<p><!--META { "title": "Microsoft Defender for Cloud Apps 活用ガイド", "primary_category": "クラウド>Azure", "secondary_categories": ["セキュリティ", "ID管理", "CASB"], "tags": ["MicrosoftDefenderforCloudApps", "MDCA", "EntraID", "ConditionalAccess", "CASB", "CloudSecurity"], "summary": "Microsoft Defender for Cloud Apps (MDCA)のアーキテクチャから設定、運用、セキュリティ、コスト最適化、落とし穴までをクラウドアーキテクト視点で解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Microsoft Defender for Cloud Apps (MDCA)の活用ガイド！アーキテクチャ、設定、運用、セキュリティ、コスト、落とし穴まで網羅。クラウドアプリのセキュリティを強化しましょう。 #Azure #MDCA #CloudSecurity","hashtags":["#Azure","#MDCA","#CloudSecurity"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/defender-cloud-apps/what-is-defender-for-cloud-apps"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft Defender for Cloud Apps 活用ガイド</h1> <p>Microsoft Defender for Cloud Apps（MDCA）は、クラウドサービスへのアクセスを可視化し、制御するCloud Access Security Broker (CASB) ソリューションです。組織がクラウドアプリケーションを安全に利用し、コンプライアンスを維持するための重要なツールとなります。本ガイドでは、クラウドアーキテクトの視点から、MDCAのアーキテクチャ、設定手順、運用監視、セキュリティ、コスト最適化、および潜在的な落とし穴について解説します。</p> <h2 class="wp-block-heading">1. アーキテクチャ</h2> <p>MDCAは、ユーザー、クラウドアプリケーション、およびデータフローの間に位置し、リアルタイムおよびAPIベースの可視性と制御を提供します。主要なコンポーネントと統合点は以下の通りです。</p> <h3 class="wp-block-heading">1.1. 主要コンポーネント</h3> <ul class="wp-block-list"> <li><p><strong>Cloud Discovery</strong>: 組織内で使用されているクラウドアプリを特定し、シャドーITを検出します。ファイアウォールやプロキシのトラフィックログを収集・分析することで、リスクの高いアプリや許可されていないアプリを可視化します。</p></li> <li><p><strong>Conditional Access App Control (CAAC)</strong>: Microsoft Entra Conditional Accessと連携し、リアルタイムでクラウドアプリへのユーザーセッションを監視・制御します。MDCAはリバースプロキシとして機能し、ダウンロードのブロック、アップロードの保護、セッションの強制終了などのポリシーを適用します。</p></li> <li><p><strong>App Connectors</strong>: 主要なSaaSアプリケーション（Microsoft 365, Salesforce, Boxなど）とAPIで直接統合し、アプリ内のデータ、ファイル、アクティビティに対する詳細な可視性と制御を提供します。脅威検出、データ漏洩防止（DLP）、ガバナンスアクションを実行します。</p></li> <li><p><strong>SaaS Security Posture Management (SSPM)</strong>: 接続されたSaaSアプリのセキュリティ構成を評価し、ベストプラクティスからの逸脱を特定して推奨事項を提供します。</p></li> </ul> <h3 class="wp-block-heading">1.2. 統合点</h3> <ul class="wp-block-list"> <li><p><strong>Microsoft Entra ID</strong>: ユーザー認証、シングルサインオン (SSO)、条件付きアクセスポリシーと連携し、IDベースのセキュリティを強化します。CAACはこの統合に不可欠です。</p></li> <li><p><strong>Microsoft 365 Defender</strong>: MDCAはMicrosoft 365 Defenderポータルに統合され、他のDefender製品（Defender for Endpoint, Identity, Office 365など）と脅威インテリジェンスを共有し、統合されたセキュリティ運用を提供します。</p></li> <li><p><strong>SIEM/SOAR</strong>: Azure Sentinel (Microsoft Sentinel) などのSIEMソリューションや、SOARプラットフォームと連携し、ログ収集、アラート管理、自動応答を可能にします。</p></li> </ul> <p>以下に、MDCAの主要なアーキテクチャ要素とデータフローを示すフローチャートを示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart TD subgraph User Access Flow User["ユーザー"] -->|アクセスを試行| EntraID["Microsoft Entra ID"] EntraID -->|条件付きアクセスポリシー評価| ConditionalAccess("条件付きアクセス") ConditionalAccess --CASBセッション制御有効--> MDCAProxy["MDCA Conditional Access App Control(\"リバースプロキシ\")"] MDCAProxy -->|セッションを監視・制御| SanctionedApp["承認済みクラウドアプリ"] User --許可された場合--> SanctionedApp end subgraph API Integration & Discovery MDCA["Microsoft Defender for Cloud Apps"] MDCA -->|APIコネクタ経由でデータ収集・制御| SanctionedApp CloudDiscovery["MDCA Cloud Discovery(\"ログコレクター\")"] -->|トラフィックログを処理| MDCA FirewallProxy["ファイアウォール/プロキシ"] -->|ログ出力| CloudDiscovery MDCA -->|シャドーITを検出| UnsanctionedApp["未承認クラウドアプリ"] end subgraph Security Operations & Intelligence MDCA -->|アラート・イベントを転送| M365D["Microsoft 365 Defender ポータル"] MDCA -->|ログ・アラートを転送| SIEM_SOAR["SIEM/SOAR(\"例: Microsoft Sentinel\")"] M365D -->|統合された脅威管理| SecurityAdmin["セキュリティ管理者"] SIEM_SOAR -->|監視・自動応答| SecurityAdmin end style SanctionedApp fill:#DDEBF7,stroke:#3182CE,stroke-width:2px style UnsanctionedApp fill:#FDE0DF,stroke:#E53E3E,stroke-width:2px style MDCAProxy fill:#E6FFFA,stroke:#38A169,stroke-width:2px </pre></div> <p>[参考: Microsoft Learn – Defender for Cloud Apps のアーキテクチャ (2024年4月22日更新)]</p> <h2 class="wp-block-heading">2. 設定手順</h2> <p>MDCAの導入は、まず環境の可視化から始め、段階的に制御を強化していくのが一般的です。</p> <h3 class="wp-block-heading">2.1. Cloud Discovery の有効化</h3> <ol class="wp-block-list"> <li><p><strong>ログコレクターのデプロイ</strong>: ネットワーク上のファイアウォールやプロキシからトラフィックログを収集するためのログコレクターを、専用のVM (Linux/Windows) 上にデプロイします。このプロセスは、2024年5月18日時点ではMicrosoft Defender for Cloud Appsポータルから詳細な手順が提供されています。</p></li> <li><p><strong>ログのアップロード</strong>: ログコレクターは定期的にログをMDCAにアップロードし、Cloud Discoveryが自動的にクラウドアプリを検出・分析します。</p></li> </ol> <h3 class="wp-block-heading">2.2. API コネクタの構成</h3> <ol class="wp-block-list"> <li><strong>アプリの接続</strong>: MDCAポータルから「接続アプリ」を選択し、Microsoft 365, SalesforceなどのSaaSアプリのAPIコネクタを設定します。各アプリに応じた管理者権限を持つアカウントでの認証が必要です。これにより、アプリ内のユーザーアクティビティ、ファイル、ガバナンスに関する詳細なデータがMDCAに連携されます。</li> </ol> <h3 class="wp-block-heading">2.3. Conditional Access App Control (CAAC) の設定</h3> <p>CAACを有効にするには、Microsoft Entra Conditional Accessポリシーを作成し、特定のクラウドアプリへのアクセスをMDCAプロキシ経由にルーティングする設定が必要です。</p> <p>以下のPowerShellスクリプトは、Microsoft Graph PowerShell SDKを使用して、すべてのクラウドアプリに対するブラウザアクセスをMDCAのセッション制御（<code>mcasSessionControl</code>）でルーティングする条件付きアクセスポリシーを作成する例です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 前提条件: Microsoft Graph PowerShell SDKのインストール # Install-Module Microsoft.Graph -Scope CurrentUser # Microsoft Graphへの接続（必要な権限: Policy.ReadWrite.ConditionalAccess） # 接続時にブラウザで認証が求められます。 # Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess" # 変数の定義 $policyDisplayName = "MDCA_SessionControl_for_AllCloudApps" $policyState = "enabled" # テスト時は "reportOnly" を使用することを強く推奨 $targetUsers = @("All") # "All" または特定のユーザーID/グループIDの配列 $targetApplications = @("All") # "All" または特定のアプリケーションIDの配列 (例: "00000003-0000-0ff1-ce00-000000000000" は Office 365) $sessionControlType = "mcasSessionControl" # MDCAプロキシにリダイレクトするためのタイプ # 条件付きアクセス ポリシーのボディを構築 $policyBody = @{ displayName = $policyDisplayName state = $policyState conditions = @{ users = @{ includedUsers = $targetUsers } applications = @{ includedApplications = $targetApplications } clientAppTypes = @("browser") # ブラウザからのアクセスにのみ適用 } grantControls = @{ operator = "OR" builtInControls = @("mfa") # 例: 多要素認証 (MFA) を必須にする } sessionControls = @{ cloudAppSecurity = @{ isEnabled = $true cloudAppSecurityType = $sessionControlType } } } # 条件付きアクセス ポリシーを作成 try { New-MgIdentityConditionalAccessPolicy -BodyParameter $policyBody Write-Host "条件付きアクセス ポリシー '$policyDisplayName' が正常に作成されました。" Write-Host "このポリシーは、指定されたアプリへのトラフィックをMicrosoft Defender for Cloud Apps経由でルーティングします。" Write-Host "より詳細なセッション制御ポリシー (例: ダウンロードのブロック) はMDCAポータルで設定する必要があります。" } catch { Write-Error "ポリシーの作成中にエラーが発生しました: $($_.Exception.Message)" } # 既存のポリシーを表示する例 (Policy.Read.ConditionalAccess 権限が必要) # Get-MgIdentityConditionalAccessPolicy | Format-Table DisplayName, State -AutoSize </pre> </div> <p><em>入力</em>: <code>policyDisplayName</code>, <code>policyState</code>, <code>targetUsers</code>, <code>targetApplications</code>, <code>sessionControlType</code> <em>出力</em>: 新規作成された条件付きアクセスポリシーの確認メッセージ、またはエラーメッセージ <em>前提</em>: Microsoft Graph PowerShell SDKがインストールされており、適切な権限でGraphに接続済みであること。 <em>計算量</em>: 単一のAPIコールであるため、非常に小さい。 <em>メモリ条件</em>: 少量。</p> <h3 class="wp-block-heading">2.4. ポリシーの作成</h3> <p>Cloud Discovery、APIコネクタ、CAACを通じて得られた可視性に基づき、以下のポリシーをMDCAポータルで設定します。</p> <ul class="wp-block-list"> <li><p><strong>アクセス ポリシー</strong>: 特定の条件（場所、デバイス、アプリなど）に基づいてアクセスをブロックまたは許可します。</p></li> <li><p><strong>セッション ポリシー</strong>: CAACが有効なセッションに対して、リアルタイムでダウンロードのブロック、特定コンテンツの検査、「保護されたアクティビティ」の監視などを実行します。</p></li> <li><p><strong>ファイル ポリシー</strong>: 特定のファイルタイプや機密情報を含むファイルの共有、ダウンロード、アップロードを監視・制御します。</p></li> <li><p><strong>異常検出ポリシー</strong>: ユーザー行動分析（UEBA）に基づき、不審な活動（異常なログイン場所、大量ダウンロードなど）を自動で検出してアラートを発します。</p></li> </ul> <h2 class="wp-block-heading">3. 運用監視</h2> <p>MDCAの導入後は、継続的な監視と運用の最適化が不可欠です。</p> <h3 class="wp-block-heading">3.1. 可観測性</h3> <ul class="wp-block-list"> <li><p><strong>Microsoft 365 Defender ポータル</strong>: MDCAのアラート、アクティビティログ、発見されたアプリの情報は、Microsoft 365 Defenderポータル（<code>security.microsoft.com</code>）に集約されます。これにより、セキュリティチームは統合されたビューで脅威を監視し、調査できます。</p></li> <li><p><strong>アラートとレポート</strong>: MDCAポータルでは、生成されたアラートの詳細、Cloud Discoveryレポート、アプリの使用状況レポートなどを確認できます。これらのレポートは、シャドーITの傾向分析やリスク評価に役立ちます。</p></li> </ul> <h3 class="wp-block-heading">3.2. ログ</h3> <p>MDCAのログは、Microsoft 365 Defenderポータルからアクセスできる他、Azure Sentinel (Microsoft Sentinel) や任意のSIEMソリューションにエクスポートできます。</p> <ul class="wp-block-list"> <li><p><strong>アクティビティログ</strong>: ユーザーがクラウドアプリで実行したすべてのアクション（ログイン、ファイルアクセス、アクティビティタイプなど）が記録されます。</p></li> <li><p><strong>アラートログ</strong>: MDCAによって検出されたすべてのセキュリティイベントやポリシー違反が記録されます。 これらのログは、セキュリティ監査、インシデント調査、コンプライアンス要件への対応に不可欠です。</p></li> </ul> <h3 class="wp-block-heading">3.3. SLA/バックアップ/DR</h3> <p>MDCAは、Microsoftのグローバルインフラストラクチャ上で稼働するため、サービスの可用性についてはMicrosoft 365/AzureのSLAに準拠します。</p> <ul class="wp-block-list"> <li><p><strong>SLA</strong>: Microsoft 365のSLAは通常99.9%以上の稼働率を保証しますが、MDCAの具体的なSLAは、Microsoft 365 E5などのライセンスの一部として提供されるため、その包括的なSLAに依存します。</p></li> <li><p><strong>バックアップ/DR</strong>: MDCA自体がサービスであるため、データ（ログ、構成など）のバックアップや災害復旧（DR）はMicrosoftによって管理されます。ユーザー側でMDCAの構成情報を直接バックアップする機能は提供されていませんが、構成はクラウド上に保存され、Geo冗長性などが確保されています。</p></li> </ul> <h2 class="wp-block-heading">4. セキュリティ</h2> <p>MDCAは、クラウドアプリケーションにおけるアイデンティティと権限境界を確立し、多層的なセキュリティを提供します。</p> <h3 class="wp-block-heading">4.1. アイデンティティと権限境界</h3> <ul class="wp-block-list"> <li><p><strong>Microsoft Entra ID</strong>: MDCAはMicrosoft Entra IDをアイデンティティプロバイダーとして利用します。すべてのユーザー認証はEntra IDを介して行われ、条件付きアクセスポリシーが適用されます。</p></li> <li><p><strong>ロールベースアクセス制御 (RBAC)</strong>: MDCAの管理アクセスは、Microsoft Entra IDの組み込みロールまたはカスタムロールを通じて制御されます。</p> <ul> <li><p><strong>Cloud App Security 管理者</strong>: MDCAポータルへの完全なアクセス権を持ち、すべての設定とデータを管理できます。</p></li> <li><p><strong>セキュリティ管理者</strong>: MDCAを含む複数のセキュリティ製品への管理アクセス権（完全または一部）を持ちます。MDCAでは読み取りアクセスと一部の管理アクションが可能です。</p></li> <li><p><strong>グローバル管理者</strong>: すべてのMicrosoft 365およびEntra IDサービスへの完全なアクセス権を持ち、MDCAも管理できます。 最小権限の原則に基づき、特定のタスクには「Cloud App Security 管理者」またはより制限されたカスタムロールを使用すべきです。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">4.2. データ保護とコンプライアンス</h3> <ul class="wp-block-list"> <li><p><strong>データ漏洩防止 (DLP)</strong>: MDCAのファイルポリシーとセッションポリシーは、機密情報がクラウドアプリを通じて不正に共有、ダウンロード、またはアップロードされるのを防ぎます。これにより、GDPR、HIPAA、PCI DSSなどのコンプライアンス要件への対応を支援します。</p></li> <li><p><strong>脅威防御</strong>: 異常検出ポリシーやマルウェア検知機能により、クラウドアプリ上の脅威（ランサムウェア、マルウェア、内部脅威）を特定し、阻止します。</p></li> <li><p><strong>SaaS Security Posture Management (SSPM)</strong>: 接続されたSaaSアプリのセキュリティ設定の不備を検出し、ベストプラクティスに基づいた修正を推奨することで、攻撃対象領域を減らします。</p></li> </ul> <h2 class="wp-block-heading">5. コスト</h2> <p>MDCAのコストは、主にライセンスモデルに基づきます。</p> <h3 class="wp-block-heading">5.1. ライセンスモデル</h3> <p>MDCAは通常、以下のいずれかのライセンスに含まれます。</p> <ul class="wp-block-list"> <li><p><strong>Microsoft 365 E5</strong>: 最も包括的なMicrosoft 365ライセンスで、MDCAの全機能が含まれます。</p></li> <li><p><strong>Enterprise Mobility + Security (EMS) E5</strong>: MDCAの他、Microsoft Entra ID P2, Azure Information Protection P2などのID・モビリティ管理機能が含まれます。</p></li> <li><p><strong>Microsoft Defender for Cloud Apps Standalone</strong>: 上記のスイートライセンスを持たない組織向けに、MDCAを単体で購入するオプションもあります。</p></li> </ul> <p>ライセンス費用はユーザー数に基づく月額または年額課金であり、特定の機能セットはライセンスレベルによって異なります。例えば、CAACはE5ライセンスでのみ利用可能です。</p> <h3 class="wp-block-heading">5.2. コスト最適化</h3> <p>MDCA自体の利用コストはライセンス費用が大部分を占めるため、以下の点に注目して最適化を図ります。</p> <ul class="wp-block-list"> <li><p><strong>適切なライセンスの選択</strong>: 必要な機能とユーザー数に応じて、最もコスト効率の良いライセンス（M365 E5, EMS E5, またはスタンドアロン）を選択します。不要な機能を含む高価なライセンスを避けることが重要です。</p></li> <li><p><strong>冗長なツールの排除</strong>: MDCAの機能が既存の他のCASBやDLPソリューションと重複する場合、MDCAに統合することで、複数の製品にかかるコストと管理オーバーヘッドを削減できます。</p></li> <li><p><strong>Cloud Discoveryの活用</strong>: シャドーITを可視化し、不要なクラウドサービスへの支出を特定することで、間接的なコスト削減に繋がります。</p></li> </ul> <p>MDCAの運用自体には、VMインスタンス（ログコレクター用）やSIEM（ログ取り込み、ストレージ）のコストが発生する可能性がありますが、これらはMDCAのライセンス費用に比べれば小さい傾向にあります。</p> <h2 class="wp-block-heading">6. 落とし穴と対策</h2> <p>MDCAの導入にはいくつかの課題があり、計画段階で考慮することが重要です。</p> <h3 class="wp-block-heading">6.1. ユーザーエクスペリエンスへの影響</h3> <ul class="wp-block-list"> <li><p><strong>CAACの遅延</strong>: Conditional Access App Controlがリバースプロキシとして機能するため、わずかながらアプリケーションへのアクセスに遅延が発生する可能性があります。特に、地理的にプロキシサーバーから離れたユーザーで顕著になる場合があります。</p> <ul> <li><strong>対策</strong>: 重要なビジネスアプリケーションや、パフォーマンスが重視されるアプリについては、CAACの適用範囲を慎重に検討し、必要に応じて除外ポリシーを設定する。</li> </ul></li> <li><p><strong>アプリケーションの非互換性</strong>: CAACは一部の複雑なWebアプリケーションや、特定のブラウザ拡張機能と互換性がない場合があります。</p> <ul> <li><strong>対策</strong>: 導入前に主要なビジネスアプリケーションで広範なテストを実施する。MDCAはブラウザベースのアクセスに最適化されているため、デスクトップクライアントからのアクセスはAPIコネクタでカバーする。</li> </ul></li> </ul> <h3 class="wp-block-heading">6.2. 誤検知とポリシーの複雑化</h3> <ul class="wp-block-list"> <li><p><strong>過剰なアラート</strong>: 初期設定でポリシーが厳しすぎると、正当なユーザーアクティビティがブロックされたり、大量の誤検知アラートが発生したりする可能性があります。</p> <ul> <li><strong>対策</strong>: ポリシーは「レポートのみ」モードで開始し、環境に合わせて徐々にチューニングする。異常検出ポリシーのしきい値を調整し、特定のユーザーやグループを除外する。</li> </ul></li> <li><p><strong>ポリシー管理の複雑性</strong>: クラウドアプリの種類やユーザー要件が増えるにつれて、ポリシーが複雑になり、管理が困難になることがあります。</p> <ul> <li><strong>対策</strong>: ポリシーはシンプルに保ち、共通のテンプレートを使用する。定期的にポリシーを見直し、古くなったものや不要なものを削除する。ロールベースのアクセス制御を厳格に適用し、ポリシー変更の影響を最小限に抑える。</li> </ul></li> </ul> <h3 class="wp-block-heading">6.3. シャドーITの完全な検出困難性</h3> <ul class="wp-block-list"> <li><p><strong>ログ収集の限界</strong>: Cloud Discoveryは、ファイアウォールやプロキシのログに依存するため、すべてのトラフィックを捕捉できない場合があります（例: ローカルネットワーク内の直接通信、VPN経由のトラフィックなど）。</p> <ul> <li><strong>対策</strong>: 複数のログソース（エンドポイントからのログなど）を統合し、包括的な可視性を確保する。Microsoft Defender for Endpointとの統合により、エンドポイントレベルでのシャドーIT検出を強化する。</li> </ul></li> </ul> <h2 class="wp-block-heading">7. まとめ</h2> <p>Microsoft Defender for Cloud Appsは、多岐にわたるクラウドアプリ環境において、包括的なセキュリティとコンプライアンスを実現するための強力なCASBソリューションです。そのアーキテクチャは、Microsoft Entra IDやMicrosoft 365 Defenderとの緊密な連携により、IDベースのセキュリティと統合された脅威管理を提供します。</p> <p>導入においては、Cloud Discoveryによる可視化から始め、APIコネクタやConditional Access App Controlを通じて段階的に制御を強化していくアプローチが推奨されます。運用フェーズでは、Microsoft 365 Defenderポータルを活用した継続的な監視とアラート対応、そしてポリシーの定期的な見直しが成功の鍵となります。コスト面では、適切なライセンスの選択と既存ツールの統合により最適化を図ることが可能です。</p> <p>MDCAの導入は、ユーザーエクスペリエンスへの影響や誤検知のリスクなどの落とし穴を伴う場合がありますが、これらは入念な計画、テスト、そして継続的なチューニングによって軽減できます。クラウドサービスの利用が不可欠となる現代において、MDCAを適切に活用することは、組織のクラウドセキュリティ体制を大幅に強化し、デジタル変革を安全に推進するための基盤となります。</p>

flowchart TD
    subgraph User Access Flow
        User["ユーザー"] -->|アクセスを試行| EntraID["Microsoft Entra ID"]
        EntraID -->|条件付きアクセスポリシー評価| ConditionalAccess("条件付きアクセス")
        ConditionalAccess --CASBセッション制御有効--> MDCAProxy["MDCA Conditional Access App Control(\"リバースプロキシ\")"]
        MDCAProxy -->|セッションを監視・制御| SanctionedApp["承認済みクラウドアプリ"]
        User --許可された場合--> SanctionedApp
    end

    subgraph API Integration & Discovery
        MDCA["Microsoft Defender for Cloud Apps"]
        MDCA -->|APIコネクタ経由でデータ収集・制御| SanctionedApp
        CloudDiscovery["MDCA Cloud Discovery(\"ログコレクター\")"] -->|トラフィックログを処理| MDCA
        FirewallProxy["ファイアウォール/プロキシ"] -->|ログ出力| CloudDiscovery
        MDCA -->|シャドーITを検出| UnsanctionedApp["未承認クラウドアプリ"]
    end

    subgraph Security Operations & Intelligence
        MDCA -->|アラート・イベントを転送| M365D["Microsoft 365 Defender ポータル"]
        MDCA -->|ログ・アラートを転送| SIEM_SOAR["SIEM/SOAR(\"例: Microsoft Sentinel\")"]
        M365D -->|統合された脅威管理| SecurityAdmin["セキュリティ管理者"]
        SIEM_SOAR -->|監視・自動応答| SecurityAdmin
    end

    style SanctionedApp fill:#DDEBF7,stroke:#3182CE,stroke-width:2px
    style UnsanctionedApp fill:#FDE0DF,stroke:#E53E3E,stroke-width:2px
    style MDCAProxy fill:#E6FFFA,stroke:#38A169,stroke-width:2px

# 前提条件: Microsoft Graph PowerShell SDKのインストール


# Install-Module Microsoft.Graph -Scope CurrentUser

# Microsoft Graphへの接続（必要な権限: Policy.ReadWrite.ConditionalAccess）


# 接続時にブラウザで認証が求められます。


# Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"

# 変数の定義

$policyDisplayName = "MDCA_SessionControl_for_AllCloudApps"
$policyState = "enabled" # テスト時は "reportOnly" を使用することを強く推奨
$targetUsers = @("All") # "All" または特定のユーザーID/グループIDの配列
$targetApplications = @("All") # "All" または特定のアプリケーションIDの配列 (例: "00000003-0000-0ff1-ce00-000000000000" は Office 365)
$sessionControlType = "mcasSessionControl" # MDCAプロキシにリダイレクトするためのタイプ

# 条件付きアクセス ポリシーのボディを構築

$policyBody = @{
    displayName = $policyDisplayName
    state = $policyState
    conditions = @{
        users = @{
            includedUsers = $targetUsers
        }
        applications = @{
            includedApplications = $targetApplications
        }
        clientAppTypes = @("browser") # ブラウザからのアクセスにのみ適用
    }
    grantControls = @{
        operator = "OR"
        builtInControls = @("mfa") # 例: 多要素認証 (MFA) を必須にする
    }
    sessionControls = @{
        cloudAppSecurity = @{
            isEnabled = $true
            cloudAppSecurityType = $sessionControlType
        }
    }
}

# 条件付きアクセス ポリシーを作成

try {
    New-MgIdentityConditionalAccessPolicy -BodyParameter $policyBody
    Write-Host "条件付きアクセス ポリシー '$policyDisplayName' が正常に作成されました。"
    Write-Host "このポリシーは、指定されたアプリへのトラフィックをMicrosoft Defender for Cloud Apps経由でルーティングします。"
    Write-Host "より詳細なセッション制御ポリシー (例: ダウンロードのブロック) はMDCAポータルで設定する必要があります。"
} catch {
    Write-Error "ポリシーの作成中にエラーが発生しました: $($_.Exception.Message)"
}

# 既存のポリシーを表示する例 (Policy.Read.ConditionalAccess 権限が必要)


# Get-MgIdentityConditionalAccessPolicy | Format-Table DisplayName, State -AutoSize