アプリの条件付きアクセス制御でデータとアプリを保護する

  • 4 分

Cloud Discovery は、クラウド環境で発生している事実を事後的に理解するのに役立ちます。 このようなプロセスは重要ですが、一番の目的は、組織を危険にさらす前に、侵害や漏洩をリアルタイムで阻止することです。 また、ユーザーが自分のデバイスを職場に持ち込めるようにする一方で、データ漏洩やデータ盗難から組織を保護する方法も必要です。 Microsoft Defender for Cloud Apps は、ID プロバイダー (IdP) と統合し、アプリの条件付きアクセスの制御を経由したアクセスとセッションの制御により、データとデバイスを保護します。 IdP として Microsoft Entra ID を使用している場合、これらのコントロールは Defender for Cloud Apps に直接統合されます。

アプリの条件付きアクセスの制御では、ユーザーのアプリへのアクセスやセッションをリアルタイムで監視し、制御することができます。 Microsoft Entra 条件付きアクセスと統合することで、アプリを条件付きアクセス アプリ制御と連携するように簡単に構成できます。 また、条件付きアクセスの任意の条件に基づいて、組織のアプリケーションにアクセスとセッションの制御を選択的に適用することができます。 条件を使用して、誰 (ユーザーまたはユーザー グループ)、何 (どのクラウド アプリ)、どこ (どの場所やネットワーク) に条件付きアクセス ポリシーを適用するかを定義することができます。 条件の決定後は、ユーザーを Defender for Cloud Apps に誘導し、アクセス制御とセッション制御を適用して、アプリの条件付きアクセスの制御でデータを保護することができます。

Microsoft Entra ID には、簡単にデプロイできるように構成できる組み込みのポリシーが含まれています。 Microsoft Entra ID で条件付きアクセス ポリシーの条件を構成したら、[アクセス制御] で [セッション] を選択し、[条件付きアクセス アプリ制御の使用] をクリックします。 カスタム制御を使用する場合は、Defender for Cloud Apps ポータルで定義します。

Defender for Cloud Apps ポータルのアクセス ポリシーとセッション ポリシーを使用して、フィルターをさらに細かく設定し、ユーザーに対して取るべきアクションを設定することができます。 アクセス ポリシーとセッション ポリシーで、以下のことができます。

  • データ流出防止: 管理されていないデバイスなどでの機密文書のダウンロード、切り取り、コピー、印刷などをブロックします。
  • ダウンロード時の保護: 機密文書のダウンロードをブロックする代わりに、ラベルを付けて Azure Information Protection で保護することを要求することができます。 このアクションにより、ドキュメントが保護され、リスクを伴う可能性のあるセッションにおいて、ユーザーのアクセスが制限されます。
  • ラベル付けされていないファイルのアップロード防止: ラベル付けの使用を強制します。 機密ファイルがアップロードされ、配布され、他のユーザーに使用される前に、適切なラベルと保護があることを確認することが重要です。 コンテンツが分類されるまで、ファイルのアップロードをブロックすることができます。
  • コンプライアンスのためにユーザー セッションを監視: リスクのあるユーザーがアプリにサインインした場合に監視し、セッション内での行動を記録します。 ユーザーの行動を調査し、分析することで、今後どこで、どのような条件でセッション ポリシーを適用すべきかを把握することができます。
  • アクセスのブロック: いくつかのリスク要因に応じて、特定のアプリやユーザーのアクセスをブロックすることができます。 たとえば、デバイス管理の一環としてクライアント証明書を使用しているユーザーをブロックすることができます。
  • カスタム アクティビティのブロック: Microsoft Teams や Slack などのアプリで機密性の高い内容のメッセージを送信するなど、アプリによってはリスクを伴う固有のシナリオがあります。 このようなシナリオでは、メッセージをスキャンして機密性の高いコンテンツを検索し、リアルタイムでブロックすることができます。

たとえば、Microsoft Teams で、機密性の高いコンテンツを含む IM メッセージをブロックするセッション ポリシーを作成してみましょう。 [アプリの条件付きアクセス制御の使用] で、[カスタム制御の使用] セットを含む条件付きアクセス ポリシーを以前に作成したと仮定して、Microsoft Defender for Cloud Apps で新しいセッション ポリシーを作成することから始めます。

新しいセッション ポリシー向けに既存のテンプレートを使用します。 [Block sending of messages based on real-time content inspection]\(リアルタイムのコンテンツ検査に基づいてメッセージの送信をブロックする\) ポリシー テンプレートを選択します。

セッション ポリシーの [アクティビティ ソース] で、アプリケーションとして [Teams メッセージの送信] を選択します。

次に、[コンテンツ調査] を有効にします。ここでは、機密情報が現在の表現、カスタム表現、または任意の正規表現に一致することを定義します。 式が定義されたら、[アクション][ブロック] を選択して、メッセージをブロックしたり、管理者に通知するアラートを作成します。

ユーザーが Teams で機密性の高いメッセージを送信しようとすると、通知が表示されるようになりました。