どうも、株式会社ソフトクリエイト 戦略ビジネス部 の山口です。
Microsoft Defender for Cloud Apps には、Azure AD の条件付きアクセス制御と組み合わせて利用することで、Intune に登録されていない個人 PC でのクラウドアプリの利用時に、ダウンロード制限やコピー&ペースト、印刷制限を行うことができたりします。
本機能は、Azure AD で SSO したエンタープライズアプリケーションを条件付きアクセスで制御することで、対象のクラウドアプリや条件を制御することができます。
-1.png)
【制限機能のご紹介】
❶クラウドアプリ( Exchange Online )のセッション監視開始
-2.png)
❷Exchange Online のメール本文のコピー&ペーストのブロック動作
-3.png)
❸クラウドアプリ( OneDrive for Business )のセッション監視開始
-4.png)
❹OneDrive for Business 上のファイルのコピー&ペーストのブロック動作
-5.png)
❺OneDrive for Business 上のファイルのダウンロードのブロック動作
-6.png)
❻OneDrive for Business 上のファイルの Web ブラウザーの印刷操作の制限動作
-7.png)
【本機能を利用するために、必要となる設定項目】
1.対象のクラウドアプリを Azure AD の SSO 対象に設定する。
セッションポリシーの制御対象とするためには、対象のクラウドアプリを Azure AD の SSO 対象として、設定する必要があります。
-8.png)
2.対象のクラウドアプリに対して、条件付きアクセスのポリシーを追加する。
対象のクラウドアプリに対して、条件付きアクセスのポリシーを追加し、アクセス制御の設定として、「アプリの条件付きアクセス制御を使う」&「カスタムポリシーを使用する」を選択する必要があります。
※"アプリの条件付きアクセス制御"の動作については、Web ブラウザーでアクセスする場合に制御が行われますので、対象のユーザーおよびグループ、対象のクラウドアプリ + Web ブラウザー + アプリの条件付きアクセス制御を使う。といった設定を個人 PC 向けに展開する様な条件付きアクセスのポリシーを作成する必要があります。
-9.png)
3.セッションポリシーを追加する。
①セキュリティセンターの「ポリシー」-「ポリシー管理」-「条件付きアクセス」のタブにて、「+ポリシー作成」をクリックします。
-10.png)
②利用したい制御のポリシーテンプレートを選択します。
(例:”リアルタイム検査に基づいてダウンロードをブロックします。”、"リアルタイム検査に基づいて、切り取り、コピー、貼り付けをブロックします。")
-11.png)
③ポリシーテンプレートの設定を調整して、ポリシーを作成します。
-12.png)
-13.png)
