条件付きアクセス アプリ制御用に Microsoft 以外の IdP カタログ アプリをオンボードする
Microsoft Defender for Cloud アプリのアクセスとセッション制御は、カタログ アプリとカスタム アプリの両方で機能します。 Microsoft Entra IDアプリは、条件付きアクセス アプリ制御を使用するように自動的にオンボードされますが、Microsoft IdP 以外で作業している場合は、アプリを手動でオンボードする必要があります。
この記事では、Defender for Cloud Appsで動作するように IdP を構成する方法について説明します。 IdP とDefender for Cloud Appsを統合すると、条件付きアクセス アプリ制御のために IdP からすべてのカタログ アプリが自動的にオンボードされます。
前提条件
条件付きアクセス アプリ制御を使用するには、organizationに次のライセンスが必要です。
- ID プロバイダー (IdP) ソリューションで必要なライセンス
- Microsoft Defender for Cloud Apps
シングル サインオンでアプリを構成する必要がある
アプリは SAML 2.0 認証プロトコルで構成する必要があります。
この記事の手順を完全に実行してテストするには、セッションまたはアクセス ポリシーが構成されている必要があります。 詳細については、以下を参照してください:
Defender for Cloud Appsで動作するように IdP を構成する
この手順では、他の IdP ソリューションからアプリ セッションをDefender for Cloud Appsにルーティングする方法について説明します。
Defender for Cloud Appsで動作するように IdP を構成するには:
Microsoft Defender XDRで、[設定] > [Cloud Apps >接続済みアプリ] > [条件付きアクセス アプリ制御アプリ] を選択します。
[ 条件付きアクセス アプリ制御アプリ ] ページで、[ + 追加] を選択します。
[ ID プロバイダーを使用して SAML アプリケーションを追加 する] ダイアログで、[ アプリの検索 ] ドロップダウンを選択し、デプロイするアプリを選択します。 アプリが選択されている状態で、[ スタート ウィザード] を選択します。
ウィザードの [APP INFORMATION] ページで、アプリからメタデータ ファイルをアップロードするか、アプリ データを手動で入力します。
次の情報を必ず入力してください。
- アサーション コンシューマー サービス URL。 これは、アプリが IdP から SAML アサーションを受信するために使用する URL です。
- アプリで SAML 証明書が提供されている場合。 このような場合は、[使用] を選択します 。SAML 証明書 オプションを選択し、証明書ファイルをアップロードします。
完了したら、[ 次へ ] を選択して続行します。
ウィザードの [IDENTITY PROVIDER ] ページで、指示に従って IdP のポータルで新しいカスタム アプリを設定します。
注:
IdP によっては、必要な手順が異なる場合があります。 次の理由で説明されているように、外部構成を実行することをお勧めします。
- 一部の ID プロバイダーでは、ギャラリー/カタログ アプリの SAML 属性または URL プロパティを変更できません。
- カスタム アプリを構成する場合は、organizationの既存の構成された動作を変更することなく、Defender for Cloud Appsアクセスとセッション制御を使用してアプリをテストできます。
この手順の後半で使用するために、アプリのシングル サインオン構成情報をコピーします。 完了したら、[ 次へ ] を選択して続行します。
ウィザードの [IDENTITY PROVIDER ] ページで、IdP からメタデータ ファイルをアップロードするか、アプリ データを手動で入力します。
次の情報を必ず入力してください。
- シングル サインオン サービス URL。 これは、IdP がシングル サインオン要求を受信するために使用する URL です。
- IDP で SAML 証明書が提供されている場合。 このような場合は、[ ID プロバイダーの SAML 証明書を使用 する] オプションを選択し、証明書ファイルをアップロードします。
ウィザードの [IDENTITY PROVIDER ] ページで、この手順の後半で使用するために、シングル サインオン URL とすべての属性と値の両方をコピーします。
完了したら、[ 次へ ] を選択して続行します。
IdP のポータルを参照し、IdP 構成にコピーする値を入力します。 通常、これらの設定は IdP のカスタム アプリ設定領域にあります。
前の手順からコピーしたアプリのシングル サインオン URL を入力します。 一部のプロバイダーは、シングル サインオン URL を 応答 URL として参照できます。
前の手順からコピーした属性と値をアプリのプロパティに追加します。 一部のプロバイダーは、 ユーザー属性 または 要求と参照できます。
新しいアプリの属性が 1024 文字に制限されている場合は、まず関連する属性を含まないアプリを作成し、後でアプリを編集して追加します。
名前識別子がメール アドレスの形式であることを確認します。
完了したら、必ず設定を保存してください。
Defender for Cloud Appsに戻り、ウィザードの [APP CHANGES] ページで、SAML シングル サインオン URL をコピーし、Microsoft Defender for Cloud Apps SAML 証明書をダウンロードします。 SAML シングル サインオン URL は、アプリの条件付きアクセス制御で使用する場合Defender for Cloud Appsカスタマイズされた URL です。
アプリのポータルを参照し、次のようにシングル サインオン設定を構成します。
- (推奨)現在の設定のバックアップを作成します。
- ID プロバイダーのサインイン URL フィールドの値を、前の手順でコピーしたDefender for Cloud Apps SAML シングル サインオン URL に置き換えます。 このフィールドの特定の名前は、アプリによって異なる場合があります。
- 前の手順でダウンロードしたDefender for Cloud Apps SAML 証明書をアップロードします。
- 変更は必ず保存してください。
ウィザードで [ 完了] を選択して構成を完了します。
Defender for Cloud Appsによってカスタマイズされた値でアプリのシングル サインオン設定を保存すると、アプリに関連付けられているすべてのサインイン要求が、Defender for Cloud Appsと条件付きアクセス アプリ制御によってルーティングされます。
注:
Defender for Cloud Apps SAML 証明書は 1 年間有効です。 有効期限が切れた後、新しいを生成してアップロードする必要があります。
ポリシーのスコープを設定したユーザーを使用してアプリにサインインする
アクセス ポリシーまたはセッション ポリシーを作成したら、ポリシーで構成されている各アプリにサインインします。 既存のすべてのセッションから最初にサインアウトしていること、およびポリシーで構成されたユーザーでサインインしていることを確認します。
Defender for Cloud Appsは、サインインする新しいアプリごとにポリシーの詳細をサーバーに同期します。 これには最大 1 分かかる場合があります。
詳細については、以下を参照してください:
アクセスとセッションの制御を使用するようにアプリが構成されていることを確認する
この手順では、Defender for Cloud Appsでアクセスとセッションの制御を使用するようにアプリが構成されていることを確認し、必要に応じてそれらの設定を構成する方法について説明します。
注:
アプリのセッション制御設定を削除することはできませんが、アプリ用にセッションまたはアクセス ポリシーを構成するまで動作は変更されません。
Microsoft Defender XDRで、[Cloud Apps >設定] > [接続済みアプリ] > [条件付きアクセス アプリ制御アプリ] を選択します。
アプリ テーブルでアプリを検索し、IDP 型列の値をチェックします。 アプリに 対して MS 以外の認証アプリ と セッション 制御 が表示されていることを確認します。
関連コンテンツ
- Microsoft Defender for Cloud Apps条件付きアクセス アプリ制御を使用してアプリを保護する
- Microsoft 以外の ID プロバイダーを使用してカスタム アプリの条件付きアクセス アプリ制御を展開する
- アクセスとセッション制御のトラブルシューティング
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。