Graph 以外の API にアクセスするアプリについてのセキュリティ保護を行う

  • [アーティクル]

多くのアプリでは、Microsoft Graph 以外の API を使用して Microsoft 365 やその他のリソースにアクセスします。 このようなアプリを可視化することで、これらのアプリに固有のリスクや、アクセスする API からのリスクを特定して防御できます。その一部については、サポートや更新プログラムの提供が制限される可能性があります。

アプリ ガバナンスでは、Graph API やその他の API にアクセスするかどうかに関係なく、Microsoft Entra ID に登録されている OAuth アプリを可視化できます。 さらに、これらのアプリを監視し、コンプライアンスに違反している場合や不審な挙動が見られた場合に自動的にアクションを実行させることもできます。

新しい機能と拡張機能は、以下のメリットにより組織をより適切に保護します。

  • 強力なアプリ ガバナンスの分析情報と監視機能により、OAuth アプリのカバレッジを強化します。
  • Graph 以外の API またはレガシ API を使用するアプリによる脅威や異常が検出された場合に自動的にアラートを受け取ることができます。
  • より多くのフィルター、列、プロパティの使用によりアプリ調査エクスペリエンスが強化されます。

Graph 以外の API のみを使用するアプリを特定する

アプリ ガバナンスでは、アプリ ガバナンスページにすべての Microsoft Entra ID OAuth アプリをリストアップします。 Graph API を使用していないアプリを検索するには、API アクセス フィルターを適用して非 Graph のみを選択します。 Graph API アクセス列を使用して、リストアップされているアプリの中から Graph API のアクセス許可を持たないアプリを特定することもできます。

次に例を示します。

Screenshot of the Microsoft Entra apps tab showing non-Graph apps only.

OAuth アプリで使用されている Graph 以外の API を確認する

アプリで使用されている API を確認するには、アプリ詳細ウィンドウのアクセス許可タブに移動します。 同意されたアクセス許可名と、アプリがアクセスした API を確認できます。

次に例を示します。

Screenshot of the Permissions tab on an app details pane.

API アクセスの追跡

Graph 以外の API にアクセスするアプリを可視化することで、非Graph API のアクセス許可を持つ新しいアプリポリシーテンプレートまたは非Graph API のアクセス許可ポリシー条件を使用して、該当するアプリを検索および監視できるようになりました。

次に例を示します。

Screenshot of the policy template page.

次のステップ

アプリの検疫機能を使用してアプリについてのセキュリティ保護を行う