はじめに
アプリ ガバナンスは Azure Active Directory (Azure AD) に登録されている OAuth 対応アプリ用に設計されたセキュリティおよびポリシー管理機能です。今回はこちらで何ができるか確認していきます。(ほぼスクリーンショット集です)
従来はアドオン ライセンスが必要でしたが、2023/6/1 から E5 Security に含まれ、追加料金なしで利用可能になります。
有効化方法はこちら。
可視化と分析
ドキュメントの項目に従って確認していきます。まず Oauth アプリの可視化と分析の機能です。
アプリ
Azure AD のエンタープライズ アプリケーションのうち、何かしらのアクセス許可を持っているものが表示される模様。SAML 連携のみのエンタープライズ アプリやマネージド ID は表示されていない。
項目の説明
Graph APIのアクセス
Graph API に対して何らかのアクセス許可があるかを表示。いいえの場合は、WindowsDefenderATP の API アクセスなど、Graph API 以外の API アクセス許可を持っている。
アクセス許可の種類
アプリケーション / 委任 / 複合のいずれか。
同意の種類
管理者 / ユーザー
アクセス許可の種類がアプリケーションの場合は自動的に管理者になる。
特権レベル
各アクセス許可の特権レベルに応じて評価、1 つでも高があるとアプリとして高になる。
データ使用状況
そのアプリを経由して ExO、OneDrive、SharePoint、Teams に対してデータアクセスをした通信量を表示。
ユーザー
同意したユーザーを表示、優先アカウント=HVE (High Value Entity) らしいが、詳細よく分からず。
秘密度ラベル
そのアプリからアクセスした秘密度ラベル付きのファイル数がカウント。
アプリを無効にする
アプリに対してサインイン不可にする。
アプリにサインインが不可、サービス プリンシパルとしても利用不可になる。
アプリ ポリシー
Oauth アプリの状況に応じて、アラート出力や無効化の処理ができます。
既定で 15 ポリシーが定義済み。
範囲や条件がカスタマイズ可能。
ポリシーの作成
様々なテンプレートが使える。
カスタムで一から作ることも可能。
テンプレートにあるポリシー以外にも様々な条件が使える。複数条件も可能。
アクションで無効化ができる。
監査モードが使用可能。
アラート
ポリシー設定および脅威検知機能によって出力したアラートを確認できる。
アプリ ガバナンス個別ではなく、M365 Defender のインシデント・アラートページに集約されている。
出力したアラートの詳細。
ポリシー画面からアラート通知状況が確認可能。
脅威検出
ポリシーとは別に機械学習ベースの脅威検出ができる。ポリシーなどの詳細は確認・カスタマイズ不可。
Discussion