OAuth アプリの管理
組織内のビジネス ユーザーによってインストールされるサードパーティの生産性向上アプリの多くは、ユーザー情報やデータにアクセスするための許可を要求し、Microsoft 365、Google Workspace、Salesforce などの他のクラウド アプリにユーザーに代わってサインインします。 ユーザーは、こうしたアプリをインストールするときに、アプリへのアクセス許可の付与など、プロンプトに表示される詳細をよく確認せずに承認をクリックしてしまいがちです。 IT 部門がこうしたアプリケーションのセキュリティ上のリスクと生産性のメリットとを比較検討するための十分な知識を持っていない場合、この問題はさらに重大になります。 サード パーティ製アプリのアクセス許可を承認することは、組織にとって潜在的なセキュリティ リスクになるため、ユーザーが付与するアプリのアクセス許可を監視することで、ユーザーとアプリケーションの保護に欠かせない可視性と制御が得られます。
Microsoft Defender for Cloud Apps アプリのアクセス許可によって、Microsoft 365 データ、Google Workspace データ、および Salesforce データへのアクセス権がある、ユーザーがインストールした OAuth アプリケーションを表示できます。 Defender for Cloud Apps は、アプリにどのような権限があるか、およびどのユーザーがこれらのアプリに Microsoft 365、Google Workspace、Salesforce アカウントへのアクセスを許可したかを示します。 アプリのアクセス許可は、ユーザーのアクセスを許可するアプリと、禁止するアプリを判断するのに役立ちます。
詳細については、「危険な OAuth を調査する」を参照してください。
Note
この記事では、OAuth アプリ ページのサンプルとスクリーンショットを使用します。これは、アプリ ガバナンスを有効にしていない場合に使用されます。
プレビュー機能を使用していて、アプリ ガバナンスを有効にしている場合は、代わりにアプリ ガバナンス ページから同じ機能を使用できます。
詳細については、「Microsoft Defender for Cloud Apps でのアプリ ガバナンス」を参照してください。
前提条件
Microsoft 365、Google Workspace、Salesforce など、サポートされている 1 つ以上のプラットフォームを Defender for Cloud Apps に接続している必要があります。
OAuth アプリ ページでの操作
[OAuth] ページには、接続されたアプリでのアプリのアクセス許可に関する情報が表示されます。
[OAuth] タブにアクセスするには
Microsoft Defender ポータルで、[クラウド アプリ] の [OAuth アプリ] を選択します。
[OAuth アプリ] ページでは、アクセス許可が付与されている各 OAuth アプリについて、下記の情報が表示されます。 Defender for Cloud Apps は、委任されたアクセス許可を要求するアプリのみを識別します。
| 項目 | 意味 | 適用対象 |
|---|---|---|
| アプリ クエリ バーの [基本] アイコン | 基本ビューでのクエリに切り替えます。 | Microsoft 365, Google Workspace, Salesforce |
| アプリ クエリ バーの [詳細] アイコン | 詳細ビューでのクエリに切り替えます。 | Microsoft 365, Google Workspace, Salesforce |
| アプリ一覧の [すべての詳細を開く/閉じる] アイコン | 各アプリに関する詳細の表示を増やすか減らします。 | |
| アプリ一覧の [エクスポート] アイコン | アプリの一覧、各アプリのユーザー数、アプリに関連付けられているアクセス許可、アクセス許可のレベル、アプリの状態、コミュニティの利用状況レベルを含む CSV ファイルをエクスポートします。 | Microsoft 365, Google Workspace, Salesforce |
| アプリ | アプリの名前。 名前を選択すると、説明、発行者 (Microsoft 365 の場合)、アプリ Web サイト、ID などの詳細情報が表示されます。 | Microsoft 365, Google Workspace, Salesforce |
| 承認者 | アプリのアカウントへのアクセスを承認し、アプリのアクセス許可を付与したユーザーの数です。 数字を選択すると、ユーザー電子メールの一覧、管理者がアプリに同意済みかどうかなどの詳細が表示されます。 | Microsoft 365, Google Workspace, Salesforce |
| アクセス許可レベル | アクセス許可レベルのアイコンとテキストで高、中、低のいずれかを示します。 アクセス許可レベルは、このアプリがアプリデータに対して持つアクセスのレベルを示します。 たとえば低の場合、そのアプリはユーザー プロファイルと名前にのみアクセスできます。 レベルを選択すると、アプリに付与されているアクセス許可、コミュニティの利用状況、ガバナンス ログの関連アクティビティなどの詳細が表示されます。 | Microsoft 365, Google Workspace |
| アプリの状態 | 管理者は、承認済みまた禁止としてマークするか、未確定のままにすることができます。 | Microsoft 365, Google Workspace, Salesforce |
| コミュニティの利用状況 | すべてのユーザー間でそのアプリがどれくらい使われいてるか (一般的、一般的でない、ほとんど使われていないのいずれか) を示します。 | Microsoft 365, Google Workspace, Salesforce |
| 最終承認日 | ユーザーがこのアプリにアクセス許可を付与した最新の日付。 | Microsoft 365, Salesforce |
| 発行元 | アプリを提供するベンダーの名前。 発行者検証 - 発行者検証は、管理者とエンド ユーザーが Microsoft ID プラットフォームと統合されているアプリケーション開発者の信頼性を理解するのに役立ちます。 詳細については、「発行者の検証」を参照してください。 |
Microsoft 365 |
| 最終使用日 | 組織内のいずれかのユーザーがこのアプリを使用した最新の日付。 | セールスフォース |
アプリを禁止または承認する
[アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、アプリを選択して [アプリ ドロワー] を開き、アプリと付与されたアクセス許可に関する詳細情報を表示します。
- [アクセス許可] を選択すると、アプリに付与されたアクセス許可の完全な一覧を表示できます。
- [コミュニティの利用状況] では、他の組織でそのアプリがどれだけ使われているかを表示できます。
- [アプリ アクティビティ] を選択して、このアプリに関連するアクティビティ ログに記載されているアクティビティを表示します。
アプリを禁止するには、表のアプリ行の末尾にある禁止アイコンを選択します。
- ユーザーがインストールして承認したアプリが禁止されていることを、ユーザーに通知する必要があるかどうかを選ぶことができます。 この通知によって、アプリが無効にされ、接続されているアプリへのアクセス権がなくなることをユーザーに知らせます。 通知しない場合は、ダイアログにある [この禁止されたアプリにアクセス許可を付与したユーザーに通知を送信します] をオフにします。
- アプリのユーザーに、アプリが使用禁止になると通知することをお勧めします。
[カスタム通知メッセージの入力] ボックスで、アプリのユーザーに送信するメッセージを入力します。 [アプリの禁止] を選択してメールを送信し、接続されているアプリ ユーザーに対してアプリを禁止します。
アプリを承認するには、表の行末にある承認アイコンを選択します。
- アイコンが緑色に変わり、接続されたすべてのアプリ ユーザーに対してこのアプリが承認されます。
- アプリを承認済みとしてマークしても、エンドユーザーへの影響はありません。 この色の変更は、承認済みのアプリを確認するのに役立ち、まだ確認していないものと区別することができます。
OAuth アプリのクエリ
[基本] ビューまたは [詳細] ビューのいずれかで、OAuth アプリのクエリを実行することができます。 1 つまたは複数のドロップダウン リストから値を選択して、[基本] ビューで特定のアプリを表示します。 詳細ビューでは、[フィルターの選択] ドロップダウン リストを使って検索を絞り込むことができます。 選択した値に対して演算子 ([が次の値と等しい] または [が次と等しくない]) を追加し、クエリを完成させます。
クエリの精度を上げるには、[フィルターを追加] アイコンをクリックしてフィルターをさらに追加します。 フィルターは自動的に適用され、アプリの一覧が更新されます。
フィルターを削除するには、フィルターの横にある [フィルターの削除] アイコンを選択します。
OAuth アプリの監査
Defender for Cloud Apps では、実行されたアクティビティの包括的な監視および調査を提供できるよう、すべての OAuth 承認アクティビティを監査しています。 特定の OAuth アプリを承認したユーザーの詳細をエクスポートして、ユーザーに関する追加情報を提供し、その後の分析に使用することもできます。
ログをエクスポートするには、次の手順に従います。
[アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブの関連アプリが表示される行で、[承認者] からアプリを承認したユーザの数を示すリンクを選択します。
ポップアップで [エクスポート] を選択します。
フィードバックを送信する
Defender for Cloud Apps チームにフィードバックを送信して、悪意があると思われる OAuth アプリが組織内で検出されたことを通知できます。 この機能を使用すると、セキュリティ コミュニティの一員となって、OAuth アプリのリスク スコアと分析を強化できます。
[アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、アプリの行の末尾にある 3 つの点を選択し、[Report app] (アプリの報告) を選択します。
[このアプリの報告] 画面で、アプリを悪意のあるものとして報告するか、Defender for Cloud Apps でアプリを認識する方法に関する別の問題を報告するかを選択できます。 たとえば、[不適切なパブリッシャー]、[不適切なアクセス許可]、または [その他] を使用できます。 送信するデータは、アプリのリスク スコアやアプリに関するその他の分析を更新するために使用されます。
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。