Microsoft Defender for EndpointとのMicrosoft Defender for Cloud Apps統合により、シームレスなシャドウ IT 可視性と制御ソリューションが提供されます。 この統合により、Defender for Cloud Apps管理者は、Defender for Cloud Apps アプリ ガバナンスコントロールをMicrosoft Defender for Endpointのネットワーク保護とネイティブに統合することで、クラウド アプリへのエンド ユーザーのアクセスをブロックできます。 または、管理者は、リスクの高いクラウド アプリにアクセスするときに、ユーザーに警告を表示する優しいアプローチを取ることができます。
Defender for Cloud Appsは、組み込みの承認されていないアプリ タグを使用して、クラウド アプリを使用禁止としてマークし、Cloud Discovery ページと Cloud App Catalog ページの両方で使用できます。 Defender for Endpoint との統合を有効にすると、Defender for Cloud Apps ポータルで 1 回のクリックで承認されていないアプリへのアクセスをシームレスにブロックできます。
Defender for Cloud Appsで承認されていないとマークされたアプリは、Defender for Endpoint に自動的に同期されます。 具体的には、これらの承認されていないアプリで使用されるドメインはエンドポイント デバイスに伝達され、ネットワーク保護 SLA 内の Microsoft Defender ウイルス対策によってブロックされます。
注意
Defender for Endpoint を使用してアプリをブロックする時間の待機時間は、アプリを Defender for Cloud Apps で承認されていないとマークした時点から、デバイスでアプリがブロックされた時点まで最大 3 時間です。 これは、承認/承認されていないアプリDefender for Cloud Apps Defender for Endpoint への同期の最大 1 時間、Defender for Endpoint でインジケーターが作成された後にアプリをブロックするために、デバイスにポリシーをプッシュするのに最大 2 時間が原因です。
前提条件
次のいずれかのライセンス:
Defender for Cloud Apps (E5、AAD-P1m CAS-D) と Microsoft Defender for Endpoint プラン 2(エンドポイントが Defender for Endpoint にオンボードされている)
含める: 含まれているエンティティのセットのみが、アクセスの適用の影響を受ける。 たとえば、 プロファイル myContoso にはデバイス グループ A と B に 対してインクルード があります。 myContoso プロファイルでアプリ Y をブロックすると、グループ A と B のアプリ アクセスのみがブロックされます。
除外: 除外された一連のエンティティは、アクセスの適用の影響を受けることはありません。 たとえば、プロファイル myContoso にはデバイス グループ A と B に対して除外があります。myContoso プロファイルでアプリ Y をブロックすると、グループ A と B を除き、organization全体のアプリ アクセスがブロックされます。
プロファイルに関連するデバイス グループを選択します。 一覧表示されたデバイス グループは、Microsoft Defender for Endpointからプルされます。 詳細については、「 デバイス グループの作成」を参照してください。
[保存] を選択します。
アプリをブロックするには、次の手順を実行します。
Microsoft Defender ポータルの [Cloud Apps] で、[Cloud Discovery] に移動し、[検出されたアプリ] タブに移動します。
[ 承認されていないタグ] ダイアログは、テナントが Defender for Endpoint を有効にしてクラウド アプリをブロックしている場合、および管理者が変更を行うアクセス権を持っている場合にのみ表示されます。
注意
適用機能は、Defender for Endpoint のカスタム URL インジケーターに基づいています。
この機能のリリース前にDefender for Cloud Appsによって作成されたインジケーターに対して手動で設定された組織のスコープは、Defender for Cloud Appsによってオーバーライドされます。 スコープ付きプロファイル エクスペリエンスを使用して、Defender for Cloud Apps エクスペリエンスから必要なスコープを設定する必要があります。
This module examines how to implement Microsoft Defender for Cloud Apps, which identifies and combats cyberthreats across all your Microsoft and third-party cloud services. MS-102