セッション ポリシー

注意

Microsoft Defender for Cloud Appsは現在、Microsoft 365 Defenderの一部であり、 のポータルからhttps://security.microsoft.comアクセスできます。 Microsoft 365 Defenderは、エンドポイント、ID、電子メール、SaaS アプリ間でMicrosoft Defender スイートからのシグナルを関連付けて、インシデント レベルの検出、調査、強力な応答機能を提供します。 これにより、優先順位の向上と応答時間の短縮によって運用効率が向上し、organizationをより効果的に保護できます。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

Microsoft Defender for Cloud Apps のセッション ポリシーを使用すると、セッション レベルのリアルタイム監視が可能になり、クラウド アプリの詳細な可視性が提供され、ユーザー セッションに対して設定したポリシーに応じて異なるアクションを実行できるようになります。 セッション制御では、アクセスを完全に許可またはブロックするのではなく、アプリの条件付きアクセス制御のリバース プロキシ機能を使用して、セッションを監視しながらアクセスを許可したり、特定のセッション アクティビティを制限したりできます。

たとえば、アンマネージド デバイスからの場合や、特定の場所からのセッションに対しては、ユーザーにアプリへのアクセスを許可しながら、機密性の高いファイルのダウンロードを制限したり、ダウンロード時に特定のドキュメントの保護を要求したりすることができます。 セッション ポリシーを使用すると、これらのユーザー セッション制御を設定してアクセスを許可することができ、次のことが可能になります。

• すべてのアクティビティを監視する
• すべてのダウンロードをブロックする
• 特定のアクティビティをブロックする
• ステップアップ認証 (認証コンテキスト) を要求する
• ダウンロード時にファイルを保護する
• 機密ファイルのアップロードを保護する
• アップロード時にマルウェアをブロックする
• 機密ファイルを保護するようにユーザーを教育する

注意

適用できるポリシーの数に制限はありません。

セッション ポリシーを使用するための前提条件

• Defender for Cloud Apps ライセンス (スタンドアロンまたは別のライセンスの一部)
• Azure AD Premium P1のライセンス (スタンドアロン ライセンスまたは E5 ライセンス)、または ID プロバイダー (IdP) ソリューションに必要なライセンス
• 関連するアプリを、アプリの条件付きアクセス制御と共にデプロイする必要があります
• 次のように、Defender for Cloud Apps と連動するように IdP ソリューションを構成していることを確認します。
  • Azure AD 条件付きアクセスについては、Azure AD との統合を構成する方法に関するページを参照してください
  • その他の IdP ソリューションについては、その他の IdP ソリューションとの統合を構成する方法に関するページを参照してください。

Defender for Cloud Apps セッション ポリシーを作成する

新しいセッション ポリシーを作成するには、次の手順のようにします。

1. Microsoft 365 Defender ポータルの [Cloud Apps] で、[ポリシー] ->[ポリシー管理] の順に移動します。 次に、[ 条件付きアクセス ] タブを選択します。

2. [ポリシーの作成] を選択し、 [セッション ポリシー] を選択します。

   

3. [セッション ポリシー] ウィンドウで、ポリシーの名前を割り当てます (例: "マーケティング ユーザー向け Box 内の機密ドキュメントのダウンロードをブロックする")。

4. [セッション制御の種類] フィールドで、次のようにします。

   1. ユーザーによるアクティビティの監視のみを行う場合は、 [監視のみ] を選択します。 これを選択すると、選択したアプリに対する "監視のみ" ポリシーが作成され、すべてのサインイン、ヒューリスティック ダウンロード、およびアクティビティの種類がダウンロードされます。

   2. ユーザー アクティビティを監視する場合は、 [ファイル ダウンロードの制御 (検査を含む)] を選択します。 ユーザーのダウンロードのブロックや保護などの追加アクションを実行できます。

   3. 特定のアクティビティをブロックするには [アクティビティのブロック] を選択します。 [アクティビティの種類] フィルターを使用して選択できます。 選択したアプリからのすべてのアクティビティが監視されます (アクティビティ ログで報告されます)。 [ブロックする] アクションを選択すると、選択した特定のアクティビティがブロックされます。 [テスト] アクションを選択してアラートを有効にすると、選択した特定のアクティビティに対してアラートが生成されます。

5. [次のすべてに一致するアクティビティ] セクションの [アクティビティ ソース] で、ポリシーに適用する追加のアクティビティ フィルターを選択します。 これらのフィルターには次のオプションを含めることができます。

   • [デバイス タグ] : アンマネージド デバイスを識別するには、このフィルターを使用します。

   • 場所: 不明な (したがって危険な) 場所を識別するには、このフィルターを使用します。

   • [IP アドレス] :IP アドレスでフィルター処理するか、以前に割り当てた IP アドレス タグを使うには、このフィルターを使用します。

   • [ユーザー エージェント タグ] : モバイル アプリまたはデスクトップ アプリを識別するためにヒューリスティックを有効にするには、このフィルターを使用します。 このフィルターは、 [ネイティブ クライアント] と等しい、または等しくないように設定できます。 このフィルターは、各クラウド アプリのモバイル アプリとデスクトップ アプリに対してテストする必要があります。

   • [アクティビティの種類]: 次のような特定のアクティビティを制御対象として選ぶには、このフィルターを使います。

     • 印刷
     • クリップボードの操作: コピー、切り取り、貼り付け
     • Teams、Slack、Salesforce などのアプリでアイテムを送信する
     • さまざまなアプリでアイテムを共有および共有解除する
     • さまざまなアプリでアイテムを編集する

   注意

   セッション ポリシーでは、モバイル アプリとデスクトップ アプリはサポートされていません。 モバイル アプリとデスクトップ アプリは、アクセス ポリシーを作成することによってブロックまたは許可することもできます。

6. [ファイル ダウンロードの制御 (検査を含む)] オプションを選択した場合:

   1. [次のすべてに一致するファイル] セクションの [アクティビティ ソース] で、ポリシーに適用する追加のファイル フィルターを選択します。 これらのフィルターには次のオプションを含めることができます。

      • [秘密度ラベル] - 組織で Microsoft Purview Information Protection が使用されていて、データが秘密度ラベルによって保護されている場合は、このフィルターを使用します。 適用した秘密度ラベルに基づいてファイルをフィルター処理できます。 Microsoft Purview Information Protection との統合の詳細については、「Microsoft Purview Information Protection の統合」を参照してください。

      • [ファイル名] - 特定のファイルにポリシーを適用するには、このフィルターを使用します。

      • [ファイルの種類] - 特定のファイルの種類にポリシーを適用するには (すべての .xls ファイルのダウンロードをブロックする場合など)、このフィルターを使用します。

   2. [コンテンツ検査] セクションで、DLP エンジンによるドキュメントとファイルの内容のスキャンを有効にするかどうかを設定します。

   3. [Actions](アクション) で、次の項目のいずれかを選択します。

      • [テスト (すべてのアクティビティを監視する)] : 設定したポリシー フィルターに従って明示的にダウンロードを許可するには、このアクションを設定します。

      • [ブロック (ファイルのダウンロードをブロックし、すべてのアクティビティを監視します)] : 設定したポリシー フィルターに従って明示的にダウンロードをブロックするには、このアクションを設定します。 詳細については、ダウンロードのブロックの動作に関するセクションを参照してください。

      • [Protect (Apply sensitivity label to download and monitor all activities)](保護 (ダウンロードしたファイルに秘密度ラベルを適用し、すべてのアクティビティを監視します)): このオプションは、[セッション ポリシー] で [ファイル ダウンロードの制御 (検査を含む)] を選択した場合にのみ使用できます。 Microsoft Purview Information Protection を使用している組織では、[Action](アクション) を設定して、Microsoft Purview Information Protection で設定されている秘密度ラベルをファイルに適用できます。 詳細については、ダウンロードの保護の動作に関するセクションを参照してください。

7. [一致するイベントごとにポリシー重要度に応じたアラートを作成する] を有効にして、アラート制限を設定できます。 アラートを電子メールとして使用するかどうかを選択します。

すべてのアクティビティを監視する

セッション ポリシーを作成すると、ポリシーに一致する各ユーザー セッションは、直接アプリにではなく、セッション制御にリダイレクトされます。 ユーザーには、セッションが監視されていることを知らせる監視通知が表示されます。

監視されていることをユーザーに通知したくない場合は、通知メッセージを無効にすることができます。

1. Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

2. 次に、 [アプリの条件付きアクセス制御] で、 [ユーザーの監視] をオンにし、 [ユーザーへの通知] チェック ボックスをオフにします。

ユーザーをセッション内に留めておくため、アプリの条件付きアクセス制御によって、アプリ セッション内のすべての関連 URL、Java スクリプト、Cookie が、Microsoft Defender for Cloud Apps の URL に置き換えられます。 たとえば、ドメインが myapp.com で終わるリンクが含まれるページがアプリから返された場合、アプリの条件付きアクセス制御により、リンクは myapp.com.mcas.ms のようなもので終わるドメインに置き換えられます。 このようにして、セッション全体が Microsoft Defender for Cloud Apps によって監視されます。

アプリの条件付きアクセス制御では、それを通してルーティングされるすべてのユーザー セッションのトラフィック ログが記録されます。 トラフィック ログには、日時、IP アドレス、ユーザー エージェント、アクセスされた URL、アップロードおよびダウンロードされたバイト数が含まれます。 これらのログが分析され、継続的なレポート (Defender for Cloud Apps のアプリの条件付きアクセス制御) が、Cloud Discovery ダッシュボードの Cloud Discovery レポートの一覧に追加されます。

これらのログをエクスポートするには:

1. Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ 接続されているアプリ] で、[ アプリの条件付きアクセス制御] を選択します。

2. 表の上にある [エクスポート] ボタンを選択します。

   

3. レポートの範囲を選択し、 [エクスポート] を選択します。 このプロセスには、時間がかかることがあります。

エクスポートされたログをダウンロードするには:

1. レポートの準備ができたら、Microsoft 365 Defender ポータルで *Reports ->Cloud Apps に移動し、[エクスポートされたレポート] に移動します。

2. テーブルでアプリの条件付きアクセス制御トラフィック ログの一覧から関連するレポートを選んで、[ダウンロード] を選びます。

   

すべてのダウンロードをブロックする

Defender for Cloud Apps セッション ポリシーで実行する [Action](アクション) として [ブロック] が設定されている場合、アプリの条件付きアクセス制御では、ポリシーのファイル フィルターに従ってユーザーによるファイルのダウンロードが禁止されます。 ユーザーがダウンロードを開始すると、Microsoft Defender for Cloud Apps により、アプリごとにダウンロード イベントが認識されます。 アプリの条件付きアクセス制御のリアルタイムの介入によって、実行は阻止されます。 ユーザーがダウンロードを開始したことを示す信号を受信したアプリの条件付きアクセス制御によって、ダウンロードは制限されているというメッセージがユーザーに返され、ダウンロード対象のファイルはテキスト ファイルに置き換えられます。 ユーザーに対するテキスト ファイルのメッセージは、セッション ポリシーから構成およびカスタマイズできます。

ステップアップ認証 (認証コンテキスト) を要求する

[セッション制御の種類] が [アクティビティのブロック]、[Control file download (with inspection)](ファイル ダウンロードの制御 (検査を含む))、[Control file upload (with inspection)](ファイル アップロードの制御 (検査を含む)) に設定されている場合、 [ステップアップ認証が必要] の [アクション] を選択できます。 このアクションが選択されると、選択されたアクティビティが発生するたびに、Defender for Cloud Apps により、ポリシーの再評価のためにセッションが Azure AD Conditional Access にリダイレクトされます。 Azure AD で構成された認証コンテキストに基づいて、多要素認証やデバイス コンプライアンスなどの要求をセッション中に確認できます。

特定のアクティビティをブロックする

[アクティビティの種類] として [アクティビティのブロック] が設定されていると、特定のアプリでブロックする特定のアクティビティを選択できます。 選択したアプリからのすべてのアクティビティが監視され、アクティビティ ログで報告されます。 [ブロックする] アクションを選択すると、選択した特定のアクティビティがブロックされます。 [テスト] アクションを選択してアラートを有効にすると、選択した特定のアクティビティに対してアラートが生成されます。

ブロックされるアクティビティの例を次に示します。

• Teams メッセージの送信: Microsoft Teams から送信されるメッセージをブロックしたり、特定の内容を含むメッセージ Teams ブロックしたりするために使います
• 印刷: 印刷アクションをブロックするために使います
• コピー: クリップボードへのコピー アクションをブロックしたり、特定の内容のコピーのみをブロックしたりするために使います

組織に対する包括的な読み取り専用モードを作成するには、特定のアクティビティをブロックし、それを特定のグループに適用します。

ダウンロード時にファイルを保護する

特定のアクティビティをブロックするには [アクティビティのブロック] を選択します。 [アクティビティの種類] フィルターを使用して検索できます。 選択したアプリからのすべてのアクティビティが監視されます (アクティビティ ログで報告されます)。 [ブロックする] アクションを選択すると、選択した特定のアクティビティがブロックされます。 [テスト] アクションを選択してアラートを有効にすると、選択した特定のアクティビティに対してアラートが生成されます。

Defender for Cloud Apps セッション ポリシーで実行する [Action](アクション) として [保護] が設定されている場合、アプリの条件付きアクセス制御により、ポリシーのファイル フィルターに従って、ファイルのラベル付けとその後の保護が適用されます。 ラベルは Microsoft Purview コンプライアンス ポータルで構成され、ラベルは、Defender for Cloud Apps ポリシーでオプションとして表示されるように、そのラベルが暗号化を適用するように構成されている必要があります。 ラベルが選択されていて、Defender for Cloud Apps ポリシーの条件を満たすファイルがダウンロードされると、ラベルとそれに対応する (アクセス許可による) 保護が、ダウンロード時にファイルに適用されます。 ダウンロード対象のファイルが保護されている間、元のファイルはクラウド アプリにそのまま残ります。 ファイルにアクセスしようとするユーザーは、適用される保護によって決定されるアクセス許可要件を満たしている必要があります。

現在、Defender for Cloud Apps では、次のファイルの種類に対する Microsoft Purview Information Protection の秘密度ラベルの適用がサポートされています。

• Word: docm、docx、dotm、dotx
• Excel: xlam、xlsm、xlsx、xltx
• PowerPoint: potm、potx、ppsx、ppsm、pptm、pptx
• PDF

  注意

  PDF の場合は、統合ラベルを使用する必要があります。

機密ファイルのアップロードを保護する

Defender for Cloud Apps セッション ポリシーで [セッション制御の種類] として [ファイル アップロードの制御 (検査を含む)] が設定されている場合、アプリの条件付きアクセス制御では、ポリシーのファイル フィルターに従ってユーザーによるファイルのアップロードが禁止されます。 アプリの条件付きアクセス制御によってアップロード イベントが認識されると、リアルタイムで介入が行われ、ファイルが機密情報であり、保護が必要かどうかが判断されます。 ファイルに機密データが含まれていて、適切なラベルが付いていない場合、ファイルのアップロードはブロックされます。

たとえば、ファイルの内容をスキャンし、社会保障番号などと一致する機密性の高い内容が含まれているかどうかを確認するポリシーを作成できます。 機密性の高い内容が含まれていて、Microsoft Purview Information Protection の機密ラベルが付いていない場合、ファイルのアップロードはブロックされます。 ファイルがブロックされたら、ファイルをアップロードするためにラベルを付ける方法を指示するカスタム メッセージをユーザーに表示することができます。 これにより、クラウド アプリに格納されているファイルをポリシーに準拠させることができます。

アップロード時にマルウェアをブロックする

Defender for Cloud Apps セッション ポリシーで [セッション制御の種類] として [ファイル アップロードの制御 (検査を含む)] が設定され、[検査方法] として [マルウェアの検出] が設定されている場合、アプリの条件付きアクセス制御では、マルウェアが検出された場合、ユーザーによるファイルのアップロードがリアルタイムで禁止されます。 ファイルは、Microsoft 脅威インテリジェンス エンジンを使用してスキャンされます。

アクティビティ ログで [検出されたマルウェアの可能性] フィルターを使用することにより、マルウェアの可能性ありとしてフラグが設定されたファイルを表示できます。

また、ダウンロード時にマルウェアをブロックするようにセッション ポリシーを構成することもできます。

機密ファイルを保護するようにユーザーを教育する

ユーザーがポリシーに違反したら教育を行って、組織のポリシーに準拠する方法を学ばせることが重要です。 すべての企業には独自のニーズとポリシーがあるため、Defender for Cloud Apps では、ポリシーのフィルターと、違反が検出されたときにユーザーに表示されるメッセージをカスタマイズできます。 ファイルが正常にアップロードされるように、ファイルに適切にラベルを付ける方法や、アンマネージド デバイスを登録する方法など、ユーザーに具体的なガイダンスを提供することができます。

たとえば、ユーザーが秘密度ラベルなしでファイルをアップロードした場合、機密性の高い内容が含まれているファイルには適切なラベルを付ける必要があることを説明するメッセージを表示できます。 同様に、ユーザーがアンマネージド デバイスからドキュメントをアップロードしようとした場合、そのデバイスを登録する方法の指示が記載されたメッセージ、またはデバイスを登録する必要がある理由についての詳細情報を示すメッセージを、表示することができます。

ポリシー間の競合

2 つのポリシー間に競合がある場合は、より制限の厳しいポリシーが優先されます。 たとえば次のような点です。

• ユーザー セッションのスコープが [ダウンロードのブロック] ポリシーと [ ダウンロード時のラベル] ポリシーである場合、ファイルのダウンロード アクションはブロックされます。
• ユーザー セッションのスコープが [ダウンロードのブロック] ポリシーと [監査ダウンロード ポリシー] に設定されている場合、ファイルのダウンロード アクションはブロックされます。

関連ビデオ

アプリの条件付きアクセス制御に関するウェビナー

次のステップ

« 前へ: 任意のアプリに対するアプリの条件付きアクセス制御のオンボードとデプロイ »

次へ:アクセス ポリシーを作成する方法 »

アクセスおよびセッション制御のトラブルシューティング

関連項目

Azure AD のアプリの条件付きアクセス制御を使用して、アンマネージド デバイスでのダウンロードをブロックする

問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。