チュートリアル: 条件付きアクセス アプリ制御を使用して機密情報のダウンロードをブロックする

現在の IT 管理者は板挟みになっています。 従業員が生産性を高められるようにする必要があります。 これは、従業員が任意のデバイスからいつでも作業できるようにアプリへのアクセスを許可することを意味します。 一方で、会社の資産を守らなければなりません。それには所有財産や特権アクセス情報などが含まれます。 従業員にクラウド アプリへのアクセスを許可しつつ、データを保護するにはどうすればよいでしょうか。 このチュートリアルを利用して、アンマネージド デバイスや社外ネットワークの場所からエンタープライズ クラウド アプリの機密データにアクセスできるユーザーによるダウンロードをブロックできます。

このチュートリアルで学習する内容は次のとおりです。

脅威

組織のアカウント マネージャーが週末、自宅で自分のノート PC から Salesforce の情報を確認します。 Salesforce データには、顧客のクレジット カード情報や個人情報が含まれている可能性があります。 自宅の PC は管理されていません。 Salesforce のドキュメントを PC にダウンロードすると、マルウェアに感染するおそれがあります。 デバイスが紛失または盗難された場合、パスワードで保護されていない可能性があり、デバイスを見つけた人は誰でも機密情報にアクセスできます。

この場合、ユーザーは Microsoft Entra ID を通じて企業の資格情報を使用して Salesforce にサインインします。

解決策

Defender for Cloud Apps の条件付きアクセス アプリ制御を使用してクラウド アプリの使用を監視および制御することで、組織を保護します。

前提条件

• Microsoft Entra ID P1 ライセンスの有効なライセンス、またはアイデンティティ プロバイダー (IdP) ソリューションに必要なライセンス
• Salesforce 向け Microsoft Entra 条件付きアクセス ポリシー
• Salesforce を Microsoft Entra ID アプリとして構成

管理されていないデバイスに対するダウンロードのブロック ポリシーを作成する

この手順では、デバイスの状態に基づいてセッションを制限できる Defender for Cloud Apps セッション ポリシーのみを作成する方法について説明します。

デバイスを 条件 として使用してセッションを制御するには、Defender for Cloud Apps アクセス ポリシーも作成する必要があります。 詳細については、「Microsoft Defender for Cloud Apps アクセス ポリシーを作成する」を参照してください。

セッションポリシーを作成するには

1. Microsoft Defender ポータルの クラウド アプリで、 ポリシー>ポリシー管理を選択します。

2. ポリシー ページで、 ポリシーの作成>セッション ポリシーを選択します。

3. [セッション ポリシーの作成] ページで、ポリシーの名前と説明を指定します。 たとえば、管理されていないデバイスに対して Salesforce からのダウンロードをブロックするなどと指定します。

4. [ポリシー重要度] と [カテゴリ] を割り当てます。

5. セッション制御の種類で、 ファイルのダウンロードの制御 (検査あり)を選択します。 この設定により、Salesforce セッション内でユーザーが行うあらゆる活動を監視し、ダウンロードをリアルタイムでブロックしたり、保護したりできます。

6. [Activities matching all of the following]\(次のすべてに一致するアクティビティ\) セクションの [アクティビティ ソース] で、次のフィルターを選択します。

   • デバイスタグ: 等しくないを選択します。 次に、Intune 準拠、ハイブリッド Azure AD に参加済み、または有効なクライアント証明書を選択します。 選択は、マネージド デバイスを識別するために組織で使用されている方法に応じます。

   • アプリ: 自動 Azure AD オンボーディング>等しい>Salesforceを選択します。

7. または、企業ネットワークに含まれない場所でのダウンロードをブロックできます。 [Activities matching all of the following]\(次のすべてに一致するアクティビティ\) セクションの [アクティビティ ソース] で、次のフィルターを設定します。

   • IP アドレス または 場所: これら 2 つのパラメータのいずれかを使用して、ユーザーが機密データにアクセスしようとしている可能性のある企業外の場所または不明な場所を識別します。

   Note

   アンマネージド デバイスと会社以外の場所の両方からのダウンロードをブロックする場合は、2 つのセッション ポリシーを作成する必要があります。 1 つのポリシーでは、場所を使用して [アクティビティ ソース] を設定します。 もう 1 つのポリシーでは、[アクティビティ ソース] をアンマネージド デバイスに設定します。

   • アプリ: 自動 Azure AD オンボーディング>等しい>Salesforceを選択します。

8. [次のすべてに一致するファイル] セクションの [アクティビティ ソース] で、次のフィルターを設定します。

   • [秘密度ラベル]: Microsoft Purview Information Protection の秘密度ラベルを使用する場合は、特定の Microsoft Purview Information Protection 秘密度ラベルに基づいてファイルをフィルター処理します。

   • [ファイル名] または [ファイルの種類] を選択し、ファイルの名前または種類に基づいて制限を適用します。

9. [コンテンツ検査] を有効にし、内部 DLP でファイルをスキャンし、機密性の高いコンテンツがないかを確認できるようにします。

10. [アクション] で、[ブロック] を選択します。 ユーザーがファイルをダウンロードできない場合に表示するブロック メッセージをカスタマイズします。

11. アラートが多すぎないように制限を設定したり、アラートを電子メールで受け取るかどうかなど、ポリシーが一致したときに受信するアラートを構成します。

12. ［作成］ を選択します

ポリシーの検証

1. アンマネージド デバイスまたは会社以外のネットワークの場所からのブロックされているファイルのダウンロードをシミュレートするには、アプリにログインします。 それから、ファイルのダウンロードを試します。

2. ファイルはブロックされ、 ブロックメッセージのカスタマイズで以前に定義したメッセージが表示されます。

3. Microsoft Defender ポータルの [クラウド アプリ] で [ポリシー] に移動し、[ポリシー管理] を選択します。 次に、作成したポリシーを選択してポリシー レポートを表示します。 セッション ポリシーの一致がすぐに表示されます。

4. ポリシー レポートでは、セッション制御のために Microsoft Defender for Cloud Apps にリダイレクトされたサインインと、監視対象セッションからダウンロードまたはブロックされたファイルを確認できます。

次のステップ

問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。