Microsoft Defender XDR のロールベースのアクセス制御のカスタム ロール

  • [アーティクル]

注:

Microsoft Defender XDR ユーザーは、一元化されたアクセス許可管理ソリューションを利用して、さまざまな Microsoft セキュリティ ソリューション全体でユーザーのアクセスとアクセス許可を制御できるようになりました。 Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) の詳細について説明します。

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

適用対象:

  • Microsoft Defender XDR

Microsoft Defender XDR へのアクセスに使用できるロールには、次の 2 種類があります。

  • グローバル Microsoft Entra ロール
  • カスタム ロール

Microsoft Defender XDR へのアクセスは、Microsoft Entra ID でグローバル ロールを使用してまとめて管理できます

特定の製品データへのアクセスをより柔軟に制御する必要がある場合は、各セキュリティ ポータルを通じてカスタム ロールを作成して Microsoft Defender XDR アクセスを管理することもできます。

たとえば、Microsoft Defender for Endpoint を使用して作成されたカスタム ロールでは、Microsoft Defender ポータル内のエンドポイント データなど、関連する製品データへのアクセスが許可されます。 同様に、Microsoft Defender for Office 365 を通じて作成されたカスタム ロールでは、Microsoft Defender ポータル内の電子メール & コラボレーション データなど、関連する製品データへのアクセスが許可されます。

既存のカスタム ロールを持つユーザーは、追加の構成を必要とせず、既存のワークロードのアクセス許可に従って Microsoft Defender ポータルのデータにアクセスできます。

カスタム ロールの作成と管理

カスタム ロールとアクセス許可は、次の各セキュリティ ポータルを通じて作成および個別に管理できます。

個々のポータルを通じて作成された各カスタム ロールは、関連する製品ポータルのデータにアクセスできます。 たとえば、Microsoft Defender for Endpoint を使用して作成されたカスタム ロールでは、Defender for Endpoint データへのアクセスのみが許可されます。

ヒント

アクセス許可とロールには、ナビゲーション ウィンドウから [アクセス許可] & [ロール] を選択することで、Microsoft Defender ポータルからアクセスすることもできます。 Microsoft Defender for Cloud Apps へのアクセスは、Defender for Cloud Apps ポータルを介して管理され、Microsoft Defender for Identity へのアクセスも制御されます。 「Microsoft Defender for Cloud Apps」を参照してください

注:

Microsoft Defender for Cloud Apps で作成されたカスタム ロールは、Microsoft Defender for Identity データにもアクセスできます。 ユーザー グループ管理者またはアプリ/インスタンス管理者の Microsoft Defender for Cloud Apps ロールを持つユーザーは、Microsoft Defender ポータルを介して Microsoft Defender for Cloud Apps データにアクセスできません。

Microsoft Defender ポータルでアクセス許可とロールを管理する

アクセス許可とロールは、Microsoft Defender ポータルで管理することもできます。

  1. security.microsoft.com で Microsoft Defender ポータルにサインインします。
  2. ナビゲーション ウィンドウで、[アクセス許可と役割] を選択します。
  3. [ アクセス許可 ] ヘッダーで、[ロール] を選択 します

注:

これは、Defender for Office 365 と Defender for Endpoint にのみ適用されます。 他のワークロードへのアクセスは、関連するポータルで行う必要があります。

必要な役割と権限

次の表は、各ワークロードの各統合エクスペリエンスにアクセスするために必要なロールとアクセス許可の概要を示しています。 次の表で定義されているロールは、個々のポータルのカスタム ロールを参照し、同様に名前が付けられている場合でも、Microsoft Entra ID のグローバル ロールには接続されません。

注:

インシデント管理には、インシデントの一部であるすべての製品の管理権限が必要です。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

Microsoft Defender XDR ワークロード Defender for Endpoint には、次のいずれかのロールが必要です Defender for Office 365 には、次のいずれかの役割が必要です Defender for Cloud Apps には、次のいずれかのロールが必要です
調査データの表示:
  • [アラート] ページ
  • アラート キュー
  • インシデント
  • インシデント キュー
  • アクション センター
 データの表示 - セキュリティ操作
  • 表示専用 アラートの管理
  • 組織の構成
  • 監査ログ
  • 表示のみの監査ログ
  • セキュリティ閲覧者
  • セキュリティ管理者
  • 表示専用の受信者
  • グローバル管理者
  • セキュリティ管理者
  • コンプライアンス管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者
  • グローバル閲覧者
ハンティング データの表示、検索クエリと関数の保存、編集、削除 データの表示 - セキュリティ操作
  • セキュリティ閲覧者
  • セキュリティ管理者
  • 表示専用の受信者
  • グローバル管理者
  • セキュリティ管理者
  • コンプライアンス管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者
  • グローバル閲覧者
アラートとインシデントの管理 アラートの調査
  • アラートの管理
  • セキュリティ管理者
  • グローバル管理者
  • セキュリティ管理者
  • コンプライアンス管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者
アクション センターの修復 アクティブな修復アクション – セキュリティ操作 検索と消去
カスタム検出の設定 セキュリティ設定の管理
  • アラートの管理
  • セキュリティ管理者
  • グローバル管理者
  • セキュリティ管理者
  • コンプライアンス管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者
  • グローバル閲覧者
脅威の分析 アラートとインシデント データ:
  • データの表示 - セキュリティ操作
Defender 脆弱性管理の軽減策:
  • データの表示 - 脅威と脆弱性の管理
 アラートとインシデント データ:
  • 表示専用 アラートの管理
  • アラートの管理
  • 組織の構成
  • 監査ログ
  • 表示のみの監査ログ
  • セキュリティ閲覧者
  • セキュリティ管理者
  • 表示専用の受信者
メールの試行が防止されました。
  • セキュリティ閲覧者
  • セキュリティ管理者
  • 表示専用の受信者
 Defender for Cloud Apps または MDI ユーザーでは使用できません

たとえば、Microsoft Defender for Endpoint からハンティング データを表示するには、データ セキュリティ操作のアクセス許可を表示する必要があります。

同様に、Microsoft Defender for Office 365 からのハンティング データを表示するには、ユーザーには次のいずれかのロールが必要です。

  • データ セキュリティ操作を表示する
  • セキュリティ閲覧者
  • セキュリティ管理者
  • 表示専用の受信者

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。