[Manage OAuth apps] (OAuth アプリの管理)
organizationのビジネス ユーザーによってインストールされる可能性のある多くのサードパーティの生産性アプリは、ユーザー情報とデータにアクセスし、Microsoft 365、Google ワークスペース、Salesforce などの他のクラウド アプリでユーザーの代わりにサインインするアクセス許可を要求します。 ユーザーがこれらのアプリをインストールすると、多くの場合、アプリへのアクセス許可の付与など、プロンプトの詳細を詳細に確認せずに [同意] をクリックします。 この問題は、IT がアプリケーションのセキュリティ リスクを、それが提供する生産性の利点と比較するのに十分な分析情報を持っていない可能性があるという事実によって悪化しています。 サード パーティ製アプリのアクセス許可を受け入れることは、organizationに対する潜在的なセキュリティ リスクであるため、ユーザーの付与するアプリのアクセス許可を監視すると、ユーザーとアプリケーションを保護するために必要な可視性と制御が提供されます。
Microsoft Defender for Cloud Appsアプリのアクセス許可を使用すると、Microsoft 365 データ、Google ワークスペース データ、Salesforce データにアクセスできる、ユーザーがインストールした OAuth アプリケーションを確認できます。 Defender for Cloud Appsは、アプリに付与されているアクセス許可と、Microsoft 365、Google ワークスペース、Salesforce アカウントへのアクセスをこれらのアプリに付与したユーザーを示します。 アプリのアクセス許可は、ユーザーがアクセスできるようにするアプリと禁止するアプリを決定するのに役立ちます。
詳細については、「 危険な OAuth アプリを調査する」を参照してください。
注:
この記事では、 OAuth アプリ ページのサンプルとスクリーンショットを使用します。これは、アプリ ガバナンスを有効にしていない場合に使用されます。
プレビュー機能を使用していて、アプリ ガバナンスが有効になっている場合は、代わりにアプリ ガバナンス ページから同じ機能を使用できます。
詳細については、「Microsoft Defender for Cloud Appsのアプリ ガバナンス」を参照してください。
前提条件
Microsoft 365、Google ワークスペース、Salesforce など、サポートされている 1 つ以上のプラットフォームをDefender for Cloud Appsに接続している必要があります。
[OAuth アプリの操作] ページ
[OAuth] ページには、接続されているアプリのアプリのアクセス許可に関する情報が表示されます。
[OAuth] タブにアクセスするには:
Microsoft Defender ポータルの [Cloud Apps] で [OAuth アプリ] を選択します。
[OAuth アプリ] ページには、アクセス許可が付与された各 OAuth アプリに関する次の情報が表示されます。 Defender for Cloud Apps委任されたアクセス許可を要求するアプリのみを識別します。
| アイテム | 意味 | 適用対象 |
|---|---|---|
| アプリ クエリ バーの基本アイコン | 基本ビューでクエリに切り替えます。 | Microsoft 365、Google ワークスペース、Salesforce |
| アプリ クエリ バーの [詳細] アイコン | [詳細] ビューでクエリに切り替えます。 | Microsoft 365、Google ワークスペース、Salesforce |
| アプリ一覧のすべての詳細アイコンを開くまたは閉じる | 各アプリの詳細を表示します。 | |
| アプリ一覧のエクスポート アイコン | アプリの一覧、各アプリのユーザー数、アプリに関連付けられているアクセス許可、アクセス許可レベル、アプリの状態、コミュニティの使用レベルを含む CSV ファイルをエクスポートします。 | Microsoft 365、Google ワークスペース、Salesforce |
| アプリ | アプリの名前。 説明、発行元 (Microsoft 365 の場合)、アプリ Web サイト、ID など、詳細情報を表示するには、名前を選択します。 | Microsoft 365、Google ワークスペース、Salesforce |
| 承認者 | アプリのアカウントへのアクセスを承認し、アプリのアクセス許可を付与したユーザーの数。 ユーザーのメールの一覧や、管理者がアプリに以前に同意したかどうかなど、詳細情報を表示する番号を選択します。 | Microsoft 365、Google ワークスペース、Salesforce |
| アクセス許可レベル | アクセス許可レベルのアイコンと、高、中、または低のいずれかを示すテキスト。 レベルは、このアプリがアプリのデータに対してどの程度のアクセス権を持っているかを示します。 たとえば、Low は、アプリがユーザー プロファイルと名前にのみアクセスすることを示す場合があります。 レベルを選択すると、アプリに付与されたアクセス許可、コミュニティの使用、 ガバナンス ログの関連アクティビティなど、詳細情報が表示されます。 | Microsoft 365、Google ワークスペース |
| アプリ状態 | 管理者は、アプリを承認済み、禁止済み、または休暇としてマークできます。 | Microsoft 365、Google ワークスペース、Salesforce |
| コミュニティ使用 | アプリがすべてのユーザーにどの程度人気があるかを示します (一般的、珍しい、まれ) | Microsoft 365、Google ワークスペース、Salesforce |
| 最後に承認された | ユーザーがこのアプリにアクセス許可を付与した最新の日付。 | Microsoft 365、Salesforce |
| Publisher | アプリを提供するベンダーの名前。 発行元の検証 - パブリッシャーの検証は、管理者とエンド ユーザーが、アプリケーション開発者がMicrosoft ID プラットフォームと統合することの信頼性を理解するのに役立ちます。 詳細については、「 Publisher の検証」を参照してください。 |
Microsoft 365 |
| 最後に使用された | このアプリがorganization内の誰かによって使用された最新の日付。 | Salesforce |
アプリを禁止または承認する
[アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、アプリを選択してアプリ ドロワーを開き、アプリと付与されたアクセス許可に関する詳細情報を表示します。
- [ アクセス許可] を選択して、アプリに付与されたアクセス許可の完全な一覧を表示します。
- [ コミュニティの使用] で、アプリが他の組織でどのように一般的であるかを確認できます。
- [ アプリ アクティビティ ] を選択して、このアプリに関連するアクティビティ ログに一覧表示されているアクティビティを表示します。
アプリを禁止するには、テーブルのアプリ行の末尾にある禁止アイコンを選択します。
- インストールされ、承認されたアプリが禁止されていることをユーザーに伝えるかどうかを選択できます。 通知を使用すると、ユーザーはアプリが無効になり、接続されているアプリにアクセスできないことを知ることができます。 ユーザーに知られたくない場合は、ダイアログで [ この禁止アプリへのアクセスを許可したユーザーに通知 する] をオフにします。
- アプリの使用が禁止されることをアプリ ユーザーに知らせることをお勧めします。
[カスタム通知メッセージの入力] ボックスに、アプリ ユーザーに送信するメッセージを入力します。 [ アプリの禁止 ] を選択してメールを送信し、接続されているアプリ ユーザーからアプリを禁止します。
アプリを承認するには、テーブル内の行の末尾にある承認アイコンを選択します。
- アイコンが緑色に変わり、接続されているすべてのアプリ ユーザーに対してアプリが承認されます。
- アプリを承認済みとしてマークしても、エンド ユーザーには影響しません。 この色の変更は、まだ確認していないアプリから分離するために承認したアプリを表示するために役立ちます。
OAuth アプリのクエリ
OAuth アプリのクエリは 、Basic ビューまたは 詳細 ビューで実行できます。 1 つまたは複数のドロップダウンから値を選択して、Basic ビューに特定のアプリを表示します。 詳細ビューで、[ フィルターの選択 ] ドロップダウンを使用して検索を絞り込みます。 演算子を選択した値に等しいか等しくないかを追加して、クエリを完了します。
[ フィルターの追加] アイコンを 選択して、クエリをさらに絞り込むフィルターを追加します。 フィルターが自動的に適用され、アプリの一覧が更新されます。
フィルターの横にある [フィルターの削除 ] アイコンを選択して、フィルターを削除します。
OAuth アプリの監査
Defender for Cloud Appsは、すべての OAuth 承認アクティビティを監査して、実行されたアクティビティの包括的な監視と調査を提供します。 また、特定の OAuth アプリを承認したユーザーの詳細をエクスポートして、ユーザーに関する追加情報を提供することもできます。さらに分析するために使用できます。
ログをエクスポートするには、次の手順を実行します。
[アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、関連するアプリが表示される行の [承認者] で、アプリを承認したユーザーの数を示すリンクを選択します。
ポップアップで、[エクスポート] を選択 します。
フィードバックの送信
organizationで悪意があると思われる OAuth アプリが検出された場合は、Defender for Cloud Apps チームのフィードバックを送信して、お知らせください。 この機能を使用すると、セキュリティ コミュニティに参加し、OAuth アプリのリスク スコアと分析を強化できます。
[アプリ ガバナンス] ページの [Google] タブまたは [Salesforce] タブで、アプリ行の末尾にある 3 つのドットを選択し、[アプリのレポート] を選択します。
[このアプリのレポート] 画面では、アプリを悪意のあるものとして報告するか、アプリの認識方法に関する別の問題Defender for Cloud Apps報告するかを選択できます。 たとえば、 不正な発行元、 不正なアクセス許可、またはその 他を使用できます。 送信したデータは、アプリのリスク スコアやアプリに関するその他の分析を更新するために使用されます。
次の手順
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。