Azure AD を使用するカタログ アプリに対してアプリの条件付きアクセス制御を展開する
注意
Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。 今後数週間以内に、こちらと関連ページのスクリーンショットと手順を更新します。 変更の詳細については、こちらの発表を参照してください。 最近の Microsoft セキュリティ サービスの名称変更に関する詳細については、Microsoft Ignite のセキュリティに関するブログを参照してください。
Microsoft Defender for Cloud Apps は Microsoft 365 Defender に統合されました。 セキュリティ管理者は、そのセキュリティ タスクを Microsoft 365 Defender ポータルで一元的に行うことができます。 これによってワークフローが単純化され、他の Microsoft 365 Defender サービスの機能も追加されます。 Microsoft 365 Defender は、Microsoft の ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視、管理するための拠点となります。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。
Microsoft Defender for Cloud Apps のアクセス制御とセッション制御は、クラウド アプリ カタログのアプリケーションおよびカスタム アプリケーションと連携して動作します。 事前オンボードされていてすぐに使用できるアプリの一覧については、Defender for Cloud Apps のアプリの条件付きアクセス制御を使用したアプリの保護に関する記事をご覧ください。
[前提条件]
アプリの条件付きアクセス制御を使用するには、お客様の組織が次のライセンスを持っている必要があります。
- Azure Active Directory (Azure AD) Premium P1 以上
- Microsoft Defender for Cloud Apps
アプリはシングル サインオンを使用して構成する必要があります
アプリで、次のいずれかの認証プロトコルを使用する必要があります。
IdP プロトコル Azure AD SAML 2.0 または OpenID Connect その他 SAML 2.0
カタログ アプリをデプロイするには
以下の手順に従って、Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御で制御されるように、カタログ アプリを構成します。
Azure AD との統合を構成する
注意
Azure AD の SSO または他の ID プロバイダーを使用してアプリケーションを構成する場合、オプションとして表示される可能性のあるフィールドの 1 つにサインオン URL の構成があります。 このフィールドは、アプリの条件付きアクセス制御が機能するために必要な場合があることにご注意ください。
次の手順に従って、アプリ セッションを Defender for Cloud Apps にルーティングする Azure AD 条件付きアクセス ポリシーを作成します。 その他の IdP ソリューションについては、「その他の IdP ソリューションとの統合を構成する」をご覧ください。
Azure AD で、[セキュリティ][条件付きアクセス] の順に移動します。
[条件付きアクセス] ペインの上部にあるツール バーで、[新しいポリシー]-[新しいポリシーの作成] を選択します。
[新規] ペインの [名前] テキストボックスに、ポリシー名を入力します。
[割り当て] の下で、[ユーザーまたはワークロード ID] を選択し、アプリのオンボード (最初のサインオンと確認) を行うユーザーおよびグループを割り当てます。
[割り当て] の下で、[クラウド アプリまたは操作] を選択し、アプリの条件付きアクセス制御を使用して制御するアプリおよびアクションを割り当てます。
[アクセス制御] の下で [セッション] を選択し、[アプリの条件付きアクセス制御を使う] を選択して、組み込みのポリシー ([監視のみ] (プレビュー) または [ダウンロードを禁止する] (プレビュー)) または [カスタム ポリシーを使用する] を選択し、Defender for Cloud Apps の高度なポリシーを設定します。その後、[選択] を選択します。
必要に応じて、条件の追加と制御の許可を行います。
[ポリシーを有効にする] を [オン] に設定して、 [作成] を選択します。
注意
続行する前に、まず既存のセッションからサインアウトしてください。
ポリシーを作成したら、そのポリシーで構成されている各アプリにサインインします。 必ずポリシーで構成されているユーザーを使用してサインインします。
Defender for Cloud Apps によって、サインインする新しいアプリごとに、ポリシーの詳細がそのサーバーに同期されます。 これには最大 1 分かかることがあります。
上記の手順を使用すると、カタログ アプリ用の組み込みの Defender for Cloud Apps ポリシーを、Azure AD で直接作成できます。 この手順では、これらのアプリに対してアクセス制御とセッション制御が構成されていることを確認します。
Defender for Cloud Apps ポータルで、設定の歯車
を選択し、[アプリの条件付きアクセス制御] を選択します。[アプリの条件付きアクセス制御アプリ] の表で、 [利用可能な制御] 列を確認し、アプリに対して [アクセス制御] または [Azure AD 条件付きアクセス] と [セッション制御] の両方が表示されていることを確認します。
注意
アプリがセッション制御に対して有効になっていない場合は、[Onboard with session control](セッション制御を指定してオンボードする) を選択し、[Use this app with session controls](セッション制御を指定してこのアプリを使用する) をオンにして、それを追加できます。
組織の運用環境でアプリを使用できるようにする準備が整ったら、次の手順を行います。
Defender for Cloud Apps ポータルで、設定の歯車
を選択し、[アプリの条件付きアクセス制御] を選択します。アプリの一覧で、展開するアプリが表示されている行の末尾の 3 つのドットを選択し、 [アプリの編集] を選択します。
[Use the app with session controls](セッション制御を指定してアプリを使用する) を選択し、[保存] を選択します。
まず、既存のセッションからサインアウトします。 次に、正常にデプロイされた各アプリにサインインしてみます。 Azure AD で構成されたポリシーに一致するユーザー、または SAML アプリの場合は ID プロバイダーで構成されたユーザーを使用してサインインします。
Defender for Cloud Apps ポータルの [調査] で、[アクティビティ ログ] を選択し、各アプリのログイン アクティビティがキャプチャされていることを確認します。
フィルター処理を行うには、 [詳細設定] をクリックし、 [Source equals Access control](ソースがアクセス制御と等しい) を使用してフィルター処理を行います。
マネージド デバイスとアンマネージド デバイスからモバイル アプリおよびデスクトップ アプリにサインインすることをお勧めします。 これは、アクティビティが適切にアクティビティ ログにキャプチャされるようにするためです。
アクティビティが適切にキャプチャされていることを確認するには、シングル サインオンのログイン アクティビティを選択し、アクティビティ ドロワーを開きます。 デバイスがネイティブ クライアント (モバイル アプリまたはデスクトップ アプリ) であるか、またはデバイスがマネージド デバイス (準拠、ドメイン参加、または有効なクライアント証明書) であるかが、 [ユーザー エージェント タグ] に適切に反映されていることを確認します。
注意
デプロイした後は、[アプリの条件付きアクセス制御] ページからアプリを削除することはできません。 アプリに対してセッションまたはアクセス ポリシーを設定しない限り、アプリの条件付きアクセス制御によってアプリの動作が変更されることはありません。
次のステップ
問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。