接続されているアプリを管理する
ガバナンスを使用すると、アプリ間でのユーザーの行動を制御できます。 接続されているアプリの場合、ファイルまたはアクティビティにガバナンス アクションを適用できます。 ガバナンス アクションは、Microsoft Defender for Cloud Apps からファイルまたはアクティビティに対して直接実行できる統合アクションです。 ガバナンス アクションでは、接続されたアプリ全体でのユーザーの作業を制御します。 ガバナンス アクションを使用できる場所については、「接続されているアプリを管理する」を参照してください。
Note
Microsoft Defender for Cloud Apps では、ファイルに対するガバナンス アクションを実行しようとして、ファイルがロックされているために失敗した場合、ガバナンス アクションが自動的に再試行されます。
ファイル ガバナンス アクション
次のガバナンス アクションは、接続されたアプリで特定のファイル、ユーザーに対して、または特定のポリシーから実行できます。
Notifications:
アラート – アラートはシステム内でトリガーされ、重大度レベルに基づいて電子メール経由で伝達されます。
ユーザーへの電子メール通知 – 電子メール メッセージはカスタマイズ可能で、違反しているすべてのファイル所有者に送信されます。
特定のユーザーに通知 – これらの通知を受け取る電子メール アドレスの特定のリストです。
ファイルの最終編集者に通知 – ファイルを最後に変更したユーザーに通知が送信されます。
アプリのガバナンス アクション - アプリごとに詳細に設定されたアクションを適用できます。指定されるアクションは、アプリの用語によって異なります。
ラベル
- ラベルの適用 - Microsoft Purview Information Protection の秘密度ラベルを追加する機能。
- ラベルの削除 - Microsoft Purview Information Protection の秘密度ラベルを削除する機能。
共有の変更
パブリック共有を削除 – 指定した共同作業者にのみアクセスを許可します。例: Google Workspace の場合は パブリック アクセスを削除、Box と Dropbox の場合は 直接共有リンクを削除します。
外部ユーザーの削除 – アクセス許可を会社のユーザーのみに与えます。
プライベートにする – サイト管理者のみがファイルにアクセスでき、すべての共有が削除されます。
コラボレーターの削除 – ファイルから特定のコラボレーターを削除します。
パブリック アクセスの削減 - 一般に公開されているファイルを共有リンクでのみ使用されるように設定できます。 (Google)
共有リンクの期限切れ - 共有リンクの有効期限を設定する機能。この日付を過ぎると、共有リンクはアクティブでなくなります。 (Box)
共有リンクのアクセス レベルの変更 - 共有リンクのアクセス レベルを、企業のみ、コラボレーターのみ、およびパブリックの間で変更する機能です。 (Box)
検疫
ユーザー検疫に配置 – ユーザーによって制御される検疫フォルダーにファイルを移動することで、セルフサービスを行うことができます。
管理者検疫に配置 – 管理ドライブの検疫にファイルを移動し、それを管理者が承認する必要があります。
親からアクセス許可を継承 - このガバナンス アクションを使用すると、Microsoft 365 のファイルまたはフォルダーに設定された特定のアクセス許可を削除できます。 その後、親フォルダーに設定されているアクセス許可に戻すことができます。
ごみ箱 – ファイルを [ごみ箱] フォルダーに移動します。 (Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex)
マルウェア ガバナンス アクション (プレビュー)
次のガバナンス アクションは、接続されたアプリで特定のファイル、ユーザーに対して、または特定のポリシーから実行できます。 セキュリティ上の理由から、この一覧は、ユーザーまたはテナントのリスクを意味しないマルウェア関連のアクションのみに限定されます。
Notifications:
- アラート – アラートはシステム内でトリガーし、重要度レベルに基づいて電子メールおよびテキスト メッセージによって伝達することができます。
アプリのガバナンス アクション - アプリごとに詳細に設定されたアクションを適用できます。指定されるアクションは、アプリの用語によって異なります。
共有の変更
- 外部ユーザーの削除 – アクセス許可を会社のユーザーのみに与えます。 (Box、Google Drive、OneDrive、SharePoint)
- 直接共有リンクの削除 – 以前に共有されたリンクのアクセス許可を削除します (Box、Dropbox)
検疫
- ユーザー検疫に配置 – ユーザーによって制御される検疫フォルダーにファイルを移動することで、セルフサービスを行うことができます (Box、OneDrive、SharePoint)
- 管理者検疫に配置 – 管理ドライブの検疫にファイルを移動し、それを管理者が承認する必要があります。 (Box)
ごみ箱 – ファイルを [ごみ箱] フォルダーに移動します。 (Box、Dropbox、Google Drive、OneDrive、SharePoint)
Note
SharePoint と OneDrive では、Defender for Cloud Apps は、Shared Documents ライブラリ (SharePoint Online) と、Documents ライブラリ (OneDrive for Business) のファイルについてのみ、ユーザー検疫をサポートします。
Microsoft Defender for Microsoft 365 のお客様は、Microsoft Defender XDR の [検疫] ページを使用して、SharePoint および OneDrive で検出されたマルウェア ファイルを制御できます。 たとえば、サポートされているアクティビティには、ファイルの復旧、ファイルの削除、パスワードで保護された ZIP ファイル内のファイルのダウンロードなどがあります。 これらのアクティビティは、Microsoft Defender for Cloud Apps によってまだ検疫されていないファイルに限定されます。 SharePoint では、Defender for Cloud Apps は、英語のパスで共有ドキュメントを持つファイルに対してのみ検疫タスクをサポートします。
アクションは、接続されているアプリに対してのみ表示されます。
アクティビティ ガバナンス アクション
通知
アラート – アラートはシステム内でトリガーされ、重大度レベルに基づいて電子メール経由で伝達されます。
ユーザーへの電子メール通知 – 電子メール メッセージはカスタマイズ可能で、違反しているすべてのファイル所有者に送信されます。
追加のユーザーに通知 – 通知を受信する電子メール アドレスのリストを指定します。
アプリのガバナンス アクション - アプリごとに詳細に設定されたアクションを適用できます。指定されるアクションは、アプリの用語によって異なります。
ユーザーの停止 – ユーザーのアプリケーションの使用を停止します。
Note
Microsoft Entra ID が Active Directory オンプレミス環境のユーザーと自動的に同期するように設定されている場合、オンプレミス環境の設定が Microsoft Entra の設定をオーバーライドし、このガバナンス アクションは元に戻されます。
ユーザーにもう一度サインインするよう要求する – ユーザーにサインアウトし、もう一度サインインするよう要求します。
ユーザーが侵害されたことを確認 - ユーザーのリスク レベルを高に設定します。 これにより、Microsoft Entra ID で定義された関連ポリシー アクションが適用されます。 Microsoft Entra ID がリスク レベルをどのように扱うかの詳細については、「Microsoft Entra ID でのリスクに関するフィードバックの使用方法」を参照してください。
OAuth アプリを取り消し、ユーザーに通知する
Google Workspace と Salesforce の場合、OAuth アプリのアクセス許可を取り消したり、アクセス許可を変更する必要があることをユーザーに通知したりすることができます。 アクセス許可を取り消すと、Microsoft Entra ID の [エンタープライズ アプリケーション] でアプリケーションに付与されていたすべてのアクセス許可が削除されます。
[アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、アプリの行の末尾にある 3 つの点を選択し、[ユーザーに通知] を選択します。 既定では、次のようにユーザーに通知されます。アプリに対して、Google Workspace アカウントへのアクセスを承認しました。このアプリは、組織のセキュリティ ポリシーと競合しています。Google Workspace アカウントでこのアプリに付与したアクセス許可の付与または取り消しを再検討してください。アプリへのアクセスを取り消すには、以下に移動します。https://security.google.com/settings/security/permissions?hl=en&pli=1 アプリを選択し、右側のメニュー バーで [アクセスの取り消し] を選択します。送信されるメッセージはカスタマイズすることができます。
また、ユーザーのためにそのアプリを使用するアクセス許可を取り消すこともできます。 表のアプリ行の末尾にあるアイコンを選択し、[アプリの取り消し] を選択します。 次に例を示します。
ガバナンスの競合
複数のポリシーを作成した後に、複数のポリシーに含まれるガバナンス アクションが重複する状況が発生することがあります。 その場合、Defender for Cloud Apps ではガバナンス アクションを次のように処理します。
ポリシー間の競合
- あるポリシーのアクションに、別のポリシーのアクションが含まれている場合 (たとえば、外部共有を削除するは非公開にするに含まれます)、Defender for Cloud Apps では競合を解決して、強い方のアクションを適用します。
- アクションが無関係である場合 (たとえば、所有者に通知と非公開にする)。 両方のアクションが実行されます。
- アクションが競合する場合 (たとえば、所有者をユーザー A に変更すると所有者をユーザー B に変更する)、一致ごとに結果が異なる可能性があります。 競合があるとドライブでの望ましくない変更を検出するのが困難な場合があるので、ポリシーを変更して競合を避けることが重要です。
ユーザー同期の競合
- Microsoft Entra ID が Active Directory オンプレミス環境のユーザーと自動的に同期するように設定されている場合、オンプレミス環境の設定が Microsoft Entra 設定をオーバーライドし、このガバナンス アクションは元に戻されます。
ガバナンス ログ
ガバナンス ログによって、Defender for Cloud Apps で実行するように設定された各タスク (手動と自動の両方) の状態レコードが提供されます。 これらのタスクには、ポリシーに設定するもの、ファイルやユーザーに設定するガバナンス アクション、Defender for Cloud Apps で実行されるように設定する他のすべてのアクションが含まれます。 ガバナンス ログは、これらのアクションの成否に関する情報も提供します。 ガバナンス ログからは、ガバナンス アクションの一部を再試行したり、元に戻したりすることができます。
ガバナンス ログを表示するには、Microsoft Defender ポータルの [クラウド アプリ] で [ガバナンス ログ] を選択します。
次の表に、Defender for Cloud Apps ポータルで実行できるすべてのアクションを示します。 これらのアクションは、場所の列に説明されるように、コンソールのさまざまな場所で利用可能です。 実行されたガバナンス アクションはそれぞれ、ガバナンス ログに一覧されます。 ポリシーの競合がある場合のガバナンス アクションの処理方法については、「ポリシーの競合」を参照してください。
| 場所 | ターゲット オブジェクトの種類 | ガバナンス アクション | 説明 | 関連するコネクタ |
|---|---|---|---|---|
| 取引先企業 | ファイル | ユーザーのコラボレーションを削除 | 任意のファイルに対する特定のユーザーのコラボレーションをすべて削除します。退社するユーザーに利用できます。 | Box, Google Workspace |
| 取引先企業 | アカウント | ユーザーの停止解除 | ユーザーの停止を解除します。 | Google Workspace, Box, Office, Salesforce |
| 取引先企業 | アカウント | アカウント設定 | 特定のアプリ (Salesforce 内など) のアカウント設定ページが表示されます。 | すべてのアプリ - One Drive と SharePoint の設定は、Office 内から構成されます。 |
| 取引先企業 | ファイル | すべてのファイル所有権の譲渡 | アカウント上で、1 人のユーザーのファイルを、お客様が選択した新しいユーザーによって所有されるすべてに譲渡します。 前の所有者は編集者になり、共有設定を変更できなくなります。 新しい所有者は、所有権の変更に関するメールの通知を受信します。 | Google ワークスペース |
| [アカウント]、[アクティビティ ポリシー] | アカウント | ユーザーの停止 | アクセスやログインができないように、ユーザーを設定します。 このアクションを設定したときにユーザーがログインしている場合は、すぐにロックアウトされます。 | Google Workspace, Box, Office, Salesforce |
| [アクティビティ ポリシー]、[アカウント] | アカウント | ユーザーにもう一度サインインするよう要求する | ユーザーによって、アプリケーションに対するすべての更新トークンとセッション Cookie の問題が取り消されます。 このアクションにより、組織のすべてのデータにアクセスできなくなり、ユーザーは強制的にすべてのアプリケーションに再度サインインさせられます。 | Google Workspace, Office |
| [アクティビティ ポリシー]、[アカウント] | アカウント | ユーザーの侵害を確認 | ユーザーのリスクレベルを高に設定します。 これにより、Microsoft Entra ID で定義された関連ポリシー アクションが適用されます。 | Office |
| [アクティビティ ポリシー]、[アカウント] | アカウント | 管理特権の取り消し | 管理者アカウントの特権を取り消します。 たとえば、ログイン試行が 10 回失敗した後に、管理特権を取り消すようにアクティビティ ポリシーを設定します。 | Google ワークスペース |
| [アプリ ダッシュボード] > [アプリの権限] | アクセス許可 | アプリの禁止解除 | Google、Salesforce の場合: アプリに対する禁止を解除し、Google または Salesforce へのアクセス許可をユーザーがサードパーティ製アプリに付与できるようにします。 Microsoft 365 の場合: サードパーティ アプリのアクセス許可を Office に復元します。 | Google Workspace, Salesforce, Office |
| [アプリ ダッシュボード] > [アプリの権限] | アクセス許可 | アプリのアクセス許可の無効化 | Google、Salesforce、Office に対するサードパーティ製アプリのアクセス許可を取り消します。 これは既存のすべてのアクセス許可に対して実行される 1 回限りのアクションですが、以降の接続を禁止することはありません。 | Google Workspace, Salesforce, Office |
| [アプリ ダッシュボード] > [アプリの権限] | アクセス許可 | アプリのアクセス許可の有効化 | Google、Salesforce、Office に対するサードパーティ製アプリのアクセス許可を付与します。 これは既存のすべてのアクセス許可に対して実行される 1 回限りのアクションですが、以降の接続を禁止することはありません。 | Google Workspace, Salesforce, Office |
| [アプリ ダッシュボード] > [アプリの権限] | アクセス許可 | アプリの禁止 | Google、Salesforce の場合: Google または Salesforce に対するサードパーティ製アプリのアクセス許可を取り消し、以降のアクセス許可の付与を禁止します。 Microsoft 365 の場合: サードパーティ アプリによる Office へのアクセス許可は許可されませんが、取り消されません。 | Google Workspace, Salesforce, Office |
| [アプリ ダッシュボード] > [アプリの権限] | アクセス許可 | アプリを取り消す | Google と Salesforce に対するサードパーティ製アプリのアクセス許可を取り消します。 これは既存のすべてのアクセス許可に対して実行される 1 回限りのアクションですが、以降の接続を禁止することはありません。 | Google Workspace, Salesforce |
| [アプリ ダッシュボード] > [アプリの権限] | アカウント | アプリからのユーザーの取り消し | [ユーザー] の数をクリックすると、特定のユーザーを取り消すことができます。 画面に特定のユーザーが表示され、お客様は X を使用して、任意のユーザーのアクセス許可を削除することができます。 | Google Workspace, Salesforce |
| [検出] > [検出されたアプリ]/[IP アドレス]/[ユーザー] | Cloud Discovery | 探索データのエクスポート | 探索データから CSV を作成します。 | 探索 |
| [ファイル ポリシー] | ファイル | ごみ箱 | ファイルをユーザーのゴミ箱に移動します。 | Box、Dropbox、Google Drive、OneDrive、SharePoint、Cisco Webex (完全に削除) |
| [ファイル ポリシー] | ファイル | ファイルの最終編集者に通知 | メールを送信して、ファイルを編集した最後のユーザーに、そのファイルがポリシーに違反していることを通知します。 | Google Workspace, Box |
| [ファイル ポリシー] | ファイル | ファイルの所有者に通知 | ファイルがポリシーに違反していると、ファイルの所有者にメールが送信されます。 Dropbox では、所有者がファイルに関連付けられていない場合、通知は設定されている特定のユーザーに送られます。 | すべてのアプリ |
| [ファイル ポリシー]、[アクティビティ ポリシー] | ファイル、アクティビティ | 特定のユーザーに通知 | メールを送信して、特定のユーザーにポリシーに違反しているファイルについて通知します。 | すべてのアプリ |
| [ファイル ポリシー]、[アクティビティ ポリシー] | ファイル、アクティビティ | ユーザーに通知 | ユーザーにメールを送信して、ユーザーの操作内容やユーザー自身がポリシーに違反したファイルを通知します。 カスタムの通知を追加して、違反の内容をユーザーに通知することができます。 | すべて |
| [ファイル ポリシー] と [ファイル] | ファイル | 編集者が共有できないようにする | Google ドライブでは、ファイルにおける既定の編集者のアクセス許可も共有できます。 ガバナンス アクションは、このオプションを制限し、所有者のファイル共有を制限します。 | Google ワークスペース |
| [ファイル ポリシー] と [ファイル] | ファイル | 管理者検疫に配置 | ファイルからすべてのアクセス許可を削除し、ファイルを管理者の場所にある隔離フォルダーに移動します。 このアクションにより、管理者はファイルを確認して削除できるようになります。 | Microsoft 365 SharePoint, OneDrive for Business, Box |
| [ファイル ポリシー] と [ファイル] | ファイル | 秘密度ラベルの適用 | ポリシーに設定されている条件に基づいて、Microsoft Purview Information Protection 秘密度ラベルをファイルに自動的に適用します。 | Box, One Drive, Google Workspace, SharePoint |
| [ファイル ポリシー] と [ファイル] | ファイル | 秘密度ラベルの削除 | ポリシーに設定されている条件に基づいて、ファイルから Microsoft Purview Information Protection 秘密度ラベルを自動的に削除します。 ラベルを削除できるのは、それらに保護が含まれておらず、Information Protection に直接適用されたラベルではなく、Defender for Cloud Apps 内から適用された場合に限られます。 | Box, One Drive, Google Workspace, SharePoint |
| [ファイル ポリシー]、[アクティビティ ポリシー]、[アラート] | アプリ | Require users to sign in again \(ユーザーのサインインを必須にする\) | 不審なユーザー アクティビティのアラートやセキュリティ侵害を受けたアカウントに対する迅速かつ効果的な修復として、ユーザーにすべての Microsoft 365 アプリと Microsoft Entra アプリへの再ログインを要求できます。 新しいガバナンスは、ポリシー設定と、[ユーザーの停止] オプションの横にあるアラート ページで確認できます。 | Microsoft 365、Microsoft Entra ID |
| Files | ファイル | ユーザー検疫からの復元 | 検疫済みからユーザーを元に戻します。 | Box |
| Files | ファイル | 自分に読み取りアクセス許可を付与 | ファイルにアクセスし、違反があるかどうかを確認できるように、自分にファイルの読み取りアクセス許可を付与します。 | Google ワークスペース |
| Files | ファイル | 編集者に共有を許可 | Google ドライブでは、ファイルにおける既定の編集者のアクセス許可も共有できます。 このガバナンス アクションは、削除エディターの共有機能の逆であり、エディターがファイルを共有できるようにします。 | Google ワークスペース |
| Files | ファイル | 保護 | 組織のテンプレートを適用して、Azure Information Protection でファイルを保護します。 | Microsoft 365 (SharePoint および OneDrive) |
| Files | ファイル | 自分の読み取りアクセス許可を取り消す | 自分でファイルの読み取りアクセス許可を取り消します。自分にアクセス許可を付与して、ファイルの違反の有無を確認した後に便利です。 | Google ワークスペース |
| [ファイル]、[ファイル ポリシー] | ファイル | ファイル所有権の移転 | 所有者を変更します (特定の所有者を選択したポリシー内)。 | Google ワークスペース |
| [ファイル]、[ファイル ポリシー] | ファイル | パブリック アクセスの削減 | このアクションにより、一般に公開されているファイルを共有リンクでのみ使用されるように設定できます。 | Google ワークスペース |
| [ファイル]、[ファイル ポリシー] | ファイル | コラボレーターの削除 | ファイルから特定のコラボレーターを削除します。 | Google Workspace, Box, One Drive, SharePoint |
| [ファイル]、[ファイル ポリシー] | ファイル | プライベートにする | サイト管理者のみがファイルにアクセスでき、すべての共有が削除されます。 | Google Workspace, One Drive, SharePoint |
| [ファイル]、[ファイル ポリシー] | ファイル | 外部ユーザーを削除 | すべての外部コラボレーター ([設定] で内部として構成されたドメインの外部) を削除します。 | Google Workspace, Box, One Drive, SharePoint |
| [ファイル]、[ファイル ポリシー] | ファイル | ドメインに読み取りアクセス許可を付与 | お客様のドメイン全体または特定の 1 つのドメインに指定されたドメインに、ファイルの読み取りアクセス許可を付与します。 このアクションは、作業する必要があるユーザーのドメインにアクセス権を付与した後に、パブリック アクセスを削除する必要がある場合に役立ちます。 | Google ワークスペース |
| [ファイル]、[ファイル ポリシー] | ファイル | ユーザー検疫に配置 | ファイルからすべてのアクセス許可を削除し、そのファイルをユーザーのルート ドライブ下の検疫フォルダーに移動します。 このアクションにより、ユーザーはファイルを確認して移動できます。 手動で戻した場合、ファイルの共有は復元されません。 | ボックス、One Drive、SharePoint |
| Files | ファイル | 共有リンクの有効期限 | 共有リンクがアクティブではなくなる有効期限日を設定します。 | Box |
| Files | ファイル | 共有リンクのアクセス レベルの変更 | 共有リンクのアクセス レベルを、企業のみ、コラボレーターのみ、およびパブリックの間で変更します。 | Box |
| [ファイル]、[ファイル ポリシー] | ファイル | パブリック アクセスの削除 | ファイルが自分のファイルで、パブリック アクセスできるようにした場合、ファイルへのアクセス権 (ファイルのアクセス許可の種類によって異なる) を持つように構成された他のすべてのユーザーが、そのファイルにアクセスできるようになります。 | Google ワークスペース |
| [ファイル]、[ファイル ポリシー] | ファイル | 直接共有リンクの削除 | パブリックですが、特定のユーザーと共有のみされている、ファイルに作成されたリンクを削除します。 | Box, Dropbox |
| [設定] > [Cloud Discovery 設定] | Cloud Discovery | Cloud Discovery スコアを再計算 | スコア メトリックを変更した後に、クラウド アプリ カタログのスコアを再計算します。 | 探索 |
| [設定] > [Cloud Discovery 設定] > [データ ビューの管理] | Cloud Discovery | カスタムの Cloud Discovery フィルター データ ビューを作成 | 検出結果のより詳細なビュー用に新しいデータ ビューを作成します。 特定の IP 範囲など。 | 探索 |
| [設定] > [Cloud Discovery 設定] > [データの削除] | Cloud Discovery | Cloud Discovery データの削除 | 探索ソースから収集されたすべてのデータを削除します。 | 探索 |
| [設定] > [Cloud Discovery 設定] > [ログを手動でアップロード]/[ログを自動的にアップロード] | Cloud Discovery | Cloud Discovery データの解析 | すべてのログ データが解析された通知です。 | 探索 |
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。