チュートリアル: アプリの条件付きアクセス制御を使用して機密情報のダウンロードをブロックする
Note
Microsoft Defender for Cloud Apps (以前は Microsoft Cloud App Security) がMicrosoft 365 Defenderの一部になりました。 セキュリティ管理者は、そのセキュリティ タスクを Microsoft 365 Defender ポータルで一元的に行うことができます。 これによってワークフローが単純化され、他の Microsoft 365 Defender サービスの機能も追加されます。 Microsoft 365 Defender は、Microsoft の ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視、管理するための拠点となります。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。
今日の IT 管理者は、ジレンマを感じています。 従業員の生産性を高めたい。 これは、任意のデバイスからいつでも作業できるように、従業員にアプリへのアクセスを許可することを意味します。 それでいて、会社独自の機密情報を含めた資産を保護したいと考えています。 データを保護しながら、従業員がクラウド アプリにアクセスできるようにするにはどうすればよいでしょうか。 このチュートリアルでは、アンマネージド デバイスまたは社外のネットワークの場所からエンタープライズ クラウド アプリの機密データにアクセスできるユーザーによるダウンロードをブロックできるようになります。
このチュートリアルで学習する内容は次のとおりです。
脅威
組織内のアカウント マネージャーが、個人のノート PC で、週末に自宅から Salesforce の情報を確認したいと考えています。 Salesforce のデータには、クライアントのクレジット カード情報や個人情報が含まれる可能性があります。 自宅の PC は管理されていません。 Salesforce からドキュメントを PC にダウンロードすると、マルウェアに感染する可能性があります。 デバイスを紛失したり、盗難にあった場合、それがパスワードで保護されておらず、誰でも機密情報にアクセスできる可能性があります。
解決策
任意の IdP ソリューションと Defender for Cloud Apps のアプリの条件付きアクセス制御を使用し、クラウド アプリの使用を監視して制御することで、組織を保護します。
[前提条件]
Azure AD Premium P1 の有効なライセンスまたは ID プロバイダー (IdP) ソリューションから要求されるライセンス
次のいずれかの認証プロトコルを使用し、SSO のクラウド アプリを構成します。
IdP プロトコル Azure AD SAML 2.0 または OpenID Connect その他 SAML 2.0
アンマネージド デバイスのブロック ダウンロード ポリシーを作成する
Defender for Cloud Apps セッション ポリシーを使用すると、デバイスの状態に基づいてセッションを制限できます。 デバイスを条件として使用してセッションの制御を実現するには、条件付きアクセスポリシーとセッション ポリシーの両方を作成します。
条件付きアクセス ポリシーを作成するには、「Defender for Cloud Apps アクセス ポリシーを作成する」の手順に従います。 このチュートリアルでは、セッション ポリシーを作成する方法について説明します。
手順 1: Defender for Cloud Apps と連動するように IdP を構成する
次のように、Defender for Cloud Apps と連動するように IdP ソリューションを構成します。
- Azure AD 条件付きアクセスについては、Azure AD との統合を構成する方法に関するページを参照してください
- その他の IdP ソリューションについては、その他の IdP ソリューションとの統合を構成する方法に関するページを参照してください。
このタスクを完了したら、Defender for Cloud Apps ポータルにアクセスし、セッションのファイルのダウンロードを監視して制御するためのセッション ポリシーを作成します。
手順 2:セッション ポリシーを作成する
Defender for Cloud Apps ポータルで、[制御] に続けて [ポリシー] を選択します。
[ポリシー] ページで、 [ポリシーの作成] に続けて [セッション ポリシー] を選択します。
[セッション ポリシーの作成] ページで、ポリシーの名前と説明を入力します。 たとえば、アンマネージド デバイスで Salesforce からのダウンロードをブロックするなどです。
[ポリシー重要度] および [カテゴリ] を割り当てます。
[セッション制御の種類] で、 [Control file download (with inspection)](ファイル ダウンロードの制御 (検査を含む)) を選択します。 この設定を使用すると、Salesforce セッション内でユーザーが実行するすべての処理を監視することができ、リアルタイムでのダウンロードをブロックしたり保護したりできます。
[Activities matching all of the following](次のすべてに一致するアクティビティ) セクションの [アクティビティ ソース] で、次のフィルターを選択します。
[デバイス タグ] : [次の値と等しくない] を選択します。 次に、 [Intune 準拠] 、 [ハイブリッド Azure AD 参加] 、または [有効なクライアント証明書] を選択します。 選択内容は、組織がマネージド デバイスの識別で使用する方法によって異なります。
[アプリ] :制御するアプリを選びます。
[ユーザー] :監視するユーザーを選びます。
また、企業ネットワークの一部ではない場所でのダウンロードをブロックすることもできます。 [Activities matching all of the following](次のすべてに一致するアクティビティ) セクションの [アクティビティ ソース] で、次のフィルターを設定します。
- [IP アドレス] または [場所] :この 2 つのパラメーターのどちらかを使用して、ユーザーが機密データへのアクセスを試みている企業以外の場所、または不明な場所を特定することができます。
注意
アンマネージド デバイスと企業以外の場所の両方からのダウンロードをブロックする場合は、2 つのセッション ポリシーを作成する必要があります。 一方のポリシーでは、その場所を使用する [アクティビティ ソース] が設定されます。 もう一方のポリシーでは、 [アクティビティ ソース] がアンマネージド デバイスに設定されます。
[アプリ] :制御するアプリを選びます。
[ユーザー] :監視するユーザーを選びます。
[Files matching all of the following](次のすべてに一致するファイル) セクションの [アクティビティ ソース] で、次のフィルターを設定します。
[秘密度ラベル]: Microsoft Purview Information Protection の秘密度ラベルを使用する場合は、特定の Microsoft Purview Information Protection 秘密度ラベルに基づいてファイルをフィルター処理します。
ファイルの名前または種類に基づいて制限を適用するには、 [ファイル名] または [ファイルの種類] を選択します。
[コンテンツ検査] を有効にすると、内部 DLP でファイルの機密コンテンツをスキャンできるようになります。
[アクション] で、 [ブロック] を選択します。 ユーザーがファイルをダウンロードできないときに表示するブロック メッセージをカスタマイズします。
ポリシーが一致したときに受信するアラートを設定します。 アラートが多くなりすぎないように制限を設定できます。 アラートを電子メール メッセージとして取得するかどうかを選択します。
[作成] を選択します
ポリシーを検証する
アンマネージド デバイスまたは企業以外のネットワークの場所からブロックされたファイルのダウンロードをシミュレートするには、アプリにサインインします。 次に、ファイルのダウンロードを試行します。
ファイルはブロックされ、 [ブロック メッセージのカスタマイズ] に設定したメッセージが表示されるはずです。
Defender for Cloud Apps ポータルで、[制御]、[ポリシー] の順に選択してから、作成したポリシーを選択してポリシー レポートを表示します。 セッション ポリシーの一致がすぐに表示されるはずです。
ポリシー レポートでは、セッション制御のために Microsoft Defender for Cloud Apps にリダイレクトされたログインと、監視対象セッションからダウンロードまたはブロックされたファイルを確認できます。
次のステップ
問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。