以下ハンズオンのModule 03の部分です。
英語版。
日本語版はこちら。
全部で4 Module。
Module 01: https://qiita.com/smr1/items/1c2558fdb466795669cc
Module 02: https://qiita.com/smr1/items/975769ee5d0822562aef
Module 03: https://qiita.com/smr1/items/8de42c5504511b067890
Module 04: https://qiita.com/smr1/items/fdd57f3f2bc2acab9633
このModuleはDefender向けのライセンスがうまく準備できなかったので、Defenderに関しては調べられる範囲で。
Defender for Cloud Apps discovery
Defender for Cloud Apps
Microsoft社が提供する CASB(Cloud Access Security Broker) です。
簡単にいうとユーザーとクラウドアプリケーションの間に立ってログの収集やAPI コネクタ、リバースプロキシなどの機能を働かせ、アクセスの可視化・保護・コンプライアンスなどを実現するセキュリティソリューションです。
機器の通信ログを分析して、組織内で利用されているSaaSアプリを制御するということか。
Microsoft Defender Portalでクラウドアプリカタログを選択。SaaSアプリごとにスコアが出る。
クラウドアプリカタログで特定クラウドサービスを非承認にする。
ブラウザでアクセスできなくなる。
Session Policies
Microsoft Defender for Cloud Apps セッション ポリシーを使用すると、リアルタイムのセッション レベルの監視により...アクセスを完全に許可またはブロックするのではなく、セッションを監視しながらアクセスを許可します。
BYODの場合Sharepointからのファイルダウンロードをブロックするとかをポリシーという形で制御できる。
条件付アクセスに近い形で条件に応じてコントロールできる。セッションポリシーなので、アプリの操作の中身にまで入って細かく制御できるのがAADの条件付アクセスより良いところ、と理解しました。
Microsoft Defender for Cloud Apps
そもそもMicrosoft for Defender Cloud Appsはあまり使ったことなかったので、調べてみる。MS-900で少し調べたけど改めて。
Cloud App Security Brokerというものがある。
組織の社員が利用しているSaaSアプリを監視、保護できるというもの。
- DefenderとSaaSを接続する。
- 利用しているSaaSを発見する。
- SaaSの利用方法を評価する。例えばSalesforceにMFAを設定していないとか。
- データ保護。
App Discovery Policy
App ConnectorでSaaSを接続する。
SaaS Posture Management。
Deepdive
App Registration
※データは消すので、マスキングなしです。
(どこかのタイミングでちゃんとAD認証を使ったWebアプリについて整理したい。)
Web APIをAADで認証する場合のApp Registrationを作成する。
App Registrationを作ると、Client IDが採番される。
Platformを設定する。Webの場合はRedirect URI等を設定する。
WebAPIにアクセスするアプリの場合はシークレットを登録する。
Web APIがアクセスできる範囲をScopeとして登録する。
通常はAdmins and usersにしておくが、強い権限が必要な場合やデーモン用などユーザーが利用しないバックエンドアプリに利用されるAPIの場合はAdmins onlyにする。
なお、下のAuthorized client applicationsを設定しておくとユーザーに対して承認を要求する画面が表示されなくなる。
しない場合こんなメッセージがユーザー向けに表示される。
API permissionsからテナントごとのAdmin Consentを有効にできる。
Enterprise Application
Assign users and groupsで特定のユーザーしかEnterprise Applicationにアクセスできるように制限する。
Git HubにAADのアカウントでログインできるようにSSOを設定する。
