アクセス制御とセッション制御に関するエンドユーザーのためのトラブルシューティング
この記事では、Microsoft Defender for Cloud Apps 管理者向けに、エンドユーザーが経験した一般的なアクセスとセッションの制御の問題を調査して解決する方法に関するガイダンスを提供します。
最小限必要なものを確認する
トラブルシューティングを開始する前に、環境がアクセスとセッション制御に関する次の最小限の一般的な要件を満たしていることを確認してください。
| 要件 | 説明 |
|---|---|
| ライセンス | Defender for Cloud Apps の有効な ライセンス があることを確認します。 |
| シングル サインオン (SSO) | アプリは、サポートされているシングルサインオン (SSO) ソリューションのいずれかを使用して構成する必要があります。 SAML 2.0 または OpenID Connect 2.0 を使用する Microsoft Entra ID - SAML 2.0 を使用した Microsoft 以外の IdP |
| ブラウザーのサポート | セッション制御は、次のブラウザーの最新バージョンのブラウザーベースのセッションで使用することができます。 - Microsoft Edge - Google Chrome - Mozilla Firefox -Apple Safari Microsoft Edgeのブラウザー内保護には、ユーザーが仕事用プロファイルを使用してサインインしているなど、特定の要件もあります。 詳細については、 「ブラウザー内保護の要件」 を参照してください。 |
| ダウンタイム: | Defender for Cloud Apps では、コンポーネントが正しく機能しないなど、サービスの中断が発生した場合に適用する既定の動作を定義できます。 たとえば、通常のポリシー制御を適用できない場合に、機密性の高いコンテンツに対する操作をユーザーが実行できないようにする (ブロック) またはバイパス (許可) することを選択できます。 システム ダウンタイム中の既定の動作を構成するには、Microsoft Defender XDR で、 [設定]>の[アプリの条件付きアクセス制御]>[既定の動作]>で、アクセスの[許可] または [ブロック] に移動します。 |
ユーザー監視ページが表示されない
Defender for Cloud Appsを介してユーザーをルーティングするときに、セッションが監視されていることをユーザーに通知できます。 既定では、ユーザー監視ページが有効になっています。
このセクションでは、ユーザーの監視ページが有効になっていても期待どおりに表示されない場合に実行することをお勧めするトラブルシューティング手順について説明します。
推奨される手順
Microsoft Defender ポータルで、 [設定]>[クラウド アプリ]を選択します。
[アプリの条件付きアクセス制御] で、[ユーザーの監視] を選択します 。 このページには、Defender for Cloud Apps で使用できるユーザーの監視オプションが表示されます。 次に例を示します。
[アクティビティが監視されていることをユーザーに通知する] オプションが選択されていることを確認します。
既定のメッセージを使用するか、カスタム メッセージを指定するかを選択します。
メッセージの種類 詳細 既定値 ヘッダー:
[アプリ名がここに表示されます] へのアクセスが監視されます
本文は次のようになります。
セキュリティを強化するために、組織では [アプリ名がここに表示されます] へのアクセスを監視モードで許可します。 アクセスは Web ブラウザーからのみ使用できます。カスタム ヘッダー:
このボックスを使用して、監視対象のユーザーに通知するカスタム見出しを指定します。
本文は次のようになります。
このボックスを使用して、質問の連絡先など、ユーザーに関するその他のカスタム情報を追加します。また、プレーンテキスト、リッチテキスト、ハイパーリンクの入力をサポートしています。[プレビュー] を選択して、アプリにアクセスする前に表示されるユーザー監視ページを確認します。
[保存] を選択します。
Microsoft 以外の ID プロバイダーからアプリにアクセスできない
エンド ユーザーがマイクロソフト以外の ID プロバイダーからアプリにログインした後に一般的なエラーを受け取った場合は、マイクロソフト以外の IdP 構成を検証します。
推奨される手順
Microsoft Defender ポータルで、 [設定]>[クラウド アプリ]を選択します。
[接続アプリ] で、[アプリの条件付きアクセス制御アプリ] を選択します。
アプリの一覧で、アクセスできないアプリが表示されている行の末尾にある 3 つの点を選択し、[アプリの編集] を選択します。
アップロードされた SAML 証明書が正しいことを検証します。
有効なSSO URLがアプリ構成に指定されていることを確認します。
カスタム アプリの属性と値が ID プロバイダの設定に反映されていることを検証します。
次に例を示します。
.それでもアプリにアクセスできない場合は、 サポート チケットを開いてください。
「問題が発生しました」ページが表示される
プロキシ セッション中に、「問題が発生しました」ページが表示されることがあります。 これは、次の場合に発生することがあります。
- ユーザーがしばらくアイドル状態になってからログインする
- ブラウザーを更新し、ページを読み込むのに想定以上の時間がかかる
- マイクロソフト以外の IdP アプリが正しく構成されていない
推奨される手順
エンド ユーザーが、Microsoft 以外の IdP を使用して構成されているアプリにアクセスしようとしている場合は、「Microsoft 以外の IdP からアプリにアクセスできない」と「アプリの状態: セットアップの続行」を参照してください。
エンド ユーザーがこのページに予期せず到達した場合は、次の操作を行います。
- ブラウザー セッションを再起動します。
- ブラウザーから履歴、Cookie、キャッシュをクリアします。
クリップボードのアクションやファイルのコントロールがブロックされていない
データ流出や侵入のシナリオを防ぐために、切り取り、コピー、貼り付けや、ダウンロード、アップロード、印刷などのファイル コントロールなどのクリップボード アクションをブロックする機能が必要です。
この機能により、企業はエンド ユーザーのセキュリティと生産性のバランスを取ることができます。 これらの機能で問題が発生している場合は、次の手順に従って問題を調査します。
Note
同じ Excel ドキュメント内のデータに対して、切り取り、コピー、貼り付けはブロックされません。 外部の場所へのコピーだけがブロックされます。
推奨される手順
セッションがプロキシ化されている場合は、次の手順に従ってポリシーを確認します。
Microsoft Defender ポータルの [クラウド アプリ] で、 [アクティビティ ログ]を選択します。
詳細フィルターを使用し、[適用されたアクション] を選択して、その値を [ブロック] に設定します。
ブロックされたファイル アクティビティがあることを確認します。
アクティビティがある場合は、アクティビティをクリックしてアクティビティ ドロワーを展開します。
アクティビティ ドロワーの [全般] タブで、一致するポリシー リンクを選択し、適用したポリシーが存在することを確認します。
ポリシーが表示されない場合は、「アクセス ポリシーとセッション ポリシーを作成するときの問題」を参照してください。
既定の動作が原因でアクセスがブロック/許可されている場合は、これは、システムがダウンし、既定の動作が適用されたことを示しています。
既定の動作を変更するには、Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 次に、[アプリの条件付きアクセス制御] で [既定の動作] を選択し、既定の動作をアクセスの [許可] または [ブロック] に設定します。
Microsoft 365 管理ポータル に移動し、システムのダウンタイムに関する通知を監視します。
ブロックされたアクティビティが依然として表示されない場合は、 サポート チケットを開いてください。
ダウンロードは保護されていません
エンド ユーザーは、アンマネージド デバイスに機密データをダウンロードする必要がある場合があります。 これらのシナリオでは、Microsoft Purview 情報保護でドキュメントを保護できます。
エンド ユーザーがドキュメントを正常に暗号化できない場合は、次の手順を使用して問題を調査します。
推奨される手順
Microsoft Defender ポータルの [クラウド アプリ] で、[アクティビティ ログ] を選択します。
詳細フィルターを使用し、[適用されたアクション] を選択して、その値を [保護] に設定します。
ブロックされたファイル アクティビティがあることを確認します。
アクティビティがある場合は、アクティビティをクリックしてアクティビティ ドロワーを展開します。
アクティビティ ドロワーの [全般] タブで、一致するポリシー リンクを選択し、適用したポリシーが存在することを確認します。
ポリシーが表示されない場合は、「アクセス ポリシーとセッション ポリシーを作成するときの問題」を参照してください。
既定の動作が原因でアクセスがブロック/許可されている場合は、これは、システムがダウンし、既定の動作が適用されたことを示しています。
既定の動作を変更するには、Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 次に、[アプリの条件付きアクセス制御] で [既定の動作] を選択し、既定の動作をアクセスの [許可] または [ブロック] に設定します。
Microsoft 365 のサービス正常性ダッシュボード に移動し、システムのダウンタイムに関する通知を監視します。
機密ラベルまたはカスタム アクセス許可を使用してファイルを保護している場合は、 アクティビティの説明で、ファイル拡張子が次のサポートされているファイル タイプのいずれかであることを確認してください。
Word: docm、docx、dotm、dotx
Excel: xlam、xlsm、xlsx、xltx
PowerPoint: potm、potx、ppsx、ppsm、pptm、pptx
統合ラベル付けが有効になっている場合の PDF
ファイルの種類がサポートされていない場合は、セッション ポリシーで、[ネイティブ保護でサポートされていないファイルやネイティブ保護が失敗したファイルのダウンロードをブロックする] を選択することができます。
ブロックされたアクティビティが依然として表示されない場合は、 サポート チケットを開いてください。
サフィックス付きアプリの特定の URL に移動し、汎用ページにランディングする
シナリオによっては、リンクに移動すると、ユーザーがリンクの完全なパスではなく、アプリのホームページに移動することがあります。
ヒント
Defender for Cloud Apps では、コンテキスト損失の影響を受けることが把握されているアプリの一覧が保持されています。 詳細については、 「コンテキスト損失の制限」 を参照してください。
推奨される手順
Microsoft Edge以外のブラウザーを使用していて、ユーザーがリンクの完全なパスではなくアプリのホームページに移動した場合は、元のURLに .mcas.ms を追加して問題を解決します。
たとえば、元の URL が、
https://www.github.com/organization/threads/threadnumber の場合、これを https://www.github.com.mcas.ms/organization/threads/threadnumber に変更します。
Microsoft Edgeユーザーは、ブラウザー内保護の恩恵を受け、リバースプロキシにリダイレクトされず、 .mcas.ms サフィックスを追加する必要はありません。 コンテキストの損失が発生しているアプリの場合は、 サポート チケットを開いてください。
ダウンロードをブロックすると PDF プレビューがブロックされる
PDFファイルをプレビューまたは印刷すると、アプリによってファイルのダウンロードが開始されることがあります。 これにより、Defender for Cloud Apps では、確実にダウンロードがブロックされ、データがご利用の環境から漏えいしないように対処します。
たとえば、Outlook Web Access (OWA) のダウンロードをブロックするセッション ポリシーを作成した場合に、PDF ファイルのプレビューまたは印刷がブロックされ、次のようなメッセージが表示されることがあります。
プレビューを許可するには、Exchange 管理者が次の手順を実行する必要があります。
Exchange Online PowerShell モジュールをダウンロードします。
モジュールに接続します。 詳しくは、「Exchange Online PowerShell への接続」を参照してください。
Exchange Online PowerShellに接続した後、 Set-OwaMailboxPolicy コマンドレットを使用してポリシーのパラメーターを更新します。
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $falseNote
OwaMailboxPolicy-Default ポリシーは、Exchange Online の既定の OWA ポリシー名です。 一部のお客様は、別の名前で追加の OWA ポリシーを展開したり、カスタム OWA ポリシーを作成したりしていることがあります。 複数の OWA ポリシーがある場合は、特定のユーザーに適用される可能性があります。 そのため、完全なカバレッジを持つには、それらを更新する必要もあります。
これらのパラメータを設定した後、PDFファイルと、ダウンロードをブロックするように構成されたセッションポリシーを使用して、OWAでテストを実行します。 [ダウンロード] オプションがドロップダウンから削除され、ファイルをプレビューすることができます。 次に例を示します。
類似のサイトの警告が表示される
悪意のあるアクターは、偽装目的で他のサイトの URL に類似した URL を作成することで、ユーザーに別のサイトを閲覧しているように思い込ませることができます。 一部のブラウザーでは、この動作を検出し、URL にアクセスする前にユーザーに警告を出したり、アクセスをブロックしたりしようとします。
まれに、セッション制御下のユーザーは、疑わしいサイト アクセスを示すメッセージをブラウザーから受信することがあります。 この理由は、ブラウザーでサフィックス付きのドメイン (例: .mcas.ms) が疑わしいものとして扱われるためです。
このメッセージはChromeユーザーにのみ表示されます。Microsoft Edgeユーザーは、リバースプロキシアーキテクチャを使用せずにブラウザー内保護を利用できます。 次に例を示します。
このようなメッセージが表示された場合は、Microsoftのサポートに連絡して、関連するブラウザーベンダーに対処してください。
2回目のサインイン("2回目のログイン"とも呼ばれます)
一部のアプリケーションには、サインインするためのディープリンクが複数あります。 アプリ設定でサインインリンクを定義しないと、ユーザーがサインインするときに認識されないページにリダイレクトされ、アクセスがブロックされる可能性があります。
Microsoft Entra IDなどのIdP間の統合は、アプリのサインインをインターセプトしてリダイレクトすることに基づいています。 つまり、2回目のサインインをトリガーせずにブラウザーのサインインを直接制御することはできません。 2回目のサインインをトリガーするには、その目的専用の2回目のサインインURLを使用する必要があります。
アプリでnonceが使用されている場合、2回目のサインインはユーザーに対して透過的であるか、もう一度サインインするように求められます。
エンドユーザーに対して透過的でない場合は、アプリの設定に2回目のサインインURLを追加します。
[設定][クラウド アプリ][接続されているアプリ][条件付きアクセス アプリ制御アプリ] に移動します。
関連するアプリを選択し、3つのドットを選択します。
[アプリの編集] \ [高度なログイン構成] を選択します。
エラーページに記載されているように、2番目のサインインURLを追加します。
アプリがnonceを使用していないと確信している場合は、 「低速サインイン」 の説明に従ってアプリの設定を編集して、これを無効にすることができます。
アプリのトラブルシューティングに関するその他の考慮事項
アプリのトラブルシューティングを行う場合は、次の点を考慮する必要があります。
最新のブラウザーのセッション コントロールのサポート Defender for Cloud Apps セッション制御に、Chromium ベースの新しい Microsoft Edge ブラウザーのサポートが追加されました。 Internet Explorer の最新バージョンと Microsoft Edge の従来のバージョンは引き続きサポートされますが、サポートは制限されるため、新しい Microsoft Edge ブラウザーを使用することをお勧めします。
セッションコントロールの保護の制限"保護" アクションでの共同認証ラベル付けは、Defender for Cloud Appsセッションコントロールではサポートされていません。 詳細については、 「機密ラベルで暗号化されたファイルの共同編集を有効にする」 を参照してください。
関連するコンテンツ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示