マイクロソフトは、クラウド アプリのセキュリティのためのアプリのガバナンスのプレビューを起動します。

マイクロソフトは、クラウド アプリのセキュリティのためのアプリのガバナンスのプレビューを起動します。

グラフベースのアプリへのガバナンスの適用

7月中旬、マイクロソフトは、プレビューを導入しました。 アプリガバナンスMicrosoft 365 クラウド アプリ セキュリティ (MCAS) 用のアドオンで、新機能を “Microsoft Graph API を介して Microsoft 365 データにアクセスする OAuth 対応アプリ用に設計されたセキュリティおよびポリシー管理機能」

テナントが時間の経過とともにグラフ対応アプリのコレクションを蓄積できることは間違いありません。アプリは、マイクロソフト、ISV、およびビジネス アプリのラインから来る。確かに グラフ API と対話するために記述する任意の PowerShell スクリプト Azure AD に登録されているアプリに付与された同意を得て、そのアクセス許可を取得します。最終的な結果は、何百もの登録されたアプリで終わる可能性があり、その一部はGraphのアクセス許可を持ち、そのうちのいくつかはあまり知らないかもしれません。アプリ ガバナンスは、Azure AD および MCAS から取得した情報を活用して、これらのアプリに対して構造化された管理フレームワークを提供することを目的としています。

マイクロソフトの調査は、明らかに 攻撃者は Graph ベースのアプリに不正な同意付与を使用する データを抽出して悪用する。組織では、時間の経過とと同じ管理にグラフ ベースのアプリが増える可能性を考えると、管理者はテナントでのアプリの使用状況を理解することが重要です。残念ながら、アプリの使用状況を確認して分析する必要性は、多くの場合、タスクリストに落ち、これはアプリガバナンスアドオンが終了しようとする穴です。

MCAS の必要性

MCAS は、Office 365 プランには含まれていません。Office 365 E5 には、本格的な MCAS のカットダウン バージョンである Office 365 クラウド アプリ セキュリティ (OCAS) が含まれています。どちらも、ユーザーとアプリのアクティビティから収集されたデータに基づいて動作しますが、 MCAS はより多くの機能を提供します より多くのアプリをカバーしています。この喜びのために、テナントは MCAS のライセンスに対してより多くの費用を支払うMicrosoft 365 E5、エンタープライズ モビリティおよびセキュリティ E5、または MCAS をカバーするその他のライセンスのいずれかに既に投資していない限り。OCAS では動作しない新しいアドオンを使用するには、MCAS が必要です。

幸いにも、マイクロソフトは組織に MCAS の 30 日間のトライアルを実行する機会を提供します。 サービスの購入 Microsoft 365 管理センターのセクション。MCASトライアルを開始した後、 適切な管理者ロールを持つアカウントに一部のライセンスを割り当てるを選択すると、アドオンの試用版を開始できます。不思議なことに、アドオンは130日間のトライアルを可能にし、これは合理的な期間にわたってアプリの使用状況データをキャプチャして分析したいという要望に起因する可能性があります。もちろん、両方のトライアルにサインアップすると、MCAS は 30 日後に期限切れになり、その後アドオンを使用できなくなります。

アプリガバナンスの使用

アプリガバナンスは、 マイクロソフト 365 管理センター.アカウントがライセンスされていない場合、またはアカウントの 1 つを保持していない場合 必要なコンプライアンスロールページにアクセスしようとすると、この不幸なニュースが伝えられるでしょう。ライセンスを受けた管理者は、テナント内のアプリの状況のプレビューを参照します (図 1)。

アプリガバナンスの概要
図 1: アプリガバナンスの概要

私は最近、に基づいてアプリの監査を受けていた Azure AD からアプリ データを取得し、マイクロソフト リストを使用してデータを確認するを使用すると、以前よりもテナントに存在するアプリが少なくなります。データセットを確認すると、無効または削除できる追加のアプリがいくつか見つかりました。アプリのガバナンスからプロパティを表示することで、アプリを無効にすることができます。削除するには、Azure AD 管理センターを使用する必要があります。無効にすることは、ビジネス ケースが存在することを報告したユーザーがビジネス ケースが存在することを報告した場合に、問題の可能性のあるアプリを簡単に有効にできるため、問題の可能性のあるアプリを削除する最初のステップです。

テナントでは、アプリ ガバナンスによって 33 の高い特権アプリと 13 の過剰特権アプリが検出されました。これらのカテゴリに関するマイクロソフトの定義は次のとおりです。

  • 高い特権:アプリがデータにアクセスしたり、組織のキー設定を変更したりすることを許可する Graph アクセス許可のアプリに同意が付与されました。
  • 過大特権: アプリが使用していない Graph 権限のアプリに同意が与えられました。

アプリが特定のカテゴリに分類される理由を理解するために、アプリの詳細を調べるには、 アプリ アプリの一覧を参照して、アプリのプロパティを選択して表示します (図 2)。

グラフ対応アプリのセットの参照
図 2: グラフ対応アプリのセットを参照する

ご覧のとおり、ポータルには、表示されるアプリのセットを制限するフィルターがいくつか用意されています。のセット使用可能なフィルターは、無効なアプリを表示するために 1 つを逃します。つまり、無効なアプリを見つける必要がある場合、アプリが誤って無効にされた場合に再び有効にするには、無効なアプリの名前を知っているか、適切なアプリを見つけるために多くのチェックを行う必要があります。

プロービング権限

Mmany アプリはユーザー情報を読み取るため、高い特権カテゴリに分類されます。たとえば、Microsoft Ignite 会議の参加者が登録するために使用するアプリには、ユーザーの電子メールとプロファイルを表示する権限があります。ISV がテナント データの読み取りと報告を行うために作成したアプリは、ディレクトリにアクセスする必要があり、攻撃者のアプリもアクセス許可を使用してターゲットを見つけるため、高い特権のアクセス許可としてフラグが設定されます。マイクロソフト独自の情報バリアアプリでさえ、高い特権としてフラグが立てられています。 ディレクトリ.書き換え.すべて そして グループ.書き換え.すべて 権限。常に、アプリが何を行うかのコンテキストを理解することは、アクセス許可が必要な理由を理解するために必要です。

アプリ ガバナンスにより、テナント管理者は、過剰特権アプリや高い特権アプリの作成を監視するポリシーを作成して、チェックを自動化できます。この機能は、Microsoft 365 コンプライアンス センターで利用できる他のアラート ポリシーと同様に機能しますが、入力データはアクションではなくアプリに重点を置いています。図 1 に示すように、ポリシーは、条件に違反する新しいアプリにすばやくフラグを設定します。しかし、上記のように、問題が本当に存在するかどうかを把握するためにアプリをチェックする必要があります。

許可グリッチ

アドオンはプレビューなので、不具合が予想されます。たとえば、アプリガバナンスは、サポート用に書かれたアプリにフラグを立てました 組織の連絡先を新しいユーザーのメールボックスに追加する 特権過剰として。アプリの詳細を調べた場合(図3)、未使用の権限は 連絡先.読み取り書き込み.これは、メールボックスに新しい連絡先レコードを書き込むために必要な正確なアクセス許可であるため、奇妙です。

過剰特権としてマークされたアプリの詳細
図 3: 過剰特権としてマークされたアプリの詳細

アプリの詳細とアクセス許可とは別に、アプリガバナンスは、使用状況とユーザーに関するデータを表示することを約束します。最初にユーザーを取って、私はこの情報は非常に役に立たないと思った。図 4 に示す情報は、同意されたユーザーが 237 人存在することを示しています (Azure AD アカウントと、アプリに付与された同意が対象データです)。この数値には、管理者が組織全体のアプリに同意を与えたため、テナントとゲストアカウントの両方と結果が含まれます(個々のアカウントに同意が与えられた場合は、ここに記載されています)。5 人の優先ユーザは、次のようにマークされているユーザーです。 優先アカウント.優先度の高いアカウント(自分を含む)には、アプリを使用してアップロードまたはダウンロードされたデータの痕跡はありませんでした。アプリがマイクロソフトのアプリであることを考えると グラフエクスプローラグラフ API クエリをほぼ毎日テストするために使用する、これは驚くべきものでした。

アプリで報告されたユーザー データ
図 4: アプリで報告されるユーザー データ

ユーザーが利用できるデータに失望した後、私は、あまり希望を持ちませんでした。 [使用法 (ベータ版)]タブ.そして、私の期待は、正確に何もここに現れとして満たされました。代わりに、アプリガバナンスは、データが存在しなくなったことを私に知らせました。まあ、それはプレビューです。

DIYアプリガバナンス

前述のように、実行することは比較的簡単です。 マイクロソフト 365 グラフ対応アプリの DIY 監査.テナントで使用されるアプリに関する自家的な知識は、MCAS では提供できない利点ですが、その知識を活用するには、アプリ インベントリの取得、改良、理解、および体系的なチェックを続けるために必要な作業が必要です。

アプリ ガバナンスは、ポリシーベースの管理を含め、保持するアクセス許可に基づいてアプリを分類し、アプリの使用状況に関するいくつかの洞察を提供することで、簡単な監査を拡張します。まだすべてのことを意味するプレビューですが、組織に MCAS がある場合、アドオンは便利な機能強化です。それ以下の場合、Graph 対応アプリでのアクセス許可の付与と使用を監視する必要は本当に必要ですが、目的を達成するために独自の方法を構築できる場合があります。


Microsoft 365 エコシステム全体の開発に関する最新情報を入手するには、 IT 担当者向け Office 365 電子書籍。私たちは、読者が技術を理解していることを確認するために研究を行います。


未分類

Posted by admin