条件付きアクセス アプリ制御用に Microsoft IdP カタログ以外のアプリをオンボードする

  • [アーティクル]

Microsoft Defender for Cloud アプリのアクセス制御とセッション制御は、カタログ アプリとカスタム アプリの両方で機能します。 Microsoft Entra ID アプリは条件付きアクセス アプリ制御を使用するために自動的にオンボードされますが、Microsoft 以外の IdP を使用している場合は、アプリを手動でオンボードする必要があります。

この記事では、Defender for Cloud Apps と連携するように IdP を構成する方法について説明します。 IdP を Defender for Cloud Apps と統合すると、条件付きアクセス アプリ制御のために IdP からすべてのカタログ アプリが自動的にオンボードされます。

前提条件

  • 条件付きアクセス アプリ制御を使用するには、組織で次のライセンスが必要です。

    • ID プロバイダー (IdP) ソリューションに必要なライセンス
    • Microsoft Defender for Cloud Apps

  • シングル サインオンを使用してアプリが構成されている必要があります

  • アプリは SAML 2.0 認証プロトコルを使用して構成する必要があります。

この記事の手順を完全に実行してテストするには、セッションまたはアクセス ポリシーが構成されている必要があります。 詳細については、以下を参照してください:

Defender for Cloud Apps と連動するように IdP を構成する

この手順では、他の IdP ソリューションから Defender for Cloud Apps にアプリ セッションをルーティングする方法について説明します。

ヒント

以下の記事では、この手順の詳細な例を示します。

IdP を Defender for Cloud Apps と連携するように構成する:

  1. Microsoft Defender XDR で、 [設定] > [クラウド アプリ] > [接続されたアプリ] > [アプリの条件付きアクセス制御] を選択します。

  2. 「アプリの条件付きアクセス制御」 ページで、 「+ 追加」を選択します。

  3. ID プロバイダーを使用して SAML アプリケーションを追加する ダイアログで、 アプリを検索する ドロップダウンを選択し、展開するアプリを選択します。 アプリを選択した状態で、 ウィザードの開始を選択します。

  4. ウィザードの アプリ情報 ページで、アプリからメタデータ ファイルをアップロードするか、アプリ データを手動で入力します。

    以下の情報を必ず提供してください。

    • Assertion consumer service URL. これは、アプリが IdP から SAML アサーションを受信するために使用する URL です。
    • アプリが提供する場合の SAML 証明書。 このような場合は、 「... SAML 証明書を使用する」 オプションを選択し、証明書ファイルをアップロードします。

    完了したら、 次へ を選択して続行します。

  5. ウィザードの IDENTITY PROVIDER ページで、指示に従って IdP のポータルに新しいカスタム アプリを設定します。

    Note

    必要な手順は IdP によって異なる場合があります。 以下の理由により、説明されているように外部構成を実行することをお勧めします。

    • 一部の ID プロバイダーでは、ギャラリー/カタログ アプリの SAML 属性または URL プロパティを変更できません。
    • カスタム アプリを構成すると、組織の既存の構成済み動作を変更することなく、Defender for Cloud Apps のアクセスおよびセッション制御を使用してアプリをテストできます。

    この手順の後半で使用するために、アプリのシングル サインオン構成情報をコピーします。 完了したら、 次へ を選択して続行します。

  6. ウィザードの IDENTITY PROVIDER ページに進み、IdP からメタデータ ファイルをアップロードするか、アプリ データを手動で入力します。

    以下の情報を必ず提供してください。

    • シングルサインオンサービスURL。 これは、IdP がシングル サインオン要求を受信するために使用する URL です。
    • IdP が提供する場合の SAML 証明書。 このような場合は、 ID プロバイダーの SAML 証明書を使用する オプションを選択し、証明書ファイルをアップロードします。

  7. ウィザードの IDENTITY PROVIDER ページに進み、シングル サインオン URL と、この手順の後半で使用するすべての属性と値をコピーします。

    終了したら、[Next]\(次へ\) を選択します。

  8. IdP のポータルにアクセスし、IdP 構成にコピーした値を入力します。 通常、これらの設定は IdP のカスタム アプリ設定領域にあります。

    1. 前の手順でコピーしたアプリのシングル サインオン URL を入力します。 プロバイダーによっては、シングル サインオン URL は 応答 URLと呼ばれています。

    2. 前の手順でコピーした属性と値をアプリのプロパティに追加します。 プロバイダーによっては、これを ユーザー属性 または 要求と呼んでいる場合もあります。

      新しいアプリの属性が 1024 文字に制限されている場合は、まず関連する属性なしでアプリを作成し、後でアプリを編集して属性を追加します。

    3. 名前識別子が電子メール アドレスの形式であることを確認します。

    4. 完了したら必ず設定を保存してください。

  9. Defender for Cloud Apps に戻り、ウィザードの アプリの変更 ページで、SAML シングル サインオン URL をコピーし、Microsoft Defender for Cloud Apps SAML 証明書をダウンロードします。 SAML シングル サインオン URL は、Defender for Cloud Apps の条件付きアクセス アプリ制御で使用される場合のアプリ用のカスタマイズされた URL です。

  10. アプリのポータルにアクセスし、次のようにシングル サインオン設定を構成します。

    1. (推奨) 現在の設定のバックアップを作成します。
    2. ID プロバイダーのサインイン URL フィールドの値を、前の手順でコピーした Defender for Cloud Apps SAML シングル サインオン URL に置き換えます。 このフィールドの具体的な名前は、アプリによって異なる場合があります。
    3. 前の手順でダウンロードした Defender for Cloud Apps SAML 証明書をアップロードします。
    4. 必ず変更内容を保存してください。

  11. ウィザードで、 [完了] を選択して構成を完了します。

Defender for Cloud Apps によってカスタマイズされた値を使用してアプリのシングル サインオン設定を保存すると、アプリへのすべての関連付けられたサインイン要求は、Defender for Cloud Apps と条件付きアクセス アプリ制御を介してルーティングされます。

Note

Defender for Cloud Apps SAML 証明書の有効期間は 1 年間です。 有効期限が切れた後は、新しいものを生成してアップロードする必要があります。

ポリシーにスコープされたユーザーを使用してアプリにサインインします

アクセス ポリシーまたはセッション ポリシーを作成したら、ポリシーで構成されている各アプリにサインインします。 まず既存のすべてのセッションからサインアウトし、ポリシーで構成されたユーザーでサインインしていることを確認してください。

Defender for Cloud Apps によって、サインインする新しいアプリごとに、ポリシーの詳細がそのサーバーに同期されます。 これには最大 で1 分かかることがあります。

詳細については、以下を参照してください:

アプリがアクセス制御とセッション制御を使用するように構成されていることを確認する

この手順では、アプリが Defender for Cloud Apps のアクセス制御とセッション制御を使用するように構成されていることを確認し、必要に応じてそれらの設定を構成する方法について説明します。

Note

アプリのセッション制御設定を削除することはできませんが、アプリにセッションまたはアクセス ポリシーが構成されるまで動作は変更されません。

  1. Microsoft Defender XDR で、 [設定]> [クラウド アプリ] > [接続されたアプリ] > [アプリの条件付きアクセス制御] を選択します。

  2. アプリ テーブルでアプリを検索し、IDP タイプ 列の値を確認します。 アプリに 非 MS 認証アプリセッション制御 が表示されていることを確認します。

関連するコンテンツ

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。