どうも、株式会社ソフトクリエイト 戦略ビジネス部 の山口です。
お客様が Microsoft Defender for Cloud Apps を導入されたい理由として多いのが、シャドウ IT の監視や制限をしたいというお話です。
Microsoft Defender for Cloud アプリコネクターでのエンドポイント系のクラウドアプリのアクティビティの監視とあわせて、ユーザーが利用するクラウドアプリの制限を行うことが可能です。
Microsoft Defender for Cloud Apps とMicrosoft Defender for Endpoint を利用してシャドウ IT 監視を実現する。
今回は、ユーザーのクラウドアプリの利用状況を取集するログコネクターとして、Microsoft Defender for Endpoint P2 を利用した場合を例として提示します。
なお、機能的に近いカテゴリーとなる"カテゴリーベースのWebコンテンツフィルター機能"については、Microsoft Defender for Endpoint P2 にて、機能を提供しています。
1.管理下の Windows に対して、Microsoft Defender for Endpoint をオンボードする。
各 Windows デバイスに対して、Microsoft Defender for Endpoint をオンボードし、セキュリティセンターの「アセットメント」-「デバイス」の一覧に、表示される状態とします。
これは、Windows 上でのユーザーのクラウドアプリの利用状況を、Microsoft Defender for Endpoint で収集し、クラウドアプリの利用制限を、Microsoft Defender ウイルス対策の機能で制限するために必要となってきます。
※Microsoft Defender for Endpoint のオンボードとあわせて、Microsoft Defender ウイルス対策の以下の設定を Microsoft Intune のエンドポイントセキュリティのポリシーや Active Directory のグループポリシー等を利用して、有効化する必要もあります。
- リアルタイム保護
- クラウド保護
- ネットワーク保護
2.セキュリティセンターのエンドポイントの高度な設定で、Microsoft Defender for Cloud Apps を有効にする。
セキュリティセンターの「設定」-「エンドポイント」-「高度な機能」にアクセスし、「Microsoft Defender for Cloud App」の項目を「オン」にして、「保存」をクリックします。
本設定を実施することで、「クラウドアプリ」-「クラウド検出」-「検出されたアプリ」画面に、組織内で利用されているクラウドサービスが表示されるようになります。
3.組織内で利用させたくないクラウドアプリに対して、"承認されていない"アクションを実施する。
セキュリティセンターの「検出されたアプリ」ページにて、組織的に利用したくなくクラウドアプリの「・・・」をクリックして、「承認されていない」を選択します。
「保存」をクリックします。
"承認されていない"を選択したクラウドアプリに"承認されていない"のタグが付きます。
4.セキュリティセンターの「検出されたアプリ」ページにて、"承認されていない"アクションを実施したクラウドアプリについて、該当するサイト URL へのアクセス時に、ブロック動作が行われるようになります。
- Microsoft Edge の場合のブロック画面
- Google Chrome 等の Edge 以外の Web ブラウザーについては、アクションセンターに該当サイトへのアクセスについてのブロック通知が行われます。