Microsoft Cloud App Securityのセッション制御を試してみる

by .

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに

こんにちは、パーソルプロセス&テクノロジーの木村です。
本記事では当社で提供させていただいているホワイトペーパー「ゼロトラストモデルの実現!Microsoft 365 で作る安全なリモートワーク環境」で紹介しているAzure Active Directory Premium P1とMicrosoft Cloud App Securityを使ったセッション制御について試していきたいと思います。

検証内容

  • 管理されていない端末からOffice 365を利用するときにはブラウザ経由のみを許可する
  • 上記の場合においてOffice 365からのデータのダウンロードをブロックする。またコピーや印刷のアクションをブロックする。

Azure ADの条件付きアクセスの設定

制御の対象となるアプリにOffice 365を設定します。

条件の項目でOffice 365へのアクセスはブラウザーのみとします。

管理されている端末はこのポリシーの対象外に入れます。

セッション設定の「アプリの条件付きアクセス制御を使う」で「カスタムポリシーを使用する」を選択してあげることでMicrosoft Cloud App Securityのポリシーと統合することができます。

補足 BYODケースでの Azure ADの条件付きアクセスの設定

デバイスをAzure ADに登録していないケースではTeamsのデスクトップクライアントなどからOffice 365にアクセスができてしまうので別の条件付きアクセスポリシーを作成します。

今回はWindows端末はブラウザー以外のアクセスをブロックする設定にしております。

Microsoft Cloud App Securityの設定

次にMicrosoft Cloud App Securityに移動します。
接続アプリの「アプリの条件付きアクセス制御 アプリ」にOffice 365の各種コンポーネントが一覧に表示されていることを確認します。

「ポリシーの作成」から「セッション ポリシー」を選択します。

ポリシーテンプレートから「リアルタイムのコンテンツ検査に基づいてダウンロードをブロックします」と「リアルタイムのコンテンツ検査に基づいて切り取り、コピー、貼り付けをブロックします」を選択します。

  • ファイルのダウンロードをブロックするポリシー

検査方法は「なし」を選択してポリシーを保存します。

  • 画面の切り取り/コピー/貼り付け/印刷をブロックするポリシー

アクティビティソースのフィルターで「Print」を追加選択します。

「コンテンツ検査を使用する」からチェックを外しポリシーを保存します。

動作確認

Microsoft Cloud App Securityのセッションポリシーを利用した条件付きアクセスを設定した状態でOffice 365にアクセスしてみます。リモートワークが推進された現在ではTeamsを利用するケースが多いと思いますのでTeamsにアクセスしてみます。
するとTeamsへのアクセスがMicrosoft Cloud App Securityによって監視されていることがわかります。(表示画面は規定のものになります。管理者側でカスタマイズすることが可能です。)

Teams上にアップロードをされているファイルをダウンロードするとMicrosoft Cloud App Securityのポリシー通りブロックされることを確認いたしました。

またTeams上にあるチャットのテキストをコピーしてみるとこちらもMicrosoft Cloud App Securityで設定したポリシー通りブロックされました。

Teams以外にもSharePoint OnlineやExchange Online、One Drive for Businessでもダウンロードやコピーなどのアクションをしてみましたが同様にブロックされることが確認することができました。

またTeamsデスクトップクライアントからアクセスすると補足の箇所で作った条件付きアクセスポリシーが動作してアプリからのアクセスをブロックすることができました。

最後に

Azure ADで接続元IP制御を運用しているお客様はたくさんいらっしゃると思いますがMicrosoft Cloud App Securityを併用するとBYODのシナリオであっても一定の利便性と安全性を保ってOffice 365を利用することができるようになります。
当社ではMicrosoft 365の機能を使って「いつでも・どこでも・どのデバイスからでも安全に業務ができる環境」を実現するための活用支援を提供しております。今回紹介させていただいたMicrosoft Cloud App SecurityだけでなくIntuneを使ったデバイス管理などのご支援もさせていただいておりますので、実現したいリモートワーク環境がございましたらお気軽にご相談ください。

いいね (この記事が参考になった人の数:1)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください