アプリを接続して可視化し、Microsoft Defender for Cloud Apps で制御する
アプリ コネクタでは、アプリ プロバイダーの API を使用します。それにより、アプリに接続するとき、Microsoft Defender for Cloud アプリ の検出機能と制御機能が強化されます。
Microsoft Defender for Cloud Apps では、クラウド プロバイダーによって提供される API が利用されます。 Defender for Cloud Apps と接続されているアプリの間のすべての通信は、HTTPS を使用して暗号化されます。 各サービスには、独自のフレームワークがあり、調整、API の制限、動的なタイム シフト API ウィンドウなどの API の制限があります。 Microsoft Defender for Cloud Apps はサービスを利用して、API の使用を最適化し、最高のパフォーマンスを実現できるようになりました。 Defender for Cloud Apps エンジンは、サービスによって API に適用されるさまざまな制限を考慮して、許可される機能を使います。 多数の API を必要とする操作 (たとえば、テナント内にあるすべてのファイルのスキャン) は、長期間にわたって分散されます。 ある種のポリシーの実行には、数時間、数日間といった長い期間が必要になります。
重要
2024 年 9 月 1 日以降、Microsoft Defender for Cloud Apps の [ファイル] ページは非推奨になります。 その時点で、情報保護ポリシーを作成および変更し、[クラウド アプリ]>[ポリシー]>[ポリシー管理] ページからマルウェア ファイルを見つけます。 詳細については、「Microsoft Defender for Cloud アプリのファイル ポリシー」を参照してください。
複数インスタンスのサポート
Defender for Cloud Apps では、同じ接続されたアプリの複数のインスタンスがサポートされます。 たとえば、Salesforce のインスタンスが複数ある場合 (1 つは営業用、もう 1 つはマーケティング用)、両方を Defender for Cloud Apps に接続できます。 同じコンソールからさまざまなインスタンスを管理して、細かいポリシーを作成し、より詳細な調査を行うことができます。 このサポートは、クラウドで検出されたアプリやプロキシで接続されたアプリではなく、API で接続されたアプリにのみ適用されます。
Note
Microsoft 365 と Azure ではマルチインスタンスはサポートされていません。
しくみ
Defender for Cloud Apps はシステム管理者権限で展開されているため、環境内のすべてのオブジェクトへのフル アクセスができます。
アプリ コネクタのフローは次のとおりです:
Defender for Cloud Apps では認証のためのアクセス許可をスキャンして保存します。
Defender for Cloud Apps ではユーザー リストが要求されます。 この処理を初めて要求した場合は、スキャンが完了するまでにいくらか時間がかかることがあります。 ユーザーのスキャンが終了すると、Defender for Cloud Apps はアクティビティとファイルに進みます。 スキャンの開始直後に、Defender for Cloud Apps で一部のアクティビティを利用できるようになります。
ユーザーの要求が完了すると、Defender for Cloud Apps によってユーザー、グループ、アクティビティ、ファイルが定期的にスキャンされます。 最初のフル スキャンが完了すると、すべてのアクティビティが利用できるようになります。
スキャンの必要なテナントのサイズ、ユーザーの数、ファイルのサイズと数によっては、この接続に時間がかかる場合があります。
接続先のアプリに応じて、API 接続で次の項目が有効になります。
- アカウント情報 - ユーザー、アカウント、プロファイル情報、状態 (中断、アクティブ、無効) グループ、および特権を表示できます。
- 監査証跡 - ユーザー アクティビティ、管理者アクティビティ、サインイン アクティビティを表示できます。
- アカウント ガバナンス - ユーザーによる使用の中断やパスワードの取り消しなどを行います。
- アプリのアクセス許可 - 発行済みトークンとそのアクセス許可を表示できます。
- アプリのアクセス許可のガバナンス - トークンを削除します。
- データのスキャン - 定期的 (12 時間ごと) およびリアルタイム (変更が検出されるたびに開始) の 2 つの処理を使用して、非構造化データをスキャンできます。
- データ ガバナンス - ファイルの検疫 (ごみ箱のファイルを含む) やファイルの上書きを行います。
次の表は、クラウド アプリごとに、アプリ コネクタでサポートされる機能を示しています。
Note
すべてのアプリ コネクタですべての機能がサポートされているわけではないため、一部の行が空である場合があります。
ユーザーとアクティビティ
アプリ | アカウントの一覧表示 | グループの一覧 | 権限の一覧表示 | ログオン アクティビティ | ユーザー アクティビティ | 管理者アクティビティ |
---|---|---|---|---|---|---|
Asana | ✔ | ✔ | ✔ | |||
Atlassian | ✔ | ✔ | ✔ | ✔ | ||
AWS | ✔ | ✔ | 該当なし | ✔ | ||
Azure | ✔ | ✔ | ✔ | ✔ | ||
ボックス | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Citrix ShareFile | ||||||
DocuSign | DocuSign Monitor でサポート | DocuSign Monitor でサポート | DocuSign Monitor でサポート | DocuSign Monitor でサポート | ||
Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
GitHub | ✔ | ✔ | ✔ | ✔ | ||
GCP | 件名 Google Workspace 接続 | 件名 Google Workspace 接続 | 件名 Google Workspace 接続 | 件名 Google Workspace 接続 | ✔ | ✔ |
Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ - Google の Business または Enterprise が必要 | ✔ |
Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Miro | ✔ | ✔ | ✔ | |||
Mural | ✔ | ✔ | ✔ | |||
NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
Okta | ✔ | プロバイダーはサポートしていません | ✔ | ✔ | ✔ | |
OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
ServiceNow | ✔ | ✔ | ✔ | ✔ | 部分的 | Partial |
Salesforce | Salesforce Shield でサポート | Salesforce Shield でサポート | Salesforce Shield でサポート | Salesforce Shield でサポート | Salesforce Shield でサポート | Salesforce Shield でサポート |
Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
Webex | ✔ | ✔ | ✔ | プロバイダーはサポートしていません | ||
Workday | ✔ | プロバイダーはサポートしていません | プロバイダーはサポートしていません | ✔ | ✔ | プロバイダーはサポートしていません |
Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
ズーム |
ユーザー、アプリ ガバナンス、セキュリティ構成の可視性
アプリ | ユーザー ガバナンス | アプリのアクセス許可の表示 | アプリのアクセス許可の取り消し | SaaS セキュリティ態勢管理 (SSPM) |
---|---|---|---|---|
Asana | ||||
Atlassian | ✔ | |||
AWS | 適用なし | 適用なし | ||
Azure | プロバイダーはサポートしていません | |||
ボックス | ✔ | プロバイダーはサポートしていません | ||
Citrix ShareFile | ✔ | |||
DocuSign | ✔ | |||
Dropbox | ✔ | |||
Egnyte | ||||
GitHub | ✔ | ✔ | ||
GCP | 件名 Google Workspace 接続 | 適用なし | 適用なし | |
Google Workspace | ✔ | ✔ | ✔ | ✔ |
Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
Miro | ||||
Mural | ||||
NetDocuments | プレビュー | |||
Okta | 適用なし | 適用なし | ✔ | |
OneLogin | ||||
ServiceNow | ✔ | |||
Salesforce | ✔ | ✔ | ✔ | |
Slack | ||||
Smartsheet | ||||
Webex | 適用なし | 適用なし | ||
Workday | プロバイダーはサポートしていません | 適用なし | 適用なし | |
Workplace by Meta | プレビュー | |||
Zendesk | ✔ | |||
ズーム | プレビュー |
情報の保護
アプリ | DLP - 定期的なバックログ スキャン | DLP - ほぼリアルタイムのスキャン | 制御の共有 | ファイル ガバナンス | Microsoft Purview Information Protection の秘密度ラベルを適用する |
---|---|---|---|---|---|
Asana | |||||
Atlassian | |||||
AWS | ✔ - S3 バケット検出のみ | ✔ | ✔ | 適用なし | |
Azure | |||||
ボックス | ✔ | ✔ | ✔ | ✔ | ✔ |
Citrix ShareFile | |||||
DocuSign | |||||
Dropbox | ✔ | ✔ | ✔ | ✔ | |
Egnyte | |||||
GitHub | |||||
GCP | 適用なし | 適用なし | 適用なし | 適用なし | 適用なし |
Google Workspace | ✔ | ✔ - Google Business Enterprise が必要です | ✔ | ✔ | ✔ |
Okta | 適用なし | 適用なし | 適用なし | 適用なし | 適用なし |
Miro | |||||
Mural | |||||
NetDocuments | |||||
Okta | 適用なし | 適用なし | 適用なし | 適用なし | 適用なし |
OneLogin | |||||
ServiceNow | ✔ | ✔ | 適用なし | ||
Salesforce | ✔ | ✔ | ✔ | ||
Slack | |||||
Smartsheet | |||||
Webex | ✔ | ✔ | ✔ | ✔ | 適用なし |
Workday | プロバイダーはサポートしていません | プロバイダーはサポートしていません | プロバイダーはサポートしていません | プロバイダーはサポートしていません | 適用なし |
Workplace by Meta | |||||
Zendesk | プレビュー | ||||
ズーム |
前提条件
Microsoft 365 コネクタを使用する際は、セキュリティに関する推奨事項を表示する各サービスのライセンスが必要です。 たとえば、Microsoft Forms の推奨事項を表示するには、Forms をサポートするライセンスが必要です。
アプリによっては、Defender for Cloud Apps によるログ収集や、Defender for Cloud Apps コンソールへのアクセスを可能にするために、リストの IP アドレスを許可することが必要な場合があります。 詳細については、「ネットワークの要件」を参照してください。
Note
URL と IP アドレスが変更されたときに更新情報を取得するには、「Microsoft 365 の URL と IP アドレスの範囲」で説明されているように RSS を購読します。
ExpressRoute
Defender for Cloud Apps は Azure に展開され、ExpressRoute に完全に統合されます。 検出ログのアップロードを含む、Defender for Cloud Apps アプリとのすべての通信、および Defender for Cloud Apps に送信されるトラフィックは、ExpressRoute 経由でルーティングされるため、待機時間、パフォーマンス、およびセキュリティが改善されます。 Microsoft ピアリングの詳細については、「ExpressRoute 回線とルーティング ドメイン」を参照してください。
アプリコネクタを無効にする
Note
- アプリ コネクタを無効にする前に、接続の詳細が利用可能であることを確認してください。接続の詳細は、コネクタを再度有効にする場合に必要になります。
- これらの手順を使用して、アプリの条件付きアクセス制御アプリとセキュリティ構成アプリを無効にすることはできません。
接続されているアプリを無効にするには、以下の手順に従います。
- [接続アプリ] ページの関連する行で、3 つのドットを選択し、[アプリ コネクタを無効にする] を選択します。
- ポップアップで、[Disable App connector instance] (アプリ コネクタ インスタンスを無効にする) をクリックしてアクションを確認します。
無効にすると、コネクタ インスタンスはコネクタからのデータの消費を停止します。
アプリコネクタを再度有効にする
接続されているアプリを再度有効にするには、以下の手順に従います。
- [接続アプリ] ページの関連する行で、3 つのドットを選択し、[設定の編集] を選択します。 これで、コネクタを追加するプロセスが開始されます。
- 関連する API コネクタ ガイドの手順に従ってコネクタを追加します。 たとえば、GitHub を再有効化する場合は、GitHub Enterprise Cloud を Microsoft Defender for Cloud Apps に接続する方法に関するページにある手順を使用してください。
関連ビデオ
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。