイム スキャン | 制御の共有 | ファイル ガバナンス | Microsoft Purview Information Protection から秘密度ラベルを適用する |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ - S3 バケット検出のみ | ✔ | ✔ | 該当なし | |
| Azure | |||||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| Google Workspace | ✔ | ✔ - Google Business Enterprise が必要です | ✔ | ✔ | ✔ |
| Okta | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| Miro | |||||
| Mural | |||||
| NetDocuments | |||||
| Okta | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | 該当なし | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | 該当なし |
| WorkDay | プロバイダーではサポートされていません | プロバイダーではサポートされていません | プロバイダーではサポートされていません | プロバイダーではサポートされていません | 該当なし |
| Workplace by Meta | |||||
| Zendesk | Preview | ||||
| Zoom |
前提条件
Microsoft 365 コネクタを使用する場合は、セキュリティに関する推奨事項を表示する各サービスのライセンスが必要です。 たとえば、Microsoft Forms の推奨事項を表示するには、Forms をサポートするライセンスが必要です。
一部のアプリでは、Defender for Cloud Appsがログを収集し、Defender for Cloud Apps コンソールへのアクセスを提供できるようにするために、リスト IP アドレスを許可することが必要になる場合があります。 詳細については、「ネットワーク要件」を参照してください。
注:
URL と IP アドレスが変更されたときに更新プログラムを取得するには、「 Microsoft 365 URL と IP アドレス範囲」で説明されているように RSS をサブスクライブします。
アプリ コネクタを有効にする
アプリ コネクタを初めて有効にするには、接続する特定のクラウド アプリの API 接続を構成します。 詳細な手順については、各アプリの個々のコネクタ ガイドを参照してください。
- Microsoft Defender ポータルにサインインします。
- [Cloud Apps>Connected apps] に移動します。
- [ アプリの接続] または [ 新しいコネクタの追加] を選択します。
- 接続するクラウド アプリを選択します。
- 対応するアプリ固有の API コネクタ ガイドの指示に従います。 これらの手順には、必要なアクセス許可と認証手順が含まれます。
各クラウド アプリには、サポートされている API に基づく独自の有効化プロセスがあります。
ExpressRoute
Defender for Cloud Apps は Azure にデプロイされ、ExpressRoute と完全に統合されています。 Defender for Cloud Apps アプリとのすべてのやり取りと、検出ログのアップロードなど、Defender for Cloud Apps に送信されるトラフィックは ExpressRoute 経由でルーティングされ、待機時間、パフォーマンス、セキュリティが向上します。 Microsoft ピアリングの詳細については、「ExpressRoute 回線とルーティング ドメイン」を参照してください。
アプリ コネクタを無効にする
注:
- アプリ コネクタを無効にする前に、コネクタを再度有効にする場合は、必要に応じて接続の詳細を使用できることを確認してください。
- これらの手順を使用して、条件付きアクセス アプリ制御アプリとセキュリティ構成アプリを無効にすることはできません。
接続されているアプリを無効にするには:
- [ 接続済みアプリ] に移動します。
- [ アプリ コネクタを無効にする] を選択します。
- [ アプリ コネクタ インスタンスを無効にする] を選択 して、アクションを確認します。
無効にすると、コネクタ インスタンスはコネクタからのデータの使用を停止します。
アプリ コネクタを再度有効にする
接続済みアプリを再度有効にするには:
- [ 接続済みアプリ] に移動します。
- [設定の編集] を選択します。 このアクションにより、コネクタを追加するプロセスが開始されます。
- 関連する API コネクタ ガイドの手順を使用してコネクタを追加します。 たとえば、GitHub を再度有効にする場合は、「GitHub Enterprise Cloud を接続してMicrosoft Defender for Cloud Appsする」の手順を使用します。
アプリを接続した後に不足しているアクティビティのトラブルシューティング
アプリを接続した後に期待されるアクティビティが表示されない場合は、次のチェックを使用して、データを使用できる場所と追加の構成が必要かどうかを判断します。
1. コネクタが正常であることを確認する
アプリ コネクタが正常に接続されていること、および構成の警告やアクセス許可の問題がないことを確認します。
2. インジェスト遅延の予想を確認する
一部のコネクタでは、アクティビティが表示されるまでの待機時間が予想されます。 不足しているアクティビティを問題として扱う前に、コネクタに文書化されたインジェスト遅延があるかどうかを検証します。
3. コネクタがアクティビティ インジェストをサポートしていることを確認する
[ ユーザーとアクティビティ] セクションで、コネクタがアクティビティの収集をサポートしているかどうかを確認します。
4. コネクタ固有のアクティビティ オプションを確認 する 選択可能なアクティビティの種類をサポートするコネクタについては、必要なオプションが有効になっていることを確認します。 たとえば、サインイン アクティビティを調査している場合は、関連するサインイン データを収集するようにコネクタが構成されていることを確認します。
5. スコープ付きデプロイ設定を確認する
スコープ付きデプロイが有効になっている場合は、アクティビティを実行しているアカウントが現在のスコープ付きデプロイ ルールに含まれていることを確認します。 除外されたユーザー、グループ、またはアプリによって生成されたアクティビティは取り込まれません。 また、特に異なる識別子形式が使用されている場合に、接続されたアプリケーション間でアカウント識別子が正しく一致しているかどうかを確認します。
6. 予想されるログ記録画面を検証する
アクティビティの種類に応じて、次の表に示す適切なソースにイベントが表示されるかどうかをチェックします。
| イベント | ソース |
|---|---|
| ポリシー管理の変更をDefender for Cloud Appsする | Microsoft Defender for Cloud Apps アクティビティ ログ |
| サインイン イベントのMicrosoft Entra | サインイン ログのMicrosoft Entra |
| ID 関連の調査データ | Advanced Hunting ID テーブル |
7. データが欠落していると結論付けする前にフィルターを適用する
次のようなフィルターを使用します。
- 時間範囲
- ユーザーまたは管理者
- アクティビティの種類
- アプリまたはワークロード
8. 既知のスコープの制限事項を確認する
一部のアクティビティは、すべてのログ画面で完全に表されない場合があります。 あるソースからイベントが見つからない場合は、そのアクティビティが別のソースで使用可能として文書化されているかどうかを確認します。
重要
アクティビティが見つからないと、コネクタの障害が常に示されるわけではありません。 まず、アクティビティがDefender for Cloud Apps、Microsoft Entra ログ、Microsoft 365 監査ログ、または高度なハンティングで想定されているかどうかを確認します。
さらに調査する
次の場合にさらに調査します。
- コネクタは正常な状態を示しますが、サポートされているログ記録画面に予期されるデータは表示されません。
- 必須のアクティビティ オプションはオンになっていますが、妥当な検証期間が経過してもイベントは存在しません。
- 同じアクティビティの種類は、複数のチェックで一貫して使用できません。