IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSPurview&Defender > 【Microsoft Defender】クラウドアプリ管理(MDCA)2
最終更新日

【Microsoft Defender】クラウドアプリ管理(MDCA)2

MSPurview&Defender インフラ

【Microsoft Defender】クラウドアプリ管理(MDCA)2

前の記事の続きになります。
法人向けMicrosoft 365のセキュリティ管理サービス「Microsoft Defender」の一機能である、クラウドアプリの管理機能について紹介します。
これにより、組織内の管理デバイスからのクラウドアプリへのアクセスを把握し、特定のクラウドアプリへのアクセス禁止やシャドーIT検出などを行うことができます。
  • 操作環境・管理デバイス環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium
          + Defender for Cloud Apps(試用版)

 

 

OAuthアプリ アクティビティログ確認

前の記事の工程3で紹介したDefender管理画面の[設定>クラウドアプリ> 接続されているアプリ>アプリコネクタ]において、組織のアカウントで接続しているクラウドアプリを設定すると、左メニューの[アクティビティログ]にてそのアプリ内の活動を確認できるようになります。

 

画面イメージはSharePointのアップロードのログを抽出・照会しています。誰がいつどのファイルをアップロードしたか確認できます
SharePointのサイトやフォルダーに招待したゲストユーザーのファイルアクセスも確認できます

図表6-1 OAuthアプリのアクティビティログ確認

図表6-1 OAuthアプリのアクティビティログ確認

 

アプリガバナンス レポート確認

アプリガバナンスのレポートを確認する前に、一点設定を変更します。
左メニューの[設定]を選択し、サブメニューの[クラウドアプリ]を選択します。
一番下の[アプリガバナンス>サービスの状態]を選択し、[アプリガバナンスを有効にする]を選択します。

図表7-1 アプリガバナンスの有効化

図表7-1 アプリガバナンスの有効化

 

ボタンの名前が[アプリガバナンスに移動]に変わったら、これを選択します。

図表7-2 アプリガバナンスメニューへ

図表7-2 アプリガバナンスメニューへ

 

[アプリガバナンス]の画面に遷移しますが、設定直後は[分析情報を収集しています]と表示されます。
レポートが表示されるまで[最大10時間かかる]とのことですので、時間を置いてから再度この画面にアクセスしてみます(*)。

*この画面イメージにはまだ表示されていませんが、Defender管理画面にサインインし直すと、左メニューに[アプリガバナンス]が追加されます。そのメニューから再度アクセスします

図表7-3 アプリガバナンスのレポート作成中画面

図表7-3 アプリガバナンスのレポート作成中画面

 

時間を置いてからDefender管理画面にサインインし、左メニューの[アプリガバナンス]を選択したところ、レポートが表示されました。

図表7-4 作成されたアプリガバナンスのレポート(概要)

図表7-4 作成されたアプリガバナンスのレポート(概要)

 

画面イメージは、Microsoft365上のSharePointに対しGraph APIで読み書きするアプリ(以前の記事で紹介)の情報です。
利用状況の確認や、不要・強すぎるアクセス権の見直しの検討材料にできます。

図表7-5 作成されたアプリガバナンスのレポート(Microsoft365)

図表7-5 作成されたアプリガバナンスのレポート(Microsoft365)

 

ポリシー設定 シャドーIT検出

Defender管理画面の左メニューの[ポリシー>ポリシー管理]を選択し、[シャドウIT]タブを選択し、[ポリシーの作成>アプリ検出ポリシー]を選択すると、シャドーIT検出用の設定を行うことができます。

 

この例では、以下三点のポリシーを設定することにします。

  • 低スコアアプリ検出:新規の(タグがない)リスクスコアが7以下のクラウドアプリを検出したら、監視中のタグをつけ、重要度中のアラートを出す
  • クラウドストレージ・Webメール検出:新規の(タグのない)クラウドストレージ・Webメールを検出したら、システム管理者にメール通知し、監視中のタグをつけ、重要度中のアラートを出す
  • クラウドストレージ・Webメール以外検出:新規の(タグのない)クラウドストレージ・Webメール以外のクラウドアプリを検出したら、監視中のタグをつけ、重要度低のアラートを出す
*上記三つのポリシーにおいては、タグのないアプリを検出対象とし、一度検出されたら監視中のタグをつけることで、二回目以降同じアプリの検出が行われないようにしています

図表8-1 アプリ検出ポリシーの設定へ

図表8-1 アプリ検出ポリシーの設定へ

 

低スコアアプリ検出ポリシーの設定内容です。

図表8-2 アプリ検出ポリシーの設定(低スコアアプリ)

図表8-2 アプリ検出ポリシーの設定(低スコアアプリ)

 

クラウドストレージ・Webメール検出ポリシーの設定内容です。

図表8-3 アプリ検出ポリシーの設定(クラウドストレージ・Webメール)

図表8-3 アプリ検出ポリシーの設定(クラウドストレージ・Webメール)

 

クラウドストレージ・Webメール以外検出ポリシーの設定内容です。

図表8-4 アプリ検出ポリシーの設定(クラウドストレージ・Webメール以外)

図表8-4 アプリ検出ポリシーの設定(クラウドストレージ・Webメール以外)

 

管理下デバイスのWebブラウザーから、図表8-2から4で設定したポリシーの条件に合致するクラウドアプリにアクセスします。暫く時間を置くと、Defender管理画面の左メニューの[インシデントとアラート]に通知が表示されます。
各々の行を選択すると、詳細情報を確認することができます。

図表8-5 インシデントとアラートでの検出状況(一覧)

図表8-5 インシデントとアラートでの検出状況(一覧)

 

画面イメージは、低スコアアプリの検出(この例ではNetflix)と、クラウドストレージ・Webメール検出(この例ではAzure Blob Storage)の詳細情報です。

図表8-6 インシデントとアラートでの検出状況(詳細1)

図表8-6 インシデントとアラートでの検出状況(詳細1)

 

画面イメージは、クラウドストレージ・Webメール以外検出(この例ではMSNやNetflix等の複数アプリ)の詳細情報です。
Netflixのように他のポリシーとも合致するアプリも検出されます。

図表8-7 インシデントとアラートでの検出状況(詳細2)

図表8-7 インシデントとアラートでの検出状況(詳細2)

 

左メニューの[クラウドアプリカタログ]で[Monitored](監視中)タグがついているアプリを抽出すると、図表8-2から4で設定したポリシーにより検出したアプリに対し、このタグがついていることを確認できます。
運用開始直後は業務上使用して問題のないアプリが検出されやすいです。これらのアプリはこの画面でタグを[Monitored]から[承認された]に変更しておくと良いでしょう。

図表8-8 クラウドアプリカタログでのタグ確認

図表8-8 クラウドアプリカタログでのタグ確認

 

クラウドストレージ・Webメール検出ポリシー(図表8-3)において、検出したらシステム管理者にメール送信する設定にしていました。
画面イメージは実際に送信されたメールの内容です。

図表8-9 検出時の通知メール

図表8-9 検出時の通知メール

 

 

 

ポリシー設定 非管理デバイスの組織アプリ利用制限

Defenderのポリシー管理の機能で、Intuneの条件付きアクセスと組み合わせて、非管理デバイス(組織内メンバーの私有PC等)からの組織アプリへのアクセスやファイルダウンロードを制限することができます。

 

まずはIntuneの条件付きアクセスの設定を追加します。

 

Microsoft Intune管理画面にアクセスし、左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>条件付きアクセス]を選択します。
サブメニューの[ポリシー]を選択し、[新しいポリシー]を選択します。

図表9-1 Intune管理センターの条件付きアクセスポリシー作成へ

図表9-1 Intune管理センターの条件付きアクセスポリシー作成へ

 

以下の通り設定します。

  • 名前:Defender for Cloud Apps連携(適宜入力)
  • ユーザー(対象):システム管理者グループ、組織内メンバーグループ
  • ターゲットリソース(リソース(以前のクラウドアプリ)>対象):Office365
  • セッション:アプリの条件付きアクセス制御を使う>カスタムポリシーを使用する...
  • ポリシーの有効化:オン

これにより、システム管理者・組織内メンバー(ゲストユーザーは含みません)のOffice365利用について、Defender for Cloud Appsのアクセスポリシーやセッションポリシーの制御を受けるようになります。

図表9-2 条件付きアクセスポリシーの設定

図表9-2 条件付きアクセスポリシーの設定

 

ここからDefenderのポリシー設定を追加します。

 

Defender管理画面の左メニューの[ポリシー>ポリシー管理]を選択し、[条件付きアクセス]タブを選択します。 [ポリシーの作成]より、この例では[セッションポリシー]と[アクセスポリシー]を一つずつ設定することにします。

  • ダウンロードブロック(セッションポリシー):非管理デバイスからのこの組織の機密文書(秘密度ラベルが厳秘・社外秘)のダウンロードをブロックし、重要度中のアラートを出す
  • アプリアクセスブロック(アクセスポリシー):非管理デバイスからこの組織のOffice365のモバイルアプリ・デスクトップアプリへのアクセスをブロックし、重要度低のアラートを出し、システム管理者にメール通知する

図表9-3 Defenderの条件付きアクセスポリシーの設定へ

図表9-3 Defenderの条件付きアクセスポリシーの設定へ

 

ダウンロードブロックに関するセッションポリシーの設定内容です。
なお、ポリシーテンプレートは「リアルタイムのコンテンツ検査に基づいてダウンロードをブロックします」を選択しています。

図表9-4 Defenderの条件付きアクセスポリシーの設定(セッションポリシー)

図表9-4 Defenderの条件付きアクセスポリシーの設定(セッションポリシー)

 

図表9-4の設定画面の続きです。
右側の画面イメージの注記の通り、セッションポリシーはWebブラウザーからのアクセスで機能しますが、モバイルアプリ・デスクトップアプリでは機能しません。後者に対しては、この後アクセスポリシーで制御します。

図表9-5 Defenderの条件付きアクセスポリシーの設定(セッションポリシー続き)

図表9-5 Defenderの条件付きアクセスポリシーの設定(セッションポリシー続き)

 

アプリアクセスブロックに関するアクセスポリシーの設定内容です。
非管理デバイスからのOffice365関連のモバイルアプリ・デスクトップアプリでのアクセスがブロックされます。

図表9-6 Defenderの条件付きアクセスポリシーの設定(アクセスポリシー)

図表9-6 Defenderの条件付きアクセスポリシーの設定(アクセスポリシー)

 

一点補足します。
セッションポリシーの設定において、ファイルフィルターで選択した秘密度ラベル「社外秘」「厳秘」は、Microsoft Purviewで定義しています。設定方法については、以前の記事で紹介していますので、よろしければ参考にしてください。

図表9-7 Purviewの秘密度ラベルの設定

図表9-7 Purviewの秘密度ラベルの設定

 

Office365アプリへのアクセス結果は以下のようになる筈です。
赤枠内について、Web Browserがセッションポリシー、Mobile & Desktop Appがアクセスポリシーの制御対象となります。
この後、システム管理者で非管理デバイス(PC)からのアクセスを試してみます。

図表9-8 ユーザーの種類やデバイス管理状況に応じたアクセス要件

図表9-8 ユーザーの種類やデバイス管理状況に応じたアクセス要件

 

システム管理者にて非管理デバイスから組織アプリにアクセスしてみます。

 

ますはWebブラウザーからのアクセスです。
組織のSharePointにアクセスしたところ、「・・・アクセスは監視中されています」画面が表示されました。ここで[Microsoft SharePoint Onlineを続行する]を選択します。
SharePoint Online内のファイル(秘密度ラベル:社外秘)のダウンロードを試みたところ、ダウンロードがブロックされました。

図表9-9 非管理デバイスのWebアクセス結果

図表9-9 非管理デバイスのWebアクセス結果

 

今度は同じユーザー・デバイスでTeamsのデスクトップアプリからアクセスしてみます。
Teamsデスクトップアプリにサインインし、[いいえ、このアプリのみにサインインします]を選択した(非管理デバイスのままアクセスを試みた)ところ、アプリからのアクセスがブロックされました。

図表9-10 非管理デバイスのデスクトップアプリからのアクセス結果

図表9-10 非管理デバイスのデスクトップアプリからのアクセス結果

 

図表9-9や10のようにブロックが発生した場合、Defender管理画面の左メニューの[インシデントとアラート]に通知が表示されます。
各々の行を選択すると、詳細を確認することができます。

図表9-11 インシデントとアラートでのブロック状況(概要)

図表9-11 インシデントとアラートでのブロック状況(概要)

 

画面イメージは、非管理デバイスによるWebブラウザーからのダウンロードのブロックと(左下)、デスクトップアプリへのアクセスブロック(右上)の詳細情報です。

図表9-12 インシデントとアラートでのブロック状況(詳細)

図表9-12 インシデントとアラートでのブロック状況(詳細)

 

図表9-6のアクセスポリシーにおいて、検出したらシステム管理者にメール送信する設定にしていました。
画面イメージは実際に送信されたメールの内容です。

図表9-13 ブロック時の通知メール

図表9-13 ブロック時の通知メール

 

その他のポリシー設定

その他のポリシー設定にとして、ファイルポリシーとアクティビティポリシーがあります。

 

ファイルポリシーは設定不備やライセンス不足の問題なのか、コンテンツ検査が機能しないので、一旦紹介は見送ります(ごめんなさい)。
正常に機能することを確認できたら、この記事に反映したいと思います。

図表10-1 ファイルポリシーの設定へ

図表10-1 ファイルポリシーの設定へ

【2025/01/28追記】
ファイルポリシーが機能しない件を公式サポートに問い合わせたところ、これを使用するにはMicrosoft 365 E5ライセンスかスタンドアロンライセンスが必要とのことでした(スタンドアロンライセンスが具体的に何を指すのかは不明)。Microsoft 365 Business Premium環境では、E5ライセンスを保有していることにならないため、ライセンス不足が原因と言えそうです。
ライセンス不足で使用できないことが判るようなメッセージが表示されるか、メニュー自体が表示されないようになると有難いですね。

 

アクティビティポリシーはセキュリティリスクに関するものが予め設定されています。運用状況を踏まえ、必要に応じて有効化/無効化の変更や新たなポリシーの追加をするのが良いでしょう。

図表10-2 アクティビティポリシーの設定へ

図表10-2 アクティビティポリシーの設定へ

 

おわりに(運用が難しそうな機能あり)

クラウドアプリのアクセス制御を実現できることは有難いのですが、実際に使ってみると、特に設定メニュー周りの扱いの難しさを感じます(以下の通り)。

  • 設定メニューが多い上、[設定>クラウドアプリ]以外にも設定する必要があり、準備に手間取る
  • 設定が反映されるまで時間がかかるため、設定が正しいかどうか判断し辛い
  • 前の記事の最後で触れたもう一歩と感じる点があり、効果的な運用ができるか不安がある

 

実運用を想定して充分に試用してから導入を判断するのが良いです。また、導入時はいきなり大がかりに機能を有効化するより、クラウド検出レポートで利用状況を確認した上で、制御が必要そうなアプリに制御(まずはブロックより通知の方が良い)を施すのが良いでしょう。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com

 

当ブログ内の関連記事

elmgrn.hatenablog.com