私の会社ではマイクロソフト365(E5 ライセンス)。また、「Microsoft Defender Cloud App Catalog」を活用して、一部の「クラウド アプリ」へのアクセスをブロックしています。
しかし、実際には、ブロックされたクラウド アプリへのアクセスを必要とする人がいることが判明しました。これは、Defender の「デバイス グループ」を使用して実行できます。
残念ながら、1 つのエンドポイント デバイスは、1 つのデバイス グループのメンバーにしかなれません。それ以上でもそれ以下でもありません。。
その結果、私は次のように設定しました。
3 つのデバイス グループを作成したら、サイト A の「非承認」設定で、「CanA」および「CanAB」グループを除外しました。同様に、サイト B では、サイトの「非承認」設定から「CanB」および「CanAB」を除外しました。
すべてが期待どおりに正常に動作します。
しかし、同様の処理を必要とする 3 番目のサイトが存在することが判明しました。つまり、関係は次のようになります。
これは非常に複雑です。将来、4 番目のサイトで同じ処理が必要になった場合、グループの数が制御不能に増加することは言うまでもありません。
Microsoft 365 を活用して必要なものを提供するより良い方法はありますか?
(デバイスが複数のデバイス グループのメンバーになれる場合、もちろんこれは簡単に解決できます。しかし実際には、デバイスは 1 つのデバイス グループのメンバーにしかなれません。)
答え1
Microsoft Entra/Azure AD条件付きアクセスを使用することもできます。CA(条件付きアクセス)では、複数のグループを除外として追加できます。
編集/更新
アプリが存在しない場合は、手動でアプリを作成する必要があります
これは、アプリが存在するかどうかを確認し、存在しない場合はアプリを作成してポリシーを作成するPowerShellスクリプトです。
# Install the required module if not already installed
Install-Module -Name Az -Force -AllowClobber
# Connect to Azure AD
Connect-AzAccount
# Define variables
$appName = "TelegramWeb" # You can change this to a suitable name
$identifierUri = "https://web.telegram.org/"
$application = Get-AzADApplication -DisplayName $appName
# Check if the application exists
if (!$application) {
# Create the application
$application = New-AzADApplication -DisplayName $appName -IdentifierUris $identifierUri
}
# Get the application ID
$applicationId = $application.ApplicationId
# Create Conditional Access policy to block Telegram Web
New-AzAdPolicyConditionalAccessPolicy -Name "BlockTelegramWeb" -State "Enabled" -UsersAll $false -UsersIncludeGroups @("Group1", "Group2") -ApplicationsIncludeApplications $applicationId -GrantControlsIncludeGrantControls @("BlockAccess") -SessionControlsIncludeSessionControls @("UseConditionalAccessAppControl") -AccessControlsIncludeAccessControls @("Block")