どうも、株式会社ソフトクリエイト 戦略ビジネス部 の山口です。
Microsoft Defender for Cloud Apps には、Azure AD の条件付きアクセス制御と組み合わせて利用することで、Intune に登録されていない個人 PC でのクラウドアプリの利用時に、ダウンロード制限やコピー&ペースト、印刷制限を行うことができたりします。
本機能は、Azure AD で SSO したエンタープライズアプリケーションを条件付きアクセスで制御することで、対象のクラウドアプリや条件を制御することができます。
【制限機能のご紹介】
❶クラウドアプリ( Exchange Online )のセッション監視開始
❷Exchange Online のメール本文のコピー&ペーストのブロック動作
❸クラウドアプリ( OneDrive for Business )のセッション監視開始
❹OneDrive for Business 上のファイルのコピー&ペーストのブロック動作
❺OneDrive for Business 上のファイルのダウンロードのブロック動作
❻OneDrive for Business 上のファイルの Web ブラウザーの印刷操作の制限動作
【本機能を利用するために、必要となる設定項目】
1.対象のクラウドアプリを Azure AD の SSO 対象に設定する。
セッションポリシーの制御対象とするためには、対象のクラウドアプリを Azure AD の SSO 対象として、設定する必要があります。
2.対象のクラウドアプリに対して、条件付きアクセスのポリシーを追加する。
対象のクラウドアプリに対して、条件付きアクセスのポリシーを追加し、アクセス制御の設定として、「アプリの条件付きアクセス制御を使う」&「カスタムポリシーを使用する」を選択する必要があります。
※"アプリの条件付きアクセス制御"の動作については、Web ブラウザーでアクセスする場合に制御が行われますので、対象のユーザーおよびグループ、対象のクラウドアプリ + Web ブラウザー + アプリの条件付きアクセス制御を使う。といった設定を個人 PC 向けに展開する様な条件付きアクセスのポリシーを作成する必要があります。
3.セッションポリシーを追加する。
①セキュリティセンターの「ポリシー」-「ポリシー管理」-「条件付きアクセス」のタブにて、「+ポリシー作成」をクリックします。
②利用したい制御のポリシーテンプレートを選択します。
(例:”リアルタイム検査に基づいてダウンロードをブロックします。”、"リアルタイム検査に基づいて、切り取り、コピー、貼り付けをブロックします。")
③ポリシーテンプレートの設定を調整して、ポリシーを作成します。
※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。