条件付きアクセスのアプリの制限
皆さんこんにちは。国井です。
今日はいただいたご質問にお答えしていきます。
質問はこちら。
条件付きアクセスの[セッション]項目で[アプリによって適用される制限を使用する]と[アプリの条件付きアクセス制御を使う]を同時に設定したら、どちらが優先されるの?
設定画面で見たほうがわかりやすいかもしれないですね。
設定項目について
条件付きアクセスのセッションから設定可能な[アプリによって適用される制限を使用する]と[アプリの条件付きアクセス制御を使う]はそれぞれクラウドサービスにアクセスすること自体は許可するけれども、特定の操作は禁止するよというものです。
[アプリによって適用される制限を使用する]はSharePoint OnlineまたはExchange Onlineから設定可能で、SharePoint管理センター > ポリシー > アクセスの制御 > 管理されていないデバイスからアクセス制御レベルを設定しておくと、その設定が条件付きアクセス経由で適用されます。
一方、[アプリの条件付きアクセス制御を使う]はMicrosoft Defender for Cloud Appsから
セッションポリシーを利用して禁止したい操作を設定しておき、その設定を条件付きアクセスから適用させるというものです。
今回の検証その1
条件付きアクセスではSharePoint Onlineを対象のアプリとし、
[アプリによって適用される制限を使用する]と[アプリの条件付きアクセス制御を使う]の両方を有効にしておいて、
・SharePoint管理センターの設定:制限されたWebのみのアクセスをブロック
・Microsoft Defender for Cloud Appsセッションポリシー:コピペ禁止&印刷禁止
にしてみました。
この状態でSharePoint Onlineにアクセスしてみます。するとこんな感じの画面が出てきました。
この画面はセッションポリシーが適用されていることを表す画面になります。なるほど、セッションポリシーが適用されるのね。
そのまま続行してみます。ドキュメントライブラリにアクセスすると、、
画面上部にメッセージが表示されていることがわかります。これはSharePoint管理センターの設定によって制限がかかっていることがわかります。
つまりここまでの話をまとめると両方の設定が同時に適用されていることがわかります。
なので、SharePoint管理センターの設定によってダウンロードメニューがなくなっているし、
セッションポリシーの設定によって、ライブラリ内のファイルを開いて文字列をコピペすればブロックされることがわかります。
今回の検証その2
続いて、条件付きアクセスの設定はその1のままにしておいて、
・SharePoint管理センターの設定:アクセスをブロックする
・Microsoft Defender for Cloud Appsセッションポリシー:コピペ禁止&印刷禁止
にしてみました。
この状態でSharePoint Onlineにアクセスしてみると、その1と同じくセッションポリシーの警告が出てきました。
そして、その先に進むとSharePoint管理センターの設定によってサイトそのものにアクセスできなくなってしまいました。
以上の結果から、SharePoint管理センターの設定とMDAセッションポリシーを同時に設定すると、優先順位はなく両方同時に適用されることがわかります。
そもそもの話ですが、両方同時に設定して良いことなんてないので、どちらかに寄せて運用するようにしましょうってことです。
