こんにちは、吉田です!
昨今注目されているCASB製品のひとつ「Microsoft Defender for Cloud apps 」ではクラウドアプリに非承認タグを付与して、会社のデバイスで該当するブラウザやアプリへのアクセスをブロックする機能があります。今回はその機能を特定のデバイスのみに付与、または付与しない方法を解説していきたいと思います。
設定方法
それでは実際に設定していきましょう。 前提条件としてグローバル管理者又はセキュリティ管理者であることが必須です。
①デバイスグループの作成
まず対象となるデバイスのグループを作成します。Microsoft Defender(https://security.microsoft.com/)にアクセスし、[設定]→[エンドポイント]→[アクセス許可]→[デバイスグループ]をクリックします。
次にデバイスグループ名を記入し、修復レベルは[自動応答なし]を選択し[次へ]をクリックします。
次にデバイスを選択していきます。検索条件は4つあるのですが一番わかりやすい名前で検索していきます。
そして名前の演算子を選択します。これは文字列の一致方法です。
文字列の先頭に共通の文字列がある場合は[次で始まる]、文字列の末尾に共通の文字列がある場合は[次の値で終わる]、正確に1つの値を指定したい場合は[次の値と等しい]、文字列のどこかに共通の文字列がある場合は[次の値を含む]を選択します。選択したら[次へ]をクリックします。
今回は[次の値と等しい]を選択します。
次に[プレビューの表示]をクリックし、該当のデバイスが表示されるか確認します。
※最大10個のデバイスが表示されます。
確認できたら[次へ]をクリックします。
次にデバイスグループへアクセスできるユーザーグループを選択する画面になりますが、特に不要の方はそのまま[送信]→[続行]をクリックしてください。
今回は飛ばします。
一覧に戻ったらデバイスグループが作成されていることを確認し、[変更を適用]をクリックしたら完了です!
※デバイス数が0ですが反映に時間がかかる場合があります、しばらく待っても反映されない場合は検索条件を変更してみてください。
②プロファイルの作成
デバイスグループが作成出来たら、次はプロファイルを作成します。
[設定]>[クラウドアプリ]>[クラウド検出]>[アプリタグ]をクリックします。
次に[対象のプロファイル]>[+対象のプロファイル]をクリックします。
次にプロファイル名を入力します。プロファイル名を入れるときはデバイス名(共通の文字列)とエンティティ(含むor除外)を入れておくと個人的にわかりやすかったです。
[スコープ付きエンティティ]ですが、デバイスグループを対象にする時は[含む]、デバイスグループを対象外にするときは[除外]を選択します。
今回は該当のデバイスグループのみをブロックしたいので[含む]を選択しました。
デバイスグループの選択で先ほど作成したデバイスグループを選び[保存]をクリックします。
これでプロファイルの作成が完了しました。
③アプリに非承認タグを付与する
次にクラウドアプリに非承認タグを付与していきます。
[クラウドアプリ]>[クラウドアプリカタログ]で付与したいアプリを検索します。
今回は例として[Rakuten]に非承認タグを付与します。
該当アプリをクリックし、[承認解除]をクリックします。
次に[ブロック対象のグループを含める、または除外するプロファイルを選択する]にチェックを入れます。
そして先ほど②で作成したプロファイルを選択し[保存]をクリックします。
状態に[公認されていないアプリ]と表示されたら設定完了です。
実際の画面
それでは実際にデバイスでブロックされるか確認します。
ちなみに非承認タグの付与からアクセス制御が実施されるまでは最大3時間かかります。
対象デバイスが正常にブロックされていました。では他のデバイスはどうでしょうか。
他のデバイスはアクセスできました、プロファイルのデバイスのみ非承認タグが付与されていることが確認できました!
終わりに
いかがでしたでしょうか!デバイスグループごとに制御できることで更に非承認タグの機能が使いやすくなる方もいると思います。是非実践してみてはいかがでしょうか。
最後まで読んで頂きありがとうございました!
