マイクロソフト以外の IdP を使用するカタログ アプリに対して条件付きアクセス アプリ制御を展開する

  • [アーティクル]

Microsoft Defender for Cloud Apps のアクセス制御とセッション制御は、クラウド アプリ カタログのアプリケーションおよびカスタム アプリケーションと連携して動作します。 Defender for Cloud Apps によって事前オンボードされている、すぐに使用できるアプリの一覧については、「Defender for Cloud Apps の条件付きアクセス アプリ制御を使用したアプリの保護」をご覧ください。

前提条件

  • 条件付きアクセス アプリ制御を使用するには、組織が次のライセンスを持っている必要があります。

    • ID プロバイダー (IdP) ソリューションに必要なライセンス
    • Microsoft Defender for Cloud Apps

  • シングル サインオンを使用してアプリが構成されている必要があります

  • アプリで、次のいずれかの認証プロトコルを使用する必要があります。

    IdP プロトコル
    Microsoft Entra ID SAML 2.0 または OpenID Connect
    その他 SAML 2.0

Defender for Cloud Apps と連動するように IdP を構成する

次の手順に従って、他の IdP ソリューションから Defender for Cloud Apps にアプリ セッションをルーティングします。 Microsoft Entra ID については、「Microsoft Entra ID との統合を構成する」を参照してください。

Note

IdP ソリューションを構成する方法の例については、次を参照してください。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [接続アプリ] で、[条件付きアクセス アプリ制御アプリ] を選択します。

  3. [+ 追加] を選択し、ポップアップでデプロイするアプリを選択してから、[ウィザード起動] を選択します。

  4. [アプリ情報] ページで、アプリのシングル サインオン構成ページの情報を使用してフォームに入力し、[次へ]を選択します。

    • 選択したアプリのシングル サインオン メタデータ ファイルが IdP で提供されている場合は、[アプリからメタデータ ファイルをアップロード] を選択し、メタデータ ファイルをアップロードします。

    • または、[データを手動で入力する] を選択し、次の情報を入力します。

      • Assertion Consumer Service URL
      • アプリで SAML 証明書が提供されている場合は、[<アプリ名> の SAML 証明書を使用する] を選択して、証明書ファイルをアップロードします。

    次に例を示します。

    [ID プロバイダーを使用して SAML アプリケーションを追加する] ダイアログの [アプリ情報] 領域を示すスクリーンショット。

  5. [ID プロバイダー] ページで、指定された手順を使用して IdP のポータルで新しいアプリケーションを設定し、[次へ] を選択します。

  6. IdP のポータルに移動し、新しいカスタム SAML アプリを作成します。

  7. 既存の <app_name> アプリのシングル サインオン構成を新しいカスタム アプリにコピーします。

  8. ユーザーを新しいカスタム アプリに割り当てます。

  9. アプリのシングル サインオン構成情報をコピーします。 これは次の手順で必要になります。 次に例を示します。

    [ID プロバイダーを使用して SAML アプリケーションを追加する] ダイアログの [ID プロバイダー/外部構成領域] を示すスクリーンショット。

    Note

    ID プロバイダーによっては、これらの手順は若干異なる場合があります。 この手順は、次の理由で推奨されます。

    • 一部の ID プロバイダーは、ギャラリー アプリの SAML 属性または URL プロパティの変更を許可していません。

    • カスタム アプリを構成すると、組織の既存の動作を変更することなく、アクセス制御とセッション制御でこのアプリケーションをテストすることができます。

  10. 次のページで、アプリのシングル サインオン構成ページの情報を使用してフォームに入力し、[次へ] を選択します。

    • 選択したアプリのシングル サインオン メタデータ ファイルが IdP で提供されている場合は、[アプリからメタデータ ファイルをアップロード] を選択し、メタデータ ファイルをアップロードします。

    • または、[データを手動で入力する] を選択し、次の情報を入力します。

      • Assertion Consumer Service URL
      • アプリで SAML 証明書が提供されている場合は、[<アプリ名> の SAML 証明書を使用する] を選択して、証明書ファイルをアップロードします。

    次に例を示します。

    [ID プロバイダーを使用して SAML アプリケーションを追加する] ダイアログの [ID プロバイダー/ データの手動入力] 領域を示すスクリーンショット。

  11. 次のページで、以下の情報をコピーして、[次へ] を選択します。 この情報は、次のステップで必要です。

    • シングル サインオンに関する URL
    • 属性と値

    次に例を示します。

    [ID プロバイダーを使用して SAML アプリケーションを追加する] ダイアログの ID プロバイダー領域を示すスクリーンショット。サンプルの詳細が入力されているもの。

  12. IdP のポータルで、IdP ポータルのカスタム アプリ設定ページでよく見られる次の設定を構成します。

    1. [シングル サインオン URL] フィールドに、前にメモしたシングル サインオン URL を入力します。

    2. 前にメモした属性と値をアプリのプロパティに追加します。 プロバイダーによっては、これをユーザー属性または要求と呼んでいる場合もあります。

      新しい SAML アプリを作成する場合、ID プロバイダーの Okta によって属性が 1,024 文字に制限されます。 この制限を緩和するには、まず、関連する属性を使用せずにアプリを作成します。 アプリを作成したら、それを編集し、関連する属性を追加します。

    3. 名前識別子が電子メール アドレス形式であることを確認します。

    4. 設定を保存します。

  13. [アプリの変更] ページで、次の手順を実行し、[次へ] を選択します。 この情報は、次のステップで必要です。

    • シングル サインオン URL をコピーする
    • Defender for Cloud Apps の SAML 証明書をダウンロードする

    次に例を示します。

    [ID プロバイダーを使用して SAML アプリケーションを追加する] ダイアログの [アプリの変更] 領域を示すスクリーンショット。

  14. アプリのポータルのシングル サインオン設定で、次の手順を実行します。

    1. (推奨) 現在の設定のバックアップを作成します。

    2. [ID プロバイダーのログイン URL] フィールドの値を、先ほどメモした Defender for Cloud Apps SAML シングル サインオンの URL に置き換えます。

    3. 先ほどダウンロードした Defender for Cloud Apps の SAML 証明書をアップロードします。

    4. [保存] を選択します。

設定を保存すると、このアプリに関連付けられているすべてのサインイン要求が、条件付きアクセス アプリ制御を介してルーティングされます。

Defender for Cloud Apps の SAML 証明書は 1 年間有効です。 有効期限が切れた後、新しい証明書を生成する必要があります。

ポリシーにスコープされたユーザーを使用して各アプリにサインインします

Note

手順を進める前に、まず、既存のセッションからサインアウトしてください。

ポリシーを作成したら、そのポリシーで構成されている各アプリにサインインします。 必ずポリシーで構成されているユーザーでサインインしてください。

Defender for Cloud Apps によって、サインインする新しいアプリごとに、ポリシーの詳細がそのサーバーに同期されます。 これには最大 で1 分かかることがあります。

アプリがアクセスとセッション制御を使用するように構成されていることを確認する

上記の手順を使用すると、カタログ アプリ用の組み込みの Defender for Cloud Apps ポリシーを、Microsoft Entra ID で直接作成できます。 この手順では、これらのアプリに対してアクセス制御とセッション制御が構成されていることを確認します。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [接続アプリ] で、[条件付きアクセス アプリ制御アプリ] を選択します。

  3. アプリの表で、[使用可能なコントロール] 列を参照し、[アクセス制御] (Azure AD 条件付きアクセス) と [セッション制御] の両方がアプリに表示されていることを確認します。

    アプリがセッション制御に対して有効になっていない場合は、[セッション制御を指定してオンボードする] を選択し、[セッション制御を指定してこのアプリを使用する] をチェックして追加します。 次に例を示します。

    [セッション制御を使用してオンボードする] リンクのスクリーンショット。

組織で使用するアプリを有効にする

組織の運用環境でアプリを使用できるようにする準備ができたら、次の手順を実行します。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [接続アプリ] で、[条件付きアクセス アプリ制御アプリ] を選択します。 アプリの一覧で、展開しているアプリが表示されている行の末尾にある 3 つの点を選択し、[アプリの編集] を選択します。

  3. [アプリがセッション制御で動作できるようにする] を選択し、[保存] を選択します。 次に例を示します。

    [このアプリを編集しますか?] ダイアログのスクリーンショット。

デプロイをテストする

  1. まず、既存のセッションからサインアウトします。 次に、正常にデプロイされた各アプリにサインインします。 Microsoft Entra ID で構成されたポリシーに一致するユーザー、または ID プロバイダーで構成された SAML アプリのユーザーを使用してサインインします。

  2. Microsoft Defender ポータルの [クラウド アプリ] で、[アクティビティ ログ] を選択し、アプリごとにログイン アクティビティがキャプチャされていることを確認します。

  3. フィルター処理は、[詳細] を選択し、[ソースと同じアクセス制御] を使用してフィルター処理することで実行できます。 次に例を示します。

    Microsoft Entra 条件付きアクセスを使用したフィルター処理のスクリーンショット。

  4. マネージド デバイスとアンマネージド デバイスからモバイルおよびデスクトップのアプリにサインインすることをお勧めします。 これは、アクティビティ ログで、アクティビティを正常にキャプチャするためです。

アクティビティが正常にキャプチャされたことを確認するには、[シングル サインオン ログイン] のアクティビティを選択してアクティビティ ドロワーを開きます。 [ユーザー エージェント タグ] に、デバイスがネイティブ クライアント (モバイルまたはデスクトップ アプリのいずれかであることを意味する) であるか、またはデバイスがマネージド デバイス (準拠、ドメイン参加済み、または有効なクライアント証明書) であるかが適切に反映されていることを確認します。

Note

デプロイ後は、[アプリの条件付きアクセス制御] ページからアプリを削除することはできません。 アプリにセッションやアクセス ポリシーを設定しないかぎり、条件付きアクセス アプリ制御でアプリの動作が変更されることは一切ありません。

次のステップ

« 前へ: 条件付きアクセス アプリ制御の概要

次へ: すべてのアプリでの条件付きアクセス アプリ制御の展開 »

アクセス制御とセッション制御に関するトラブルシューティング

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。