皆さんこんにちは。国井です。
いまのポストを書いているのは4月。4月と言えば入退社や人事異動が多くあり、リソースの棚卸なんかも必要とされるシーズンではないかと思います。特にリソースの棚卸系で注意して見なければならないのはOneDrive for Businessで共有範囲を間違えちゃったとか、共有が放置されてた、みたいなものだと思います。
そこで今日はMicrosoft Defender for Cloud Appsを使って不特定多数のユーザーからアクセスできるような共有設定をしている場合に、それを見つける方法について紹介します。
あ、ちなみに「弊社は全員アクセス可能なOneDrive for Businessの設定なんか禁止しています」という方にはなんの参考にもならない話です。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud AppsとはMicrosoft 365 E5に含まれるクラウドサービスの監視を行うサービスで、Microsoft 365も監視対象にすることができます。
Microsoft 365を監視対象にすると、Microsoft 365で行われた操作を監視してアラートを出したり、Microsoft 365の中に保存されているファイルの監視を行ったりできます。
このファイルの監視機能を使うと、こんな感じで共有設定の状況も確認できるのです。
アプリコネクタの設定
Microsoft Defender for Cloud Appsでクラウドサービスの監視を行う場合、最初に監視対象となるクラウドサービスを指定します。
設定はMicrosoft Defender XDR管理センターの設定 > クラウドアプリ > アプリコネクタからクラウドサービスを追加します。
ここではMicrosoft 365を追加しました。
さらに同じ設定のならびにある[ファイル]メニューからファイルの監視も行うように有効化しておきます。
共有の監視設定
事前設定ができたら次にポリシーを作成して監視を行います。ポリシーはMicrosoft Defender XDR管理センターのクラウドアプリ > ポリシーから作成します。
スクラッチで新規作成しても良いのですが、お手軽な方法としては[ポリシーテンプレート]から[承認されていない共有されたファイル]というテンプレートがあるので、これを利用して見つけていくのがよいと思います。
上の画面では見切れてしまっているのですが、画面右側にある+ボタンを押すとテンプレートからポリシーが作成できます。作成するとこんな感じの画面が出てくるので、ここからコラボレーターの条件を削除し、アクセスレベルの設定だけが条件となるように設定します。
一方、アクセスレベルの設定はOneDrive for Businessで共有設定をしたときにどの範囲まで共有したかによってアラートを出す・出さないを定義できます。公開を選択しておくと誰でもアクセス可能な共有を設定していた時に発見することができます。(ちなみに公開は誰でもアクセスできる共有、公開(インターネット)は検索エンジンで検索可能な共有です)
さらに画面をスクロールするとアラートの設定とアラート出力時のOneDrive for Businessの対応について設定できます。ここではアラートは出力するように設定しておくとMicrosoft Defender XDR管理センターのアラート一覧に出力されます。
さらにこれをメールで送ってほしければ下の画面の[アラートをメールで送信]で定義します。
それからOneDrive for Businessの対応については[非公開にする]を選択しておけば余計な公開設定をしている共有は共有取りやめとなります。
以上の設定で会社で誰かがやっちゃった全員アクセス可能なOneDrive for Businessの共有を発見・対応することができます。なお、アラートを出すとか大げさなことをしないで取り急ぎ結果だけ知りたいって方は条件設定画面の右側にある[結果の編集とプレビュー]ってボタンを押すとこんな感じで全公開されちゃってる共有一覧を参照できます。
ただ、共有一覧はポリシーを作ったらすぐに見つけられるわけではなく、タイムラグがだいぶ発生する点だけ理解しておいてください。
最後になりますが、この設定の応用編としては条件で最終変更日時を設定しておくことで
共有設定を行ったまま放置されちゃってるファイル・フォルダーを見つけることもできます。