Microsoft Defender for Cloud Apps の使用を開始する

このクイック スタートでは、Microsoft Defender ポータルで Microsoft Defender for Cloud Apps の使用を開始する方法について説明します。

Defender for Cloud Apps は、企業リソースの管理を維持しながらクラウド アプリケーションのメリットを活用するのに役立ちます。 Defender for Cloud Apps は、クラウド アクティビティの可視性を高め、企業データに対する保護を強化するのに役立ちます。

ヒント

Microsoft 365 管理センターにサインインした場合は、この記事の補足として、Microsoft Defender for Cloud Apps の自動セットアップ ガイドを使用することをお勧めします。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、Microsoft 365 セットアップ ポータルにアクセスしてください。

前提条件

Defender for Cloud Apps を設定するには、Microsoft Entra ID または Microsoft 365 の全体管理者またはセキュリティ管理者である必要があります。

管理者ロールを持つユーザーは、ロールを割り当てた場所に関係なく、組織がサブスクライブしているすべてのクラウド アプリで同じ管理者アクセス許可を持ちます。 詳細については、「管理者ロールを割り当てる」および「Microsoft Entra ID で管理者ロールを割り当てる」を参照してください。

Microsoft Defender for Cloud Apps はセキュリティ ツールであるため、Microsoft 365 Productivity Suite ライセンスは必要ありません。 Microsoft 365 Cloud App Security (Microsoft 365 専用の Microsoft Defender for Cloud Apps) については、「Microsoft Defender for Cloud Apps と Microsoft 365 Cloud App Security の違いは何ですか?」を参照してください。

Defender for Cloud Apps にアクセスする

  1. Defender for Cloud Apps で保護するユーザーごとに、Defender for Cloud Apps ライセンスを取得します。 詳細については、「Microsoft 365 ライセンス データシート」を参照してください。

    Defender for Cloud Apps 試用版は、Microsoft 365 E5 試用版の一部として利用でき、Microsoft 365 管理センター >Marketplace からライセンスを購入できます。 詳細については、「Microsoft 365 を試用または購入する」または「Microsoft 365 for Business のサポートを受ける」を参照してください。

    Note

    Microsoft Defender for Cloud Apps はセキュリティ ツールであるため、Microsoft 365 生産性スイートのライセンスは必要ありません。 詳細については、「Microsoft Defender for Cloud Apps と Microsoft 365 Cloud App Securityの違いは何ですか?」を参照してください。

  2. Microsoft Defender ポータルで、[クラウド アプリ] の下の [Defender for Cloud Apps] にアクセスします。 次に例を示します。

    Screenshot of the Defender for Cloud Apps Cloud Discovery page.

ステップ 1: アプリのインスタント表示、保護、およびガバナンス アクションを設定する

方法ページ: アプリのインスタント表示、保護、およびガバナンス アクションを設定する

必須のタスク: アプリを接続する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
  2. [接続アプリ] で、[アプリ コネクタ] を選択します。
  3. [+アプリの接続] を選択してアプリを追加し、アプリを選択します。
  4. 構成手順に従ってアプリを接続します。

なぜアプリを接続する必要があるのですか。 アプリに接続すると、クラウド環境内のアプリのアクティビティ、ファイル、アカウントを調査できるように、より詳細な可視性を得ることができます。

ステップ 2: DLP ポリシーを使用して機密情報を保護する

方法ページ: DLP ポリシーを使用して機密情報を保護する

推奨されるタスク: ファイルの監視を有効にし、ファイル ポリシーを作成する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
  2. [情報保護] で [ファイル] を選択します。
  3. [ファイルの監視を有効化] を選択して、 [保存] を選択します。
  4. Microsoft Purview Information Protection の秘密度ラベルを使用する場合は、[Information Protection][Microsoft Information Protection] を選択します。
  5. 必要な設定を選択して、[保存] を選択します。
  6. 手順 3 で、組織の要件を満たすファイル ポリシーを作成します。

ヒント

Microsoft Defender ポータルで [クラウド アプリ]>[ファイル] を参照して、接続アプリのファイルを表示できます。

移行の推奨事項
現在の Cloud Access Security Broker (CASB) ソリューションと並行して Defender for Cloud Apps の機密情報保護を使用することをお勧めします。 まず、Microsoft Defender for Cloud Apps に保護対象のアプリを接続します。 API コネクタは帯域外接続を使用するため、競合が発生しません。 次に、現在の CASB ソリューションから Defender for Cloud Apps にポリシーを段階的に移行します。

注意

サードパーティ製アプリの場合は、現在の負荷がアプリの許可されている API 呼び出しの最大数を超えていないことを確認します。

ステップ 3: ポリシーを使用してクラウド アプリを制御する

方法ページ: ポリシーを使用してクラウド アプリを制御する

必須のタスク: ポリシーを作成する

ポリシーを作成するには

  1. Microsoft Defender ポータルの [クラウド アプリ][ポリシー] ->[ポリシー テンプレート] の順に選択します。
  2. 一覧からポリシー テンプレートを選択し、+ アイコンを選択してポリシーを作成します。
  3. ポリシーをカスタマイズ (フィルター、アクション、およびその他の設定を選択) し、 [作成] を選択します。
  4. [クラウド アプリ] で、[ポリシー] ->[ポリシー管理] を選択してポリシーを選択し、関連する一致 (アクティビティ、ファイル、アラート) を表示します。

ヒント

社内のクラウド環境のあらゆるセキュリティ シナリオに対応するには、リスク カテゴリごとにポリシーを作成します。

ポリシーは企業でどのように役立つか

ポリシーは、傾向を監視したり、セキュリティ上の脅威を確認したり、カスタマイズされたレポートやアラートを生成することに利用できます。 ポリシーを使用すると、ガバナンス アクションの作成や、データ損失防止およびファイル共有コントロールの設定ができます。

ステップ 4: Cloud Discovery を設定する

方法ページ: Cloud Discovery を設定する

必須のタスク: クラウド アプリの使用状況を表示するために Defender for Cloud Apps を有効にする

  1. Microsoft Defender for Endpoint と統合することで、Defender for Cloud Apps が自動的に有効になり、会社内外の Windows 10 デバイスと Windows 11 デバイスを監視できるようになります。

  2. Zscaler を使用する場合は、これを Defender for Cloud Apps と統合します。

  3. 完全なカバレッジを実現するには、継続的な Cloud Discovery レポートを作成します。

    1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
    2. [Cloud Discovery] で、[自動ログ アップロード] を選びます。
    3. [データ ソース] タブでソースを追加します。
    4. [ログ コレクター] タブでログ コレクターを構成します。

移行の推奨事項
現在の CASB ソリューションと並行して Defender for Cloud Apps 検出を使用することをお勧めします。 まず、Defender for Cloud Apps のログ コレクターに、ファイアウォール ログの自動アップロードを構成します。 Microsoft Defender XDR で Defender for Endpoint を使用する場合は、Defender for Cloud Apps に信号を転送するオプションをオンにしてください。 Cloud Discovery の構成は、現在の CASB ソリューションのログ収集と競合しません。

Cloud Discovery のスナップショット レポートを作成するには

  1. Microsoft Defender ポータルの [クラウド アプリ] で、[Cloud Discovery] を選択します。
  2. 右上隅にある [アクション] ->[Cloud Discovery スナップショット レポートの作成] を選択します。

Cloud Discovery レポートを構成する理由

組織内のシャドウ IT を可視化することは重要です。 ログを分析した後は、どのユーザーが、どのデバイスで、どのクラウド アプリを使用しているかを簡単に確認できます。

ステップ 5: カタログ アプリに対してアプリの条件付きアクセス制御を展開する

方法ページ: Microsoft Entra ID でカタログ アプリに対してアプリの条件付きアクセス制御を展開する

推奨されるタスク: カタログ アプリに対してアプリの条件付きアクセス制御を展開する

  1. Defender for Cloud Apps と連動するように IdP を構成します。 Microsoft Entra ID がある場合は、任意のカタログ アプリですぐに使える、[監視のみ][ダウンロードをブロックする] などのインライン コントロールを使用できます。
  2. アクセスとセッションの制御にアプリをオンボードします。
    1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
    2. [接続アプリ] で、[アプリの条件付きアクセス制御アプリ] を選択します*。
    3. ポリシーにスコープ設定されたユーザーを使用して各アプリにサインインします。
    4. [アプリの条件付きアクセス制御アプリ] ページを更新し、アプリを表示します。
  3. アプリがアクセスとセッション制御を使用するように構成されていることを確認する

カスタム基幹業務アプリ、おすすめ以外の SaaS アプリ、およびオンプレミス アプリのセッション制御を構成するには、Microsoft Entra ID を使用した、カスタム アプリに対するアプリの条件付きアクセス制御の展開に関する記事を参照してください。

移行の推奨事項
別の CASB ソリューションと並行してアプリの条件付きアクセス制御を使用すると、アプリが 2 回プロキシされ、待機時間やその他のエラーが発生する可能性があります。 そのため、アプリとポリシーをアプリの条件付きアクセス制御に段階的に移行し、Defender for Cloud Apps で関連するセッションまたはアクセスのポリシーを作成することをお勧めします。

ステップ 6: エクスペリエンスのカスタマイズ

方法ページ: エクスペリエンスをカスタマイズする

推奨されるタスク: 組織の詳細を追加する

電子メールの設定を入力するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
  2. [システム] で、[メール設定] を選択します。
  3. [メール送信者の ID] でメール アドレスと表示名を入力します。
  4. [メールのデザイン] で、組織のメール テンプレートをアップロードします。

管理者通知を設定するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[Microsoft Defender XDR] を選択します。
  2. [メール通知] を選択します。
  3. システム通知を設定する方法を構成します。

スコア メトリクスをカスタマイズするには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
  2. [Cloud Discovery] で、[スコア メトリック] を選択します。
  3. さまざまなリスク値の重要度を構成します。
  4. [保存] を選びます。

これで、検出されたアプリに与えられるリスク スコアが、組織のニーズと優先順位に従って正確に構成されるようになりました。

環境のカスタマイズが必要な理由。

一部の機能は、ニーズに合わせてカスタマイズされている場合に最適に動作します。 独自のメール テンプレートを使用して、ユーザーにより良いエクスペリエンスを提供します。 受信する通知を決定し、ご自分の組織の設定に合わせてご自分のリスク スコア メトリックをカスタマイズします。

ステップ 7: ニーズに応じたデータの整理

方法ページ: IP 範囲とタグの操作

推奨されるタスク: 重要な設定を構成する

IP アドレス タグを作成するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [システム] で、[IP アドレス範囲] を選択します。

  3. [+ IP アドレス範囲の追加] を選択して、IP アドレス範囲を追加します。

  4. IP 範囲の [名前][IP アドレス範囲][カテゴリ]、および [タグ] を入力します。

  5. [作成] を選択します。

    これでポリシーを作成するときや、継続的レポートをフィルター処理して作成するときに、IP タグを使うことができるようになります。

継続的なレポートを作成するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
  2. [Cloud Discovery] で、[継続的レポート] を選びます。
  3. [レポートの作成] を選びます。
  4. 構成の手順に従います。
  5. [作成] を選択します。

これで、ビジネス ユニットや IP 範囲などの独自の設定に基づいて、検出されたデータを表示できるようになりました。

ドメインを追加するには

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
  2. [システム] で、[組織の詳細] を選びます。
  3. 組織の内部ドメインを追加します。
  4. [保存] を選びます。

これらの設定を構成する必要がある理由

これらの設定により、コンソールの機能をより適切に制御できるようになります。 IP タグを使用すると、ニーズに合ったポリシーを作成したり、データを正確にフィルター処理したりできます。 データ ビューを使用して、データを論理カテゴリにグループ化します。

次のステップ

問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを開いてください