ロールベースのアクセス制御を使用してポータル アクセスを管理する
注:
Microsoft Defender XDR プレビュー プログラムを実行している場合は、新しい Microsoft Defender 365 統合ロールベースのアクセス制御 (RBAC) モデルを体験できます。 詳細については、「 Microsoft Defender 365 統合ロールベースのアクセス制御 (RBAC)」を参照してください。
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Entra ID
- Office 365
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
ロールベースのアクセス制御 (RBAC) を使用して、セキュリティ運用チーム内にロールとグループを作成して、ポータルへの適切なアクセス権を付与できます。 作成したロールとグループに基づいて、ポータルへのアクセス権を持つユーザーが表示および実行できる操作をきめ細かく制御できます。
重要
Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
大規模な geo 分散セキュリティ運用チームは、通常、セキュリティ ポータルへのアクセスを割り当てて承認するために、階層ベースのモデルを採用します。 一般的なレベルには、次の 3 つのレベルがあります。
| 階層 | 説明 |
|---|---|
| 階層 1 | ローカル セキュリティ運用チーム / IT チーム このチームは通常、位置情報に含まれるアラートをトリアージして調査し、アクティブな修復が必要な場合は階層 2 にエスカレートします。 |
| 階層 2 | 地域のセキュリティ運用チーム このチームは、リージョンのすべてのデバイスを確認し、修復アクションを実行できます。 |
| 階層 3 | グローバル セキュリティ運用チーム このチームはセキュリティの専門家で構成され、ポータルからすべてのアクションを表示および実行する権限を与えられます。 |
注:
階層 0 の資産については、「セキュリティ管理者向けの Privileged Identity Management」を 参照して、Microsoft Defender for Endpoint と Microsoft Defender XDR のより詳細な制御を提供します。
Defender for Endpoint RBAC は、選択した階層またはロールベースのモデルをサポートするように設計されており、表示できるロール、アクセスできるデバイス、実行できるアクションをきめ細かく制御できます。 RBAC フレームワークは、次のコントロールを中心としています。
- 特定のアクションを実行できるユーザーを制御する
- カスタム ロールを作成し、アクセスできる Defender for Endpoint 機能を細分性で制御します。
- 特定のデバイス グループまたはグループに関する情報を表示できるユーザーを制御する
名前、タグ、ドメインなどの特定の条件でデバイス グループを作成し、特定の Microsoft Entra ユーザー グループを使用してロール アクセス権を付与します。
注:
デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。
ロールベースのアクセスを実装するには、管理者ロールを定義し、対応するアクセス許可を割り当て、ロールに割り当てられた Microsoft Entra ユーザー グループを割り当てる必要があります。
開始する前に
RBAC を使用する前に、アクセス許可を付与できるロールと、RBAC を有効にした場合の結果を理解しておくことが重要です。
警告
この機能を有効にする前に、Microsoft Entra ID にグローバル管理者ロールまたはセキュリティ管理者ロールがあり、Microsoft Entra グループがポータルからロックアウトされるリスクを軽減する準備ができていることが重要です。
Microsoft Defender ポータルに初めてサインインすると、フル アクセスまたは読み取り専用アクセス権が付与されます。 Microsoft Entra ID でセキュリティ管理者ロールまたはグローバル管理者ロールを持つユーザーには、フル アクセス権が付与されます。 読み取り専用アクセス権は、Microsoft Entra ID のセキュリティ閲覧者ロールを持つユーザーに付与されます。
Defender for Endpoint グローバル管理者ロールを持つユーザーは、デバイス グループの関連付けと Microsoft Entra ユーザー グループの割り当てに関係なく、すべてのデバイスに無制限にアクセスできます。
警告
最初は、Microsoft Entra グローバル管理者またはセキュリティ管理者権限を持つユーザーのみが、Microsoft Defender ポータルでロールを作成して割り当てることができます。そのため、Microsoft Entra ID で適切なグループを準備することが重要です。
ロールベースのアクセス制御を有効にすると、読み取り専用アクセス許可を持つユーザー (たとえば、Microsoft Entra Security 閲覧者ロールに割り当てられているユーザー) は、ロールに割り当てられるまでアクセスが失われます。
管理者権限を持つユーザーには、完全なアクセス許可を持つ既定の組み込み Defender for Endpoint グローバル管理者ロールが自動的に割り当てられます。 RBAC の使用をオプトインした後、Microsoft Entra グローバル管理者またはセキュリティ管理者ではない追加のユーザーを Defender for Endpoint グローバル管理者ロールに割り当てることができます。
RBAC の使用をオプトインした後は、ポータルに初めてログインしたときと同様に、初期ロールに戻すことはできません。
関連トピック
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示