Microsoft Defender for Cloud AppsとEntra IDの条件付きアクセスを使用したアクセス制御　Part 1

Microsoft Defender for Cloud Apps (以下MDA) とは、クラウドアプリケーションの可視化、リスク評価、データ保護を提供するセキュリティソリューションです。

企業はこの製品を活用して、サードパーティアプリケーションへのアクセスを監視・制御し、セキュリティポリシーを強化できます。

本記事では、MDA の機能の1つである条件付きアクセス制御をEntra IDと統合して設定する方法について解説いたします。

• MDAを使用した条件付きアクセス制御とは
  • アクセス ポリシー
  • セッションポリシー
• 前提条件
  • ライセンス
  • 通信要件
  • サポートされているアプリ
  • セッションポリシーの制限
• Entra ID とMDA の統合手順
  • Entra ID 管理センターでの設定
  • Microsoft Defender ポータルでの確認
• 最後に

MDAを使用した条件付きアクセス制御とは

Microsoft Defender for Cloud Apps（MDA）の条件付きアクセス制御は、ユーザーの状況やリスクに応じてアクセス権を動的に管理する機能です。

具体的には、ユーザーのデバイスの状態、位置情報、アプリケーションの種類などに基づいて、アクセスを許可、制限、またはブロックできます。この仕組みにより、企業はセキュリティリスクを低減し、データ保護を強化できます。

本機能は MDA と Entra ID と統合を行い、アクセス ポリシー・セッション ポリシーを作成することにより使用が可能となります。

アクセス ポリシー

アクセスポリシーは、クラウドアプリケーションへのアクセスを制御するポリシーです。

例えば、「特定の地域からのアクセスをブロック」や「不正なデバイスからのアクセスには多要素認証を要求する」といったポリシーを設定できます。

これにより、ユーザーの行動や接続状況に基づいて、適切なセキュリティ対策を自動的に適用できます。

セッションポリシー

セッションポリシーは、ユーザーセッションに対して適用されるアクセス制御のポリシーです。

このポリシーにより、特定の条件下でのユーザーのアクティビティを制限したり、リアルタイムでの監視と制御を行うことができます。

例えば、ファイルのアップロード、ダウンロード、コピーをブロックすることができます。

セッションポリシーを活用することで、データ漏えいや不正行為を防止することが可能です。

前提条件

ライセンス

Microsoft defender for cloud apps ライセンス と Microsoft Entra ID P1 ライセンスを監視対象のユーザーに割り当てる必要があります。

また、上記ライセンスが包括されている、Enterprise Mobility + Security E5 (EMS E5/A5)、Microsoft 365 E5 (M365 E5/A5/G5)、または Microsoft 365 E5/A5/G5 Security のいずれかを割り当てていただくことでも使用可能となります。

なお、統合する IdP として Entra ID ではなくサード パーティ製をご使用される場合は、そちらのライセンスが必要となります。

通信要件

通信要件については、テナントのデータセンターの位置により異なるため、以下 URL をご確認ください。

learn.microsoft.com

サポートされているアプリ

対話型シングルサインオンが使用されているアプリがサポートされます。

※Authenticator アプリ等を使用した非対話型サインインに対しては制御が行われません。

また、認証プロトコルはSAML 2.0、または OpenID Connect を使用している必要があります。

セッションポリシーの制限

セッション ポリシーはデスクトップアプリ、モバイル アプリでは動作せず、以下の最新バージョンのブラウザでのみ動作します。

• Microsoft Edge
• Google Chrome
• Mozilla Firefox
• Safari

Entra ID とMDA の統合手順

Entra ID 管理センターでの設定

Microsft Entra ID 管理センター(https://entra.microsoft.com/)にて、左側ナビゲーションメニューの [条件付きアクセス] を選択し、[新しいポリシーの作成] から条件付きアクセス ポリシーの作成を行います。

条件付きアクセスを適用するユーザー、アプリケーションを選択し、 [セッション] から [アプリの条件付きアクセス制御を使う]にチェックを入れ、[カスタム ポリシー] を選択します。

上記が完了しましたら、ポリシーの有効化をオンにし保存をクリックします。

以上で Entra ID での設定は完了となります。

上記設定を完了後、条件付きアクセスポリシーの対象ユーザーにて、対象のクラウド アプリへサイン インを行うことによ、りMDAにクラウドアプリの連携が行われます。

Microsoft Defender ポータルでの確認

Microsoft Defender ポータル (https://security.microsoft.com/) にて、連携が行われたクラウドアプリの確認が行えます。

左側ナビゲーション メニューの [設定] - [クラウド アプリ] - [アプリの条件付きアクセス制御アプリ] へ、連携が完了したアプリケーションの一覧が表示されます。

最後に

MDAの条件付きアクセス制御の概要、Entra ID での設定手順について紹介いたしました。

MDAの条件付きアクセス制御を利用することで、ユーザーの状況に応じた柔軟なアクセス管理が可能になり、セキュリティリスクを低減できます。

また、リアルタイムの監視とポリシー適用により、データ保護を強化し、コンプライアンス遵守を促進できます。

次回はアクセス ポリシー、セッション ポリシーの作成手順、挙動について紹介いたします。