条件付きアクセス アプリ制御用の非 Microsoft IdP カスタム アプリをオンボードする

  • [アーティクル]

Microsoft Defender for Cloud アプリのアクセス制御とセッション制御は、カタログ アプリとカスタム アプリの両方で機能します。 Microsoft Entra ID アプリは条件付きアクセス アプリ制御を使用するために自動的にオンボードされますが、Microsoft 以外の IdP を使用している場合は、アプリを手動でオンボードする必要があります。

この記事では、IdP を Defender for Cloud Apps と連携するように構成する方法と、各カスタム アプリを手動でオンボードする方法について説明します。 対照的に、Microsoft 以外の IdP からのカタログ アプリ は、IdP と Defender for Cloud Apps 間の統合を構成すると自動的にオンボードされます。

前提条件

  • 条件付きアクセス アプリ制御を使用するには、組織で次のライセンスが必要です。

    • ID プロバイダー (IdP) ソリューションに必要なライセンス
    • Microsoft Defender for Cloud Apps

  • シングル サインオンを使用してアプリが構成されている必要があります

  • アプリは SAML 2.0 認証プロトコルを使用して構成する必要があります。

アプリのオンボーディング/メンテナンスリストに管理者を追加する

  1. Microsoft Defender XDR で、 [設定] > [クラウド アプリ] > [アプリの条件付きアクセス制御] > [アプリのオンボード/メンテナンス] を選択します。

  2. アプリをオンボードするユーザーのユーザー名またはメールアドレスを入力し、「保存」 を選択します。

詳細については、「管理ビュー ツールバーを使用した診断とトラブルシューティング」を参照してください。

Defender for Cloud Apps と連動するように IdP を構成する

この手順では、他の IdP ソリューションから Defender for Cloud Apps にアプリ セッションをルーティングする方法について説明します。

ヒント

以下の記事では、この手順の詳細な例を示します。

IdP を Defender for Cloud Apps と連携するように構成する:

  1. Microsoft Defender XDR で、 [設定] > [クラウド アプリ] > [接続されたアプリ] > [アプリの条件付きアクセス制御] を選択します。

  2. 「アプリの条件付きアクセス制御」 ページで、 「+ 追加」を選択します。

  3. ID プロバイダーを使用して SAML アプリケーションを追加する ダイアログで、 アプリを検索する ドロップダウンを選択し、展開するアプリを選択します。 アプリを選択した状態で、 ウィザードの開始を選択します。

  4. ウィザードの アプリ情報 ページで、アプリからメタデータ ファイルをアップロードするか、アプリ データを手動で入力します。

    以下の情報を必ず提供してください。

    • Assertion consumer service URL. これは、アプリが IdP から SAML アサーションを受信するために使用する URL です。
    • アプリが提供する場合の SAML 証明書。 このような場合は、 「... SAML 証明書を使用する」 オプションを選択し、証明書ファイルをアップロードします。

    完了したら、 次へ を選択して続行します。

  5. ウィザードの IDENTITY PROVIDER ページで、指示に従って IdP のポータルに新しいカスタム アプリを設定します。

    Note

    必要な手順は IdP によって異なる場合があります。 以下の理由により、説明されているように外部構成を実行することをお勧めします。

    • 一部の ID プロバイダーでは、ギャラリー/カタログ アプリの SAML 属性または URL プロパティを変更できません。
    • カスタム アプリを構成すると、組織の既存の構成済み動作を変更することなく、Defender for Cloud Apps のアクセスおよびセッション制御を使用してアプリをテストできます。

    この手順の後半で使用するために、アプリのシングル サインオン構成情報をコピーします。 完了したら、 次へ を選択して続行します。

  6. ウィザードの IDENTITY PROVIDER ページに進み、IdP からメタデータ ファイルをアップロードするか、アプリ データを手動で入力します。

    以下の情報を必ず提供してください。

    • シングルサインオンサービスURL。 これは、IdP がシングル サインオン要求を受信するために使用する URL です。
    • IdP が提供する場合の SAML 証明書。 このような場合は、 ID プロバイダーの SAML 証明書を使用する オプションを選択し、証明書ファイルをアップロードします。

  7. ウィザードの IDENTITY PROVIDER ページに進み、シングル サインオン URL と、この手順の後半で使用するすべての属性と値をコピーします。

    終了したら、[Next]\(次へ\) を選択します。

  8. IdP のポータルにアクセスし、IdP 構成にコピーした値を入力します。 通常、これらの設定は IdP のカスタム アプリ設定領域にあります。

    1. 前の手順でコピーしたアプリのシングル サインオン URL を入力します。 プロバイダーによっては、シングル サインオン URL は 応答 URLと呼ばれています。

    2. 前の手順でコピーした属性と値をアプリのプロパティに追加します。 プロバイダーによっては、これを ユーザー属性 または 要求と呼んでいる場合もあります。

      新しいアプリの属性が 1024 文字に制限されている場合は、まず関連する属性なしでアプリを作成し、後でアプリを編集して属性を追加します。

    3. 名前識別子が電子メール アドレスの形式であることを確認します。

    4. 完了したら必ず設定を保存してください。

  9. Defender for Cloud Apps に戻り、ウィザードの アプリの変更 ページで、SAML シングル サインオン URL をコピーし、Microsoft Defender for Cloud Apps SAML 証明書をダウンロードします。 SAML シングル サインオン URL は、Defender for Cloud Apps の条件付きアクセス アプリ制御で使用される場合のアプリ用のカスタマイズされた URL です。

  10. アプリのポータルを参照し、次のようにシングル サインオン設定を構成します。

    1. (推奨) 現在の設定のバックアップを作成します。
    2. ID プロバイダーのサインイン URL フィールドの値を、前の手順でコピーした Defender for Cloud Apps SAML シングル サインオン URL に置き換えます。 このフィールドの具体的な名前は、アプリによって異なる場合があります。
    3. 前の手順でダウンロードした Defender for Cloud Apps SAML 証明書をアップロードします。
    4. 必ず変更内容を保存してください。

  11. ウィザードで、 [完了] を選択して構成を完了します。

Defender for Cloud Apps によってカスタマイズされた値を使用してアプリのシングル サインオン設定を保存すると、アプリへのすべての関連付けられたサインイン要求は、Defender for Cloud Apps と条件付きアクセス アプリ制御を介してルーティングされます。

Note

Defender for Cloud Apps SAML 証明書の有効期間は 1 年間です。 有効期限が切れたら、新しいものを生成する必要があります。

条件付きアクセス アプリ制御用にアプリをオンボードする

アプリ カタログに自動的に追加されないカスタム アプリを使用している場合は、手動で追加する必要があります。

アプリがすでに追加されているかどうかを確認するには:

  1. Microsoft Defender XDR で、 [設定]> [クラウド アプリ] > [接続されたアプリ] > [アプリの条件付きアクセス制御] を選択します。

  2. 「アプリ: アプリを選択…」 ドロップダウン メニューを選択して、アプリを検索します。

アプリがすでにリストされている場合は、代わりに カタログ アプリの手順に進みます。

アプリを手動で追加するには:

  1. 新しいアプリがある場合は、オンボードする新しいアプリがあることを通知するバナーがページの上部に表示されます。 新しいアプリを表示 リンクを選択して表示します。

  2. 検出された Azure AD アプリ ダイアログで、ログイン URL 値などでアプリを見つけます。 + ボタンを選択し、 追加 を選択してカスタム アプリとしてオンボードします。

ルート証明書をインストールする

各アプリに対して正しい 現在の CA または 次の CA 証明書を使用していることを確認してください。

証明書をインストールするには、証明書ごとに次の手順を繰り返します。

  1. 現在のユーザーまたはローカル マシンのいずれかを選択して、証明書を開いてインストールします。

  2. 証明書を配置する場所を尋ねられたら、「信頼されたルート証明機関」を参照します。

  3. 必要に応じて OK および 完了 を選択して手順を完了します。

  4. ブラウザを再起動し、アプリを再度開き、プロンプトが表示されたら 続行 を選択します。

  5. Microsoft Defender XDR で、 [設定] > [クラウド アプリ] > [接続されたアプリ] > [アプリの条件付きアクセス制御] の順に選択し、アプリがまだ表に表示されていることを確認します。

詳細については、「アプリの条件付きアクセス制御ページにアプリが表示されない」を参照してください。

関連するコンテンツ

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。