アプリ コネクタは、アプリ プロバイダーの API を使用し、Microsoft Defender for Cloud Apps に接続したアプリの可視性と制御を強化するものです。
Microsoft Defender for Cloud Apps は、クラウド プロバイダーによって提供される API を利用します。 Defender for Cloud Apps と接続されているアプリ間のすべての通信は、HTTPS を使用して暗号化されます。 各サービスには、調整、API の制限、動的なタイム シフト API ウィンドウなど、独自のフレームワークと API の制限があります。 Microsoft Defender for Cloud Apps は、API の使用を最適化し、最高のパフォーマンスを提供するために、サービスと協力しました。 API に課されるサービスのさまざまな制限を考慮して、Defender for Cloud Apps エンジンは許可されている容量を使用します。 多数の API を必要とする操作 (たとえば、テナント内にあるすべてのファイルのスキャン) は、長期間にわたって分散されます。 ある種のポリシーの実行には、数時間、数日間といった長い期間が必要になります。
重要
2024 年 9 月 1 日以降、Microsoft Defender for Cloud Apps のファイル ページは廃止されます。 その時点で、Information Protection ポリシーを作成および変更し、Cloud アプリ> [ポリシー] > [ポリシーの管理] ページからマルウェア ファイル 検索します。 詳細については、「Microsoft Defender for Cloud Apps のファイル ポリシー」を参照してください。
複数インスタンスのサポート
Defender for Cloud Apps では、同じ接続アプリの複数のインスタンスがサポートされています。 たとえば、Salesforce のインスタンスが複数ある場合 (営業用、マーケティング用) は、両方とも Defender for Cloud Apps に接続できます。 同じコンソールから異なるインスタンスを管理して、詳細なポリシーと詳細な調査を作成できます。 このサポートは、クラウド検出アプリやプロキシ接続アプリではなく、API に接続されたアプリにのみ適用されます。
注:
マルチインスタンスは、Microsoft 365 と Azure ではサポートされていません。
メカニズム
Defender for Cloud Apps は、環境内のすべてのオブジェクトへのフル アクセスを許可するために、システム管理者特権でデプロイされます。
App Connector フローは次のとおりです:
Defender for Cloud Apps は、認証アクセス許可をスキャンして保存します。
Defender for Cloud Apps はユーザーの一覧を要求します。 要求が初めて行われると、スキャンが完了するまでしばらく時間がかかる場合があります。 ユーザー スキャンが終了すると、Defender for Cloud Apps はアクティビティとファイルに移動します。 スキャンが開始されるとすぐに、Defender for Cloud Apps で一部のアクティビティを使用できるようになります。
ユーザー要求が完了すると、Defender for Cloud Apps はユーザー、グループ、アクティビティ、ファイルを定期的にスキャンします。 すべてのアクティビティは、最初のフル スキャン後に使用できます。
この接続には、テナントのサイズ、ユーザー数、スキャンする必要があるファイルのサイズと数によって、時間がかかる場合があります。
接続先のアプリに応じて、API 接続によって次の項目が有効になります:
- アカウント情報 ‐ ユーザー、アカウント、プロファイル情報、状態 (一時停止、アクティブ、無効) グループ、特権の可視性。
- 監査証跡 ‐ ユーザー アクティビティ、管理者アクティビティ、サインイン アクティビティの可視性。
- アカウント ガバナンス - ユーザーの一時停止、パスワードの取り消しなどの機能。
- アプリのアクセス許可 - 発行されたトークンとそのアクセス許可の可視性。
- アプリのアクセス許可ガバナンス - トークンを削除する機能。
- データ スキャン ‐ 定期スキャン (12 時間ごと) およびリアルタイム スキャン (変更が検出されるたびにトリガーされる) の 2 つのプロセスを使用した、非構造化データのスキャン。
- データ ガバナンス ‐ ごみ箱の中のファイルを含むファイルを検疫し、ファイルを上書きする機能。
次のテーブルに、クラウド アプリごとの一覧を示します。アプリ コネクタでサポートされている機能は次のとおりです:
注:
すべてのアプリ コネクタがすべての機能をサポートしているわけではないため、一部の行が空である可能性があります。
ユーザーとアクティビティ
| アプリ | アカウントの一覧表示 | グループの一覧表示 | 特権の一覧表示 | ログオン アクティビティ | ユーザー アクティビティ | 管理アクティビティ |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | 該当なし | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ - Google Business または Enterprise が必要です | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| Mural | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | プロバイダーではサポートされていません | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | 一部 | 一部 |
| Salesforce | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | プロバイダーではサポートされていません | ||
| WorkDay | ✔ | プロバイダーではサポートされていません | プロバイダーではサポートされていません | ✔ | ✔ | プロバイダーではサポートされていません |
| Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
ユーザー、アプリ ガバナンス、セキュリティ構成の可視性
| アプリ | ユーザー ガバナンス | アプリのアクセス許可を表示する | アプリのアクセス許可を取り消す | SaaS セキュリティ体制管理 (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | 該当なし | 該当なし | ||
| Azure | プロバイダーではサポートされていません | |||
| Box | ✔ | プロバイダーではサポートされていません | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | 件名 Google ワークスペース接続 | 該当なし | 該当なし | |
| Google Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| Mural | ||||
| NetDocuments | Preview | |||
| Okta | 該当なし | 該当なし | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Slack | ||||
| Smartsheet | ||||
| Webex | 該当なし | 該当なし | ||
| WorkDay | プロバイダーではサポートされていません | 該当なし | 該当なし | |
| Workplace by Meta | Preview | |||
| Zendesk | ✔ | |||
| Zoom | Preview |
情報保護
| アプリ | DLP - 定期的なバックログ スキャン | DLP - 凖リアルタイム スキャン | 制御の共有 | ファイル ガバナンス | Microsoft Purview Information Protection から秘密度ラベルを適用する |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ - S3 バケット検出のみ | ✔ | ✔ | 該当なし | |
| Azure | |||||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| Google Workspace | ✔ | ✔ - Google Business Enterprise が必要です | ✔ | ✔ | ✔ |
| Okta | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| Miro | |||||
| Mural | |||||
| NetDocuments | |||||
| Okta | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | 該当なし | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | 該当なし |
| WorkDay | プロバイダーではサポートされていません | プロバイダーではサポートされていません | プロバイダーではサポートされていません | プロバイダーではサポートされていません | 該当なし |
| Workplace by Meta | |||||
| Zendesk | Preview | ||||
| Zoom |
前提条件
Microsoft 365 コネクタを使用する場合は、セキュリティに関する推奨事項を表示する各サービスのライセンスが必要です。 たとえば、Microsoft Forms の推奨事項を表示するには、Forms をサポートするライセンスが必要です。
一部のアプリでは、Defender for Cloud Apps がログを収集し、Defender for Cloud Apps コンソールへのアクセスを提供できるように、IP アドレスの一覧を許可することが必要な場合があります。 詳細については、「ネットワーク要件」を参照してください。
注:
URL と IP アドレスが変更されたときに更新を取得するには、「Microsoft 365 URL と IP アドレス範囲」で説明されているように RSS をサブスクライブします。
ExpressRoute
Defender for Cloud Apps は Azure にデプロイされ、ExpressRoute と完全に統合されています。 Defender for Cloud Apps アプリとのすべてのやり取りと、検出ログのアップロードなど、Defender for Cloud Apps に送信されるトラフィックは ExpressRoute 経由でルーティングされ、待機時間、パフォーマンス、セキュリティが向上します。 Microsoft ピアリングの詳細については、「ExpressRoute 回線とルーティング ドメイン」を参照してください。
アプリ コネクタを無効にする
注:
- アプリ コネクタを無効にする前に、コネクタを再度有効にする必要がある場合は、必要に応じて接続の詳細を使用できることを確認してください。
- これらの手順を使用して、アプリの条件付きアクセス制御アプリとセキュリティ構成アプリを無効にすることはできません。
接続されているアプリを無効にするには:
- 接続済みアプリ ページの関連する行で、3 つのドットを選択し、[アプリ コネクタを無効にする] を選択します。
- ポップアップで、[アプリ コネクタ インスタンスを無効にする] をクリックしてアクションを確認します。
無効にすると、コネクタ インスタンスはコネクタからのデータの使用を停止します。
アプリ コネクタを再度有効にする
接続済みアプリを再度有効にするには:
- 接続済みアプリ ページの関連する行で、3 つのドットを選択し、[設定の編集] を選択します。 これにより、コネクタを追加するプロセスが開始されます。
- 関連する API コネクタ ガイドの手順を使用してコネクタを追加します。 たとえば、GitHub を再度有効にする場合は、「GitHub Enterprise Cloud を Microsoft Defender for Cloud Apps に接続する」の手順を使用します。
関連するビデオ
次の手順
問題が発生した場合は、こちらにお問い合わせください。 製品の問題に関するサポートを受ける場合は、サポート チケットを開いてください。