多くのアプリでは、Microsoft Graph 以外の API を使用して Microsoft 365 やその他のリソースにアクセスします。 このようなアプリを可視化することで、アクセスする API など、これらのアプリに固有のリスクを特定して防御できます。その一部は、サポートと更新が制限される可能性があります。
アプリ ガバナンスは、Graph APIまたはその他の API にアクセスするかどうかに関係なく、Microsoft Entra IDに登録されている OAuth アプリを可視化します。 さらに、これらのアプリを監視し、準拠していない場合や疑わしい動作が表示された場合は自動的にアクションを実行できます。
次の方法で、新しい機能と拡張機能を使用して、organizationをより適切に保護できます。
- 強力なアプリ ガバナンスの分析情報と監視機能を使用して、OAuth アプリのカバレッジを強化します。
- Graph 以外の API またはレガシ API を使用して、アプリから脅威や異常に対して自動的にアラートを受け取ります。
- より多くのフィルター、列、およびプロパティを使用してアプリを調査するための強化されたエクスペリエンスを取得します。
Graph 以外の API を使用するアプリを特定する
Graph 以外の API にアクセスする Microsoft 365 アプリを表示するには:
- Microsoft Defender ポータルの [設定>Cloud アプリ>Apps ガバナンス] に移動します。
- [ Microsoft 365 ] タブを選択します
- API アクセス フィルターを開く
- 次のいずれかのオプションを選択します。
- Office 365 Exchange Online
- Office 365 SharePoint Online
- Windows Azure Active Directory
- その他の API
- [適用] を選択します。
アプリで使用される API を表示する
アプリが使用する API を表示するには:
[アプリ ガバナンス] ページで、調査するアプリを選択します。
アプリの詳細ウィンドウで、[ アクセス許可 ] タブを選択します。
[アクセス許可] タブには、Graph APIアクセス許可やGraph API以外のアクセス許可など、アプリに付与されたすべてのアクセス許可が一覧表示されます。
グラフ以外の API にアクセスするアプリのポリシーを作成する
Graph 以外の API にアクセスするアプリを監視してアクションを実行するアプリ ガバナンス ポリシーを作成します。
カスタム ポリシーを作成するか、既存のテンプレートを使用するかを決定できます。
[アプリ ガバナンス] ページで、[ポリシー] タブ を 選択します。
[+ ポリシーの作成] を選択します。
カスタム ポリシーを作成するには、[ カスタム ポリシー ] を選択し、必要に応じてポリシー設定を構成します。 非Graph APIアクセス許可ポリシー条件を選択して、Graph 以外の API にアクセスするアプリを特定して監視します。
テンプレートを使用するには、[使用状況] を選択し、[Graph API以外のアクセス許可を持つ新しいアプリ] テンプレートを選択します。
ポリシー設定を次のように構成します。
- ポリシーに名前と説明を付ける
- 重大度レベルを低、中、または高に設定します。
- ポリシーのスコープと条件を設定します。既定の設定を適用するか、ポリシーをカスタマイズすることができます。
- このポリシーの条件に一致するアプリに対して実行するアクションを選択します。 たとえば、アプリを無効にします。
- ポリシー アクションをアクティブまたは無効に設定します。