これにより、組織内の管理デバイスからのクラウドアプリへのアクセスを把握し、特定のクラウドアプリへのアクセス禁止やシャドーIT検出などを行うことができます。
- 操作環境・管理デバイス環境:
- OS:Windows 11
- Webブラウザー:Edge
- 使用プラン:Microsoft 365 Business Premium
+ Defender for Cloud Apps(試用版)
- Defenderのクラウドアプリ管理のライセンスについて
- Defender for Cloud Apps試用開始
- Defender for Cloud Apps初期設定
- クラウド検出レポートの確認
- 特定クラウドアプリへのアクセスブロック
Defenderのクラウドアプリ管理のライセンスについて
Microsoft 365 Business Premium環境はMicrosoft Defender for Businessを包含するためか、 Defender for Cloud Appsを導入しなくても、クラウド管理の一部機能が使用できるようです。
画面イメージ(Defender管理画面)の緑色の枠で囲っていないメニューは、この環境においてMicrosoft Defender for Cloud Appsを導入していなくても表示されるメニューです。緑色の枠で囲ったメニューは、この環境においてMicrosoft Defender for Cloud Appsを導入すると表示されるメニューです。
このことから、この環境においてMicrosoft Defender for Cloud Appsを導入していなくても、[クラウド検出]のレポート確認や、シャドーIT検出([ポリシー管理]の[アプリ検出ポリシー]で設定)は使用できることが判ります。
Defender for Cloud Apps試用開始
この記事では、「Defender for Cloud Apps」を導入した状態(無料試用版を使用)で基本的な機能を紹介します。
Webブラウザーより「Defender for Cloud Apps」の試用開始画面にアクセスし、[無料使用を開始する]を選択します。
システム管理者の組織アカウントを入力し、[次へ]を選択します。
アカウントが見つかったら、[サインイン]を選択します。
[無料トライアル]を選択します。
[続行]を選択します。
Microsoft 365 管理センターの[課金情報>お使いの製品]画面が起動し、[Microsoft Defender for Cloud Apps Trial]が表示されたら、これを選択します。
[ライセンスを割り当てる]を選択します。
画面イメージのように、[情報は利用できません]と表示される場合は、左メニューの[課金情報>ライセンス]を選択します。
改めて、[Microsoft Defender for Cloud Apps]を選択します。
この例では、システム管理者にライセンスを割り当てます(実運用においては、組織内メンバー各自か機密情報を扱うメンバーに割り当てるのが一般的です)。
[ユーザー]タブを選択し、[ライセンスの割り当て]を選択します。
対象ユーザーを指定し(一度に20ユーザーまで指定可能)、[割り当て]を選択します。
Defender for Cloud Apps初期設定
Defender for Cloud Appsの初期設定の前に、必要に応じてDefender全体のデバイス検出の設定を済ませておきます。
Defender管理画面の左メニューの[設定]を選択し、サブメニューの[デバイスの検出]を選択し、必要に応じて設定します。
- 除外:除外したいIPアドレスやサブネットがあれば、[除外を追加]から設定します
- 監視対象ネットワーク:監視対象にしたいネットワークに対し、[このネットワークを監視する]を選択します
ここからDefender for Cloud Appsの初期設定を行います。公式記事に概要が掲載されており、基本的にそれに従い進めます。
左メニューの[設定]を選択し、サブメニューの[クラウドアプリ]を選択します。
[接続されているアプリ>アプリコネクタ]を選択し、[アプリの接続]を選択し、組織のアカウントで使用しているアプリがあれば選択します(この例では[Microsoft365]を選択)。
コンポーネントを適宜選択し(この例では[Microsoft Entra IDアプリ]と[Microsoft 365アクティビティ]を選択)、 [Microsoft 365の接続]を選択します。
[完了]を選択します。
なお、直ぐ動作確認したい場合は、[今すぐテスト]を選択します。
これにより、選択したクラウドアプリ内の挙動について左メニューの[アクティビティログ]や[アプリガバナンス]で確認できるようになります。
引き続き[設定>クラウドアプリ]の設定を進めます。
[Microsoft Information Protection>Microsoft Information Protection]を選択し、画面上部のチェックボックス二点にチェックをつけ、[保存]を選択します。
同じ画面の下の方にある[アクセス許可を付与]を選択し、[アクティブ]と表示されることを確認します。
引き続き[設定>クラウドアプリ]の設定を進めます。
図表3-4のサブメニューの二つ下にある[Microsoft Information Protection>ファイル]を選択し、チェックボックスにチェックをつけ、[保存]を選択します。
これにより、左メニューの[ポリシー>ポリシー管理]の[Information Protection]において、Purviewで設定した秘密度ラベルを選択できるようになります。
左メニューの[設定]を選択し、サブメニューの[エンドポイント]を選択します。
[全般>高度な設定]を選択し、[Microsoft Defender for Cloud Apps]をオンにし、[ユーザー設定の保存]を選択します。
これにより、 左メニューの[クラウド検出]や[クラウドアプリカタログ]による未承認アプリのブロック等で必要なデータが転送されるようになります。
左メニューの[設定]を選択し、サブメニューの[クラウドアプリ]を選択します。
[システム>メール設定]を選択します。ここではユーザー向けの通知メールのテンプレートのアップロード(未実施ならデフォルトのテンプレートが使用)やテストメールの送信を行うことができます。
試しに[テストメール送信]を選択します。
画面イメージ左側のようなテストメールが届けば問題ありません。
引き続き[設定>クラウドアプリ]の設定を進めます。
[マイアカウント>メール通知]を選択します。ここではシステム管理者向けの通知メールの受信設定を行うことができます。
適宜設定し、[保存]を選択します(この例では重大度の高いアラートとシステムアラートを受信する設定にしています)。
共通的な初期設定は以上です。個別メニュー用の設定がいくつか残っていますが、個別メニューの紹介の中で取り上げます。
クラウド検出レポートの確認
前の工程の三つ前の画面で紹介した、[設定>エンドポイント>全般>高度な設定]の[Microsoft Defender for Cloud Apps]をオンにして数時間経つと、左メニューの[クラウド検出]にてレポートが表示されるようになります。
右上の[Defender-managed endpoints]はデータソース名で、上記設定をオンにすると追加されます。データソース名を切り替えると、別途追加した(後述)データソースのレポートが表示されます。
[ダッシュボード]タブから他のタブに切り替えると、アプリの詳細や検出したユーザー・デバイス等を確認できます。
この例では[検出されたアプリ]タブに切り替えています。検出した各アプリに対し、右側のアイコンや三点マークからタグ(承認された・承認されていない・監視中等)を設定することもできます。
Google関連サービスについては[Google]でひとくくりにされ、GmailやGoogleカレンダー等の機能単位の検出が行われないようです。一方、次の工程で紹介するクラウドアプリへのアクセスのブロックにおいては、機能単位で動作しており、判定に違いがある点が気になりました(Google系サービスへのアクセスが一律ブロックされたらかなり困りそうですよね)。
ここからクラウド検出の設定画面について補足説明します。
左メニューの[設定]を選択し、サブメニューの[クラウドアプリ]を選択します。
[クラウド検出>エンティティを除外する]を選択します。ここでは一度検出されたユーザー・グループ・IPアドレス・デバイスについて、検出から除外することができます。
画面イメージはデバイスを除外する例です。
引き続き[設定>クラウドアプリ]の設定になります。
[クラウド検出>ログの自動アップロード]を選択します。
この工程の最初に紹介したデータソース[Defender-managed endpoints]はここに表示されます。メニュー名に「自動アップロード」と記載されている通り、このデータソースは自動更新されますので、レポートも自動更新されます。
また、この画面では上記とは別に、ファイアウォールやプロキシサーバー等のログ周りの設定を登録することで、クラウド検出レポートを作成することもできます(この記事では割愛します)。
引き続き[設定>クラウドアプリ]の設定になります。
[クラウド検出>継続的なレポート]を選択します。
ここでは既存のデータソースを使い、IPアドレスによるフィルターを施したレポートを作成することができます。
右側の画面イメージは、データソース[Defender-managed endpoints]を使い、指定したIPアドレス範囲のレポートを作成する場合の例です。
特定クラウドアプリへのアクセスブロック
特定のクラウドアプリへのアクセスのブロックする前に、一点設定を変更します。
左メニューの[設定]を選択し、サブメニューの[クラウドアプリ]を選択します。
[クラウド検出>Microsoft defender for Endpoint]を選択し、[アプリアクセスの強制]にチェックをつけ、[保存]を選択します。
アプリ制御の同意に関する確認メッセージが表示されたら、[はい]を選択します。
この設定により、[承認されていない]タグのついたアプリへのアクセスをブロックできるようになります。
二点、補足説明します。
引き続き[設定>クラウドアプリ]の設定になります。
[クラウド検出>アプリタグ]を選択し、[アプリタグ]タブを選択します。
画面に表示されている三つのタグは標準のものですが、他にもタグを追加して管理したい場合は、ここで設定します。
続けて、図表5-2の画面の[対象のプロファイル]タブを選択します。
[プロファイルを追加]より、アプリブロック設定時に対象または対象外とするデバイスグループのプロファイルを用意することができます。
ところが、365 Business Premiumが包含するEndpoint for Business環境においては、Defender管理画面上でデバイスグループの作成ができず、これを選択することができませんでした。EntraやIntuneの管理画面で作成したデバイスグループも選択肢として表示されませんでした。設定不備の可能性もありますので、今後も調査を継続し、何か判明したらこの記事に反映したいと思います。
補足説明は以上で、ここからはブロックしたいクラウドアプリを指定し、管理デバイスでの動作確認を進めます。
左メニューの[クラウドアプリ>クラウドアプリカタログ]を選択し、ブロックしたいアプリに対し、[承認されていない]タグを付加します(禁止アイコンを選択して赤色にします)。この例では、Microsoft Minecraft、Google Drive、Boxに[承認されていない]タグを付加しました。
管理デバイスのWebブラウザーから、図表5-4で設定した各クラウドアプリへのアクセスを試みたところ、画面イメージのようにブロックされることを確認できました。
前の画面のようにアプリブロックを機能させるには、管理デバイス上の[Windowsセキュリティ]([Microsoft Defender]のクライアントアプリ)において、[Microsoft EdgeのSmartScreen]をオンにしておく必要があります。
ただし、Chrome等のEdge以外のWebブラウザーからですと、アプリブロックが機能しません。Chromeについては、以前は「Windows Defender Browser Protection」という拡張機能を導入すれば、Edgeと同じようにSmartScreenが機能していましたが、2025年1月時点ではこの拡張機能を入手できなくなっていました。
Microsoft Defender導入済のAndroidデバイスからアクセスした場合は、ChromeとEdgeの両方ともアプリブロックが機能しました。
Defender管理画面に戻り、左メニューの[インシデントとアラート]のサブメニューを選択すると、ブロックされた旨が記録されています。これを選択してみます。
ブロックされたデバイス、ユーザー、サイトURLなどを確認することができます。
実運用において、特定のWebサイトへのアクセスを例外なく禁止するのは(プロファイル設定が正常にできれば対象を絞り込めますが)、なかなか厳格なように感じます。明らかに組織の業務に関係ないWebサイトへのアクセスを禁止したい場合は適用できるのではないかと思います(例えば、業務上ゲームやギャンブルに全く関係ない組織がこれらに関するWebサイトへのアクセスを禁止するなど)。
以下の通り機能面でもう一歩と感じる点がありました。機能改善等の状況変化があれば、この記事に反映したいと思います。
- クラウド検出において、Google関連サービスが機能単位に判別されない
- アプリブロックのプロファイル作成において、デバイスグループが選択できない
- Windows PCでEdge以外のWebブラウザーからアクセスすると、アプリブロックが機能しない
次の記事に続きます。
当ブログ内の連載記事
