こちらの記事は「パーソルプロセス&テクノロジー株式会社のAdvent Calendar 2022」の15日目の記事です。
Microsoft Defender for Cloud AppsはOffice365やその他のクラウドアプリへのアクセスやアプリ上でのアクションを制御するサービスです。
その中のセッションポリシーを使用することで、ファイルのダウンロード/アップロードを禁止するなどの制御を行うことができます。本記事ではこの方法や用途について説明します。
目次
1.セッションポリシーの概要
2.事前準備
3.セッションポリシーの作成
4.セッションポリシーの動作
5.まとめ
1.セッションポリシーの概要
Defender for Cloud Appsのセッションポリシーとは、アプリのセッションを監視およびアクションの制限を行うことができるポリシーです。セッションポリシーを利用することで、OneDrive上のファイルを参照できるゲストユーザからのOneDriveへのファイルアップロードやダウンロードを禁止するなどのアクセス制御を行うことができます。セッションポリシーの詳細は以下のページを参照ください。
2.事前準備
セッションポリシーを使用するには、以下の事前準備が必要になります。
①AzureAzureAzure ADの条件付きアクセスポリシーを使用してアプリのセッションをDefender for Cloud Appsにルーティングすること
②制御したいアプリ(今回はOnedrive)をDefenderforCloudAppsのアプリの条件付きアクセス制御アプリへの登録すること
条件付きアクセスポリシーを使用してアプリのセッションをDefenderforCloudAppsにルーティングする
1.Azure ADの条件付きアクセスポリシーのページを開き、新しいポリシーをクリックする
2.「クラウド アプリまたは操作」で、アプリを選択する(今回はすべてのアプリ)
3.「セッション」で「アプリの条件付きアクセス制御を使う」にチェックを入れ、「カスタムポリシー」を選択する。
DefenderforCloudAppsのアプリの条件付きアクセス制御アプリへの登録
セッションポリシーを使用するためには、以下のようにアプリの条件付きアクセス制御アプリへ登録されている必要がある。
1.条件付きアクセスポリシーの対象となっているユーザでOnedriveにログインすると、以下の画面が行事されるので、「〇〇(アプリ名)を続行する」をクリックする
2.Defender for Cloud Apps の画面を開き、アプリの条件付きアクセス制御アプリへ登録されていることを確認する
3.セッションポリシーの作成
Microsoft Defender for Cloud Appsの画面でセッションポリシーを作成します。
1.Defender for Cloud Apps の画面を開き、制御→ポリシーを開く。
3.ポリシーテンプレートで「リアルタイムのコンテンツ検査に基づいてダウンロードをブロックします」を選択する。
4.その他フィルタ等を設定します。(今回はすべてのファイルダウンロードを制限したいので、フィルタおよび検査方法をなしとします。)
以上で作成は完了です
4.セッションポリシーの動作
作成したセッションポリシーの設定確認をします。
1.OneDriveにアクセスし、適当なファイルをダウンロードしようとすると、ダウンロードはブロックされます。
5.まとめ
本記事では、Defender for Cloud AppsのセッションポリシーでOneDriveからのダウンロードをブロックしました。他にもセッションポリシーではクラウドストレージ上のマルウェアの監視や、ファイルからのコピー&ペーストのブロックを行うこともできます。気になる方は試してみてください。
本記事は「パーソルプロセス&テクノロジー株式会社のAdvent Calendar 2022」の15日目の記事でした。気になった方は他の記事もご覧ください。