問題
Microsoft 365 E5 テナントがあります。
App1 という名前のクラウド アプリを購入しました。
Microsoft Defender for Cloud Apps を使用して、App1 のリアルタイム セッション レベルの監視を有効にする必要があります。
どの順序でアクションを実行する必要がありますか?
回答するには、アクションの一覧から適切なアクションを回答領域に移動し、正しい順序で並べ替えます。
Actions
・App1をEntraIDで公開する
・セッション制御を設定した条件付きアクセスポリシーを作成する
・Microsoft Defender for Cloud Appsから、セッションポリシーを作成する
・Microsoft Defender for Cloud Appsから、App1の「接続されているアプリ」の設定を変更する
回答
①App1をEntraIDで公開する
②セッション制御を設定した条件付きアクセスポリシーを作成する
③Microsoft Defender for Cloud Appsから、App1の「接続されているアプリ」の設定を変更する
④Microsoft Defender for Cloud Appsから、セッションポリシーを作成する
解説
セッション制御とは
○ Microsoft Defender for Cloud Appsのセッションポリシーを利用して、アプリのセッションをリアルタイムで監視・制御できる
○ セッションポリシーをApp1に適用するまでの手順を回答する
順番の理由(後ろから逆算して考察)
○ セッションポリシーを作成してアプリに適用するまでにいくつか準備が必要
④の「セッションポリシーの作成」を初めて実施する場合、アプリの条件付きアクセス制御にApp1の展開が必要となる
○ アプリの条件付きアクセス制御へのApp1の展開とは?
下記画面に、App1を追加させることが必要
○ アプリの条件付きアクセス制御にアプリを追加するには?
⇒App1に対して条件付きアクセスポリシーで「アプリの条件付きアクセス制御を使う」ように構成(⇒回答の②)
作成した条件付きアクセスポリシーが適用されたユーザーで、対象のアプリにサインインすることでアプリが自動で追加される
○ 【補足】
条件付きアクセスにて、「アプリの条件付きアクセス制御を使う」を構成することで、
MDCAと連携させたアプリへのアクセスが、MDCA経由となりセッション制御が可能となる
○ 条件付きアクセスポリシーのターゲットリソースに対象アプリを選択するには?
⇒EntraIDのエンタープライズアプリケーションに対象のアプリを追加しておく必要がある(⇒回答の①)
※追加イメージ(GWSの場合)
○ ここまでの解説で、下記が決定
①App1をEntraIDで公開する
②セッション制御を設定した条件付きアクセスポリシーを作成する
④Microsoft Defender for Cloud Appsから、セッションポリシーを作成する
⇒残りの③Microsoft Defender for Cloud Appsから、App1の「接続されているアプリ」の設定を変更する について検討
②を実施して、アプリの条件付きアクセス制御にApp1が展開された後、App1の「セッションコントロール」をONにする
※ただし、自動でONになっていることが大半
○ 回答まとめ
①App1をEntraIDで公開する
②セッション制御を設定した条件付きアクセスポリシーを作成する
③Microsoft Defender for Cloud Appsから、App1の「接続されているアプリ」の設定を変更する
④Microsoft Defender for Cloud Appsから、セッションポリシーを作成する
コメント