チュートリアル: 危険なアクション時にステップアップ認証 (認証コンテキスト) を要求する

  • [アーティクル]

IT 管理者は現在、困難な状況の間で板挟みになっています。 従業員が生産性を高められるようにする必要があります。 これは、従業員が任意のデバイスからいつでも作業できるようにアプリへのアクセスを許可することを意味します。 一方で、会社の資産を守らなければなりません。それには所有財産や特権アクセス情報などが含まれます。 従業員にクラウド アプリへのアクセスを許可しつつ、データを保護するにはどうすればよいでしょうか。

このチュートリアルでは、ユーザーがセッション中に機密性の高いアクションを実行したときに、Microsoft Entra 条件付きアクセス ポリシーを再評価できます。

脅威

従業員が会社のオフィスから SharePoint Online にログインしました。 同じセッション中に、IP アドレスが企業ネットワークの外部に登録されました。 おそらく、彼らは階下のコーヒーショップに行ったか、あるいは彼らのトークンが悪意のある攻撃者によって危険にさらされたか盗まれたのかもしれません。

解決策

Defender for Cloud Apps 条件付きアクセス制御の機密性の高いセッション アクション中に、Microsoft Entra の条件付きアクセス ポリシーを再評価するように要求することで、組織を保護します。

前提条件

  • Microsoft Entra ID P1 ライセンスの有効なライセンス

  • クラウド アプリ (この場合は SharePoint Online) は、Microsoft Entra ID アプリとして構成され、SAML 2.0 または OpenID Connect 経由で SSO を使用します。

  • アプリが Defender for Cloud Apps にデプロイされていることを確認する

ステップアップ認証を強制するポリシーを作成する

Defender for Cloud Apps セッション ポリシーを使用すると、デバイスの状態に基づいてセッションを制限できます。 デバイスを条件として使用してセッションを制御するには、条件付きアクセス ポリシー セッション ポリシーの両方を作成します。

ポリシーを作成するには:

  1. Microsoft Defender ポータルの [クラウド アプリ][ポリシー] ->[ポリシー管理] に移動します。

  2. [ポリシー] ページで、[ポリシーの作成] を選択し、続いて [セッション ポリシー] を選択します。

  3. [セッション ポリシーの作成] ページで、ポリシーの名前と説明を指定します。 たとえば、管理対象外のデバイスから SharePoint Online からダウンロードする場合はステップアップ認証を要求します

  4. [ポリシー重要度][カテゴリ] を割り当てます。

  5. [セッション制御の種類] として、[アクティビティのブロック][ファイルのアップロードを制御する (検査付き)][ファイルのダウンロードを制御する (検査付き)] を選択します。

  6. 次のすべてに一致するアクティビティ セクションの アクティビティ ソース で、フィルターを選択します。

    • [デバイス] タグ: [等しくない] を選択し、 [Intune 準拠][Microsoft Entra ハイブリッド 参加]、または [有効なクライアント証明書]を選択します。 選択は、マネージド デバイスを識別するために組織で使用されている方法に応じます。

    • アプリ: 自動 Azure AD オンボーディング を選択し、リストから SharePoint Online を選択します。

    • [ユーザー]: 監視対象のユーザーを選択します。

  7. [次のすべてに一致するファイル] セクションの [アクティビティ ソース] で、次のフィルターを設定します。

    • [秘密度ラベル]: Microsoft Purview Information Protection の秘密度ラベルを使用する場合は、特定の Microsoft Purview Information Protection 秘密度ラベルに基づいてファイルをフィルター処理します。

    • [ファイル名] または [ファイルの種類] を選択し、ファイルの名前または種類に基づいて制限を適用します。

  8. [コンテンツ検査] を有効にし、内部 DLP でファイルをスキャンし、機密性の高いコンテンツがないかを確認できるようにします。

  9. アクションで、ステップアップ認証が必要を選択します。

    Note

    これには、Microsoft Entra ID で認証コンテキストを作成する必要があります

  10. ポリシーに一致したときに受け取るアラートを設定します。 アラートが大量に発生しすぎないように上限を設定できます。 アラートを電子メール メッセージとして取得するかどうかを選択します。

  11. [作成] を選択します

ポリシーの検証

  1. このポリシーをシミュレートするには、管理対象外のデバイスまたは企業ネットワーク以外の場所からアプリにサインインします。 それから、ファイルのダウンロードを試します。

  2. 認証コンテキスト ポリシーで設定されたアクションを実行する必要があります。

  3. Microsoft Defender ポータルの [クラウド アプリ][ポリシー] ->[ポリシー管理] に移動します。 次に、作成したポリシーを選択してポリシー レポートを表示します。 セッション ポリシーの一致がすぐに表示されます。

  4. ポリシー レポートでは、セッション制御のために Microsoft Defender for Cloud Apps にリダイレクトされたログインと、監視対象セッションからダウンロードまたはブロックされたファイルを確認できます。

次のステップ

アクセスポリシーを作成する方法

セッション ポリシーを作成する方法

問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。