Microsoft Entra ID でオンプレミス アプリケーションを使用してリアルタイム監視を行うには、Microsoft Defender for Cloud Apps を使用します。 Defender for Cloud Apps は、アプリの条件付きアクセス制御を使用して、条件付きアクセス ポリシーに基づいてセッションをリアルタイムで監視および制御します。 これらのポリシーを、Microsoft Entra ID でアプリケーション プロキシを使用するオンプレミス アプリケーションに適用します。
Defender for Cloud Apps で作成するポリシーの例を次に示します。
- アンマネージド デバイスの機密ドキュメントのダウンロードをブロックまたは保護する。
- 高リスク ユーザーがアプリケーションにサインオンするタイミングを監視し、セッション内からそのユーザーのアクションを記録する。 この情報を使用して、ユーザーの動作を分析することで、セッション ポリシーを適用する方法を判断します。
- クライアント証明書またはデバイスのコンプライアンスを使用して、アンマネージド デバイスからの特定のアプリケーションへのアクセスをブロックする。
- 非企業ネットワークからのユーザー セッションを制限します。 ご自身の企業ネットワークの外からアプリケーションにアクセスするユーザーには、制限付きアクセスを付与できます。 たとえば、この制限付きアクセスによって、ユーザーによる機密ドキュメントのダウンロードをブロックできます。
詳細については、「条件付きアクセス アプリ制御を使用してアプリMicrosoft Defender for Cloud Apps保護する」を参照してください。
要求事項
EMS E5 ライセンス、または Microsoft Entra ID P1 と Defender for Cloud Apps スタンドアロン。
オンプレミス アプリケーションでは、Kerberos の制約付き委任 (KCD) を使用する必要があります。
アプリケーション プロキシを使用するように Microsoft Entra ID を構成します。 アプリケーション プロキシの構成には、環境の準備とプライベート ネットワーク コネクタのインストールが含まれます。 チュートリアルについては、 Microsoft Entra ID のアプリケーション プロキシを介したリモート アクセス用のオンプレミス アプリケーションの追加に関するページを参照してください。
Microsoft Entra ID にオンプレミス アプリケーションを追加する
Microsoft Entra ID にオンプレミス アプリケーションを追加します。 クイックスタートについては、「Microsoft Entra ID にオンプレミス アプリを追加する」を参照してください。 アプリケーションを追加するときは、[オンプレミス アプリケーションの追加] ページで 2 つの設定 を 必ず設定して、Defender for Cloud Apps で動作するようにします。
- 事前認証: 「Microsoft Entra ID」を入力します。
- [Translate URLs in Application Body](アプリケーション本文の URL を変換する) : [はい] を選択します。
オンプレミスのアプリケーションをテストする
ご自身のアプリケーションを Microsoft Entra ID に追加したら、「アプリケーションをテストする」の手順を使ってテストするユーザーを追加し、サインオンをテストします。
アプリの条件付きアクセス制御をデプロイする
条件付きアクセスのアプリケーション制御を使用してご自身のアプリケーションを構成するには、Microsoft Entra アプリのアプリケーションの条件付きアクセス制御のデプロイに関する記事を参照してください。
アプリの条件付きアクセス制御をテストする
アプリケーションの条件付きアクセス制御を使って Microsoft Entra アプリケーションのデプロイをテストするには、Microsoft Entra アプリのデプロイのテストに関する記事の手順に従ってください。