アプリ コネクタは、アプリ プロバイダーの API を使用し、Microsoft Defender for Cloud Apps に接続したアプリの可視性と制御を強化するものです。
Microsoft Defender for Cloud Apps では、クラウド プロバイダーから提供される API を使用します。 Defender for Cloud Apps と接続されているアプリ間のすべての通信は、HTTPS を使用して暗号化されます。 各サービスには、調整、API の制限、動的なタイム シフト API ウィンドウなど、独自のフレームワークと API の制限があります。 Microsoft Defender for Cloud Apps は各種サービスと連携して API の使用状況を最適化し、最善のパフォーマンスを発揮します。 サービスが API に課すさまざまな制限を考慮して、Microsoft Defender for Cloud Apps エンジンは許可された容量を使用します。 多数の API を必要とする操作 (たとえば、テナント内にあるすべてのファイルのスキャン) は、長期間にわたって分散されます。 ある種のポリシーの実行には、数時間、数日間といった長い期間が必要になります。
重要
2024 年 9 月 1 日から、Microsoft は Microsoft Defender for Cloud Apps から Files ページを非推奨にしました。 詳細については、「Microsoft Defender for Cloud Apps のファイル ポリシー」を参照してください。
複数インスタンスのサポート
Defender for Cloud Apps では、同じ接続アプリの複数のインスタンスがサポートされています。 たとえば、Salesforce のインスタンスが複数ある場合 (営業用、マーケティング用) は、両方とも Defender for Cloud Apps に接続できます。 同じコンソールから異なるインスタンスを管理して、詳細なポリシーと詳細な調査を作成できます。 このサポートは、API に接続されたアプリにのみ適用され、Cloud Discovered アプリやプロキシ接続アプリには適用されません。
注:
Microsoft 365 と Azureでは、マルチインスタンスはサポートされていません。
メカニズム
Defender for Cloud Apps は、環境内のすべてのオブジェクトへのフル アクセスを許可するために、システム管理者特権でデプロイされます。
App Connector フローは次のとおりです:
- Defender for Cloud Apps は、認証アクセス許可をスキャンして保存します。
- Defender for Cloud Apps はユーザーの一覧を要求します。 初めて要求を行う場合、スキャンが完了するまでに時間がかかる場合があります。 ユーザー スキャンが完了すると、Defender for Cloud Appsアクティビティとファイルに移動します。 スキャンが開始されるとすぐに、一部のアクティビティをDefender for Cloud Appsで利用できます。
- ユーザー要求が完了すると、Defender for Cloud Apps はユーザー、グループ、アクティビティ、ファイルを定期的にスキャンします。 すべてのアクティビティは、最初のフル スキャン後に使用できます。
テナントのサイズ、ユーザーの数、スキャンする必要があるファイルのサイズと数によっては、この接続に時間がかかる場合があります。
接続先のアプリに応じて、API 接続によって次の項目が有効になります:
- アカウント情報 ‐ ユーザー、アカウント、プロファイル情報、状態 (一時停止、アクティブ、無効) グループ、特権の可視性。
- 監査証跡 ‐ ユーザー アクティビティ、管理者アクティビティ、サインイン アクティビティの可視性。
- アカウント ガバナンス - ユーザーの一時停止、パスワードの取り消しなどの機能。
- アプリのアクセス許可 - 発行されたトークンとそのアクセス許可の可視性。
- アプリのアクセス許可ガバナンス - トークンを削除する機能。
- データ スキャン ‐ 定期スキャン (12 時間ごと) およびリアルタイム スキャン (変更が検出されるたびにトリガーされる) の 2 つのプロセスを使用した、非構造化データのスキャン。
- データ ガバナンス ‐ ごみ箱の中のファイルを含むファイルを検疫し、ファイルを上書きする機能。
次のテーブルに、クラウド アプリごとの一覧を示します。アプリ コネクタでサポートされている機能は次のとおりです:
注:
すべてのアプリ コネクタがすべての機能をサポートしているわけではないため、一部の行が空の場合があります。
ユーザーとアクティビティ
| アプリ | アカウントの一覧表示 | グループの一覧表示 | 特権の一覧表示 | ログオン アクティビティ | ユーザー アクティビティ | 管理アクティビティ |
|---|---|---|---|---|---|---|
| Asana | ✔ | ✔ | ✔ | |||
| Atlassian | ✔ | ✔ | ✔ | ✔ | ||
| AWS | ✔ | ✔ | 該当なし | ✔ | ||
| Azure | ✔ | ✔ | ✔ | ✔ | ||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | ||||||
| DocuSign | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | DocuSign Monitor でサポートされる | ||
| Dropbox | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Egnyte | ✔ | ✔ | ✔ | ✔ | ✔ | |
| GitHub | ✔ | ✔ | ✔ | ✔ | ||
| GCP | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | 件名 Google ワークスペース接続 | ✔ | ✔ |
| Google Workspace | ✔ | ✔ | ✔ | ✔ | ✔ - Google Business または Enterprise が必要です | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Miro | ✔ | ✔ | ✔ | |||
| Mural | ✔ | ✔ | ✔ | |||
| NetDocuments | ✔ | ✔ | ✔ | ✔ | ||
| Okta | ✔ | プロバイダーではサポートされていません | ✔ | ✔ | ✔ | |
| OneLogin | ✔ | ✔ | ✔ | ✔ | ✔ | |
| ServiceNow | ✔ | ✔ | ✔ | ✔ | 一部 | 一部 |
| Salesforce | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる | Salesforce Shield でサポートされる |
| Slack | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Smartsheet | ✔ | ✔ | ✔ | ✔ | ||
| Webex | ✔ | ✔ | ✔ | プロバイダーではサポートされていません | ||
| WorkDay | ✔ | プロバイダーではサポートされていません | プロバイダーではサポートされていません | ✔ | ✔ | プロバイダーではサポートされていません |
| Workplace by Meta | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zendesk | ✔ | ✔ | ✔ | ✔ | ✔ | |
| Zoom |
ユーザー、アプリ ガバナンス、セキュリティ構成の可視性
| アプリ | ユーザー ガバナンス | アプリのアクセス許可を表示する | アプリのアクセス許可を取り消す | SaaS セキュリティ体制管理 (SSPM) |
|---|---|---|---|---|
| Asana | ||||
| Atlassian | ✔ | |||
| AWS | 該当なし | 該当なし | ||
| Azure | プロバイダーではサポートされていません | |||
| Box | ✔ | プロバイダーではサポートされていません | ||
| Citrix ShareFile | ✔ | |||
| DocuSign | ✔ | |||
| Dropbox | ✔ | |||
| Egnyte | ||||
| GitHub | ✔ | ✔ | ||
| GCP | 件名 Google ワークスペース接続 | 該当なし | 該当なし | |
| Google Workspace | ✔ | ✔ | ✔ | ✔ |
| Microsoft 365 | ✔ | ✔ | ✔ | ✔ |
| Miro | ||||
| Mural | ||||
| NetDocuments | Preview | |||
| Okta | 該当なし | 該当なし | ✔ | |
| OneLogin | ||||
| ServiceNow | ✔ | |||
| Salesforce | ✔ | ✔ | ✔ | |
| Slack | ||||
| Smartsheet | ||||
| Webex | 該当なし | 該当なし | ||
| WorkDay | プロバイダーではサポートされていません | 該当なし | 該当なし | |
| Workplace by Meta | Preview | |||
| Zendesk | ✔ | |||
| Zoom | Preview |
情報保護
| アプリ | DLP - 定期的なバックログ スキャン | DLP - 凖リアルタイム スキャン | 制御の共有 | ファイル ガバナンス | Microsoft Purview Information Protection から秘密度ラベルを適用する |
|---|---|---|---|---|---|
| Asana | |||||
| Atlassian | |||||
| AWS | ✔ - S3 バケット検出のみ | ✔ | ✔ | 該当なし | |
| Azure | |||||
| Box | ✔ | ✔ | ✔ | ✔ | ✔ |
| Citrix ShareFile | |||||
| DocuSign | |||||
| Dropbox | ✔ | ✔ | ✔ | ✔ | |
| Egnyte | |||||
| GitHub | |||||
| GCP | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| Google Workspace | ✔ | ✔ - Google Business Enterprise が必要です | ✔ | ✔ | ✔ |
| Okta | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| Miro | |||||
| Mural | |||||
| NetDocuments | |||||
| Okta | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
| OneLogin | |||||
| ServiceNow | ✔ | ✔ | 該当なし | ||
| Salesforce | ✔ | ✔ | ✔ | ||
| Slack | |||||
| Smartsheet | |||||
| Webex | ✔ | ✔ | ✔ | ✔ | 該当なし |
| WorkDay | プロバイダーではサポートされていません | プロバイダーではサポートされていません | プロバイダーではサポートされていません | プロバイダーではサポートされていません | 該当なし |
| Workplace by Meta | |||||
| Zendesk | Preview | ||||
| Zoom |
前提条件
Microsoft 365 コネクタを使用する場合は、セキュリティに関する推奨事項を表示する各サービスのライセンスが必要です。 たとえば、Microsoft Forms の推奨事項を表示するには、Forms をサポートするライセンスが必要です。
一部のアプリでは、Defender for Cloud Appsがログを収集し、Defender for Cloud Apps コンソールへのアクセスを提供できるようにするために、リスト IP アドレスを許可することが必要になる場合があります。 詳細については、「ネットワーク要件」を参照してください。
注:
URL と IP アドレスが変更されたときに更新プログラムを取得するには、「 Microsoft 365 URL と IP アドレス範囲」で説明されているように RSS をサブスクライブします。
アプリ コネクタを有効にする
アプリ コネクタを初めて有効にするには、接続する特定のクラウド アプリの API 接続を構成します。 詳細な手順については、各アプリの個々のコネクタ ガイドを参照してください。
- Microsoft Defender ポータルにサインインします。
- [Cloud Apps>Connected apps] に移動します。
- [ アプリの接続] または [ 新しいコネクタの追加] を選択します。
- 接続するクラウド アプリを選択します。
- 対応するアプリ固有の API コネクタ ガイドの指示に従います。 これらの手順には、必要なアクセス許可と認証手順が含まれます。
各クラウド アプリには、サポートされている API に基づく独自の有効化プロセスがあります。
ExpressRoute
Defender for Cloud Apps は Azure にデプロイされ、ExpressRoute と完全に統合されています。 Defender for Cloud Apps アプリとのすべてのやり取りと、検出ログのアップロードなど、Defender for Cloud Apps に送信されるトラフィックは ExpressRoute 経由でルーティングされ、待機時間、パフォーマンス、セキュリティが向上します。 Microsoft ピアリングの詳細については、「ExpressRoute 回線とルーティング ドメイン」を参照してください。
アプリ コネクタを無効にする
注:
- アプリ コネクタを無効にする前に、コネクタを再度有効にする場合は、必要に応じて接続の詳細を使用できることを確認してください。
- これらの手順を使用して、条件付きアクセス アプリ制御アプリとセキュリティ構成アプリを無効にすることはできません。
接続されているアプリを無効にするには:
- [ 接続済みアプリ] に移動します。
- [ アプリ コネクタを無効にする] を選択します。
- [ アプリ コネクタ インスタンスを無効にする] を選択 して、アクションを確認します。
無効にすると、コネクタ インスタンスはコネクタからのデータの使用を停止します。
アプリ コネクタを再度有効にする
接続済みアプリを再度有効にするには:
- [ 接続済みアプリ] に移動します。
- [設定の編集] を選択します。 このアクションにより、コネクタを追加するプロセスが開始されます。
- 関連する API コネクタ ガイドの手順を使用してコネクタを追加します。 たとえば、GitHub を再度有効にする場合は、「GitHub Enterprise Cloud を接続してMicrosoft Defender for Cloud Appsする」の手順を使用します。
不足しているアクティビティのトラブルシューティング
アプリの接続後に予期されるアクティビティが表示されない場合は、「アプリを接続 した後にアクティビティが見つからない場合のトラブルシューティング」を参照してください。