Microsoft Defender ポータルでのアクセス許可のMicrosoft Defender for Office 365
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft Entra IDのグローバル ロールを使用すると、すべての Microsoft 365 の機能に対するアクセス許可とアクセス権を管理できます。これには、Microsoft Defender for Office 365も含まれます。 ただし、アクセス許可と機能をDefender for Office 365のセキュリティ機能のみに制限する必要がある場合は、Microsoft Defender ポータルでEmail &コラボレーションのアクセス許可を割り当てることができます。
Microsoft Defender ポータルでDefender for Office 365アクセス許可を管理するには、[アクセス許可]、[>Email &コラボレーション ロール]、[ロール>ロール] の順に移動するか、直接https://security.microsoft.com/emailandcollabpermissionsに移動します。
Microsoft Entra IDのグローバル管理者*ロールのメンバーであるか、Defender for Office 365アクセス許可の Organization Management 役割グループのメンバーである必要があります。 具体的には、Defender for Office 365のロール管理ロールを使用すると、ユーザーはロール グループDefender for Office 365表示、作成、変更できます。 既定では、そのロールは Organization Management ロール グループ (および拡張機能ではグローバル管理者) にのみ割り当てられます。
- 一部のDefender for Office 365機能では、Exchange Onlineに追加のアクセス許可が必要です。 詳細については、「Exchange Online のアクセス許可」を参照してください。
- Microsoft Defender XDRには、独自の統合ロールベースのアクセス制御 (RBAC) があります。 このモデルは、管理者が異なるセキュリティ ソリューション全体でアクセス許可を制御できる 1 つの中央の場所で、1 つのアクセス許可管理エクスペリエンスを提供します。 これらのアクセス許可は、この記事で説明するアクセス許可とは異なります。 詳細については、「Microsoft Defender XDR のロールベースのアクセス制御 (RBAC)」を参照してください。
- Email &コラボレーションDefender XDR RBAC をアクティブ化した場合、https://security.microsoft.com/emailandcollabpermissionsのアクセス許可ページは Defender ポータルで使用できなくなります。
- Microsoft Purview コンプライアンス ポータルのアクセス許可の詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」 を参照してください。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
メンバー、役割、役割グループの関係
Microsoft Defender ポータルのDefender for Office 365アクセス許可は、ロールベースのアクセス制御 (RBAC) アクセス許可モデルに基づいています。 RBAC は、ほとんどの Microsoft 365 サービスで使用されているのと同じアクセス許可モデルであるため、これらのサービスのアクセス許可の構造に慣れている場合は、Microsoft Defender ポータルでアクセス許可を付与する必要があります。
役割は、一連のタスクを実行するアクセス許可を付与します。
ロール グループは、ユーザーがMicrosoft Defender ポータルでジョブを実行できるようにする一連のロールです。
Microsoft Defender ポータルのDefender for Office 365アクセス許可には、割り当てる必要がある最も一般的なタスクと関数の既定の役割グループが含まれています。 通常、個々のユーザーを既定の役割グループのメンバーとして追加することをお勧めします。
Microsoft Defender ポータルのロールとロール グループ
https://security.microsoft.com/securitypermissionsの Defender ポータルの [アクセス許可] ページでは、次の種類のロールとロール グループを使用できます。
Microsoft Entraロール: ロールと割り当てられたユーザーを表示できますが、Microsoft Defender ポータルで直接管理することはできません。 Microsoft Entraロールは、すべての Microsoft 365 サービスのアクセス許可を割り当てる中心的なロールです。
Email &コラボレーション ロール: これらの役割グループは、Microsoft Defender ポータルで直接表示および管理できます。 これらのアクセス許可は、Microsoft Defender ポータルとMicrosoft Purview コンプライアンス ポータルに固有です。 これらのアクセス許可は、他の Microsoft 365 ワークロードで必要なすべてのアクセス許可をカバーしているわけではありません。
![Microsoft Defender ポータルの [アクセス許可 & ロール] ページ](media/m365-sc-permissions-and-roles-page.png#lightbox)
Microsoft Defender ポータルでのロールのMicrosoft Entra
このセクションで説明するMicrosoft Entraロールは、Defender ポータル>Permissions>Microsoft Entra ID>Roles、または直接https://security.microsoft.com/aadpermissionsで使用できます。
ロールを選択すると、ロールとユーザー割り当ての説明を含む詳細ポップアップが開きます。 ただし、これらの割り当てを管理するには、ポップアップの下部にある [Microsoft Entra IDでメンバーの管理] を選択する必要があります。
詳細については、「Microsoft Entra ロールをユーザーに割り当てる」および「グローバル ロールを使用してMicrosoft Defender XDRへのアクセスMicrosoft Entra管理する」を参照してください。
| 役割 | 説明 |
|---|---|
| グローバル管理者 | Microsoft 365 サービスのすべての管理機能にアクセスできます。 他の管理者ロールを割り当てることができるのは全体管理者だけです。 詳細については、「グローバル管理者または会社の管理者」を参照してください。 |
| コンプライアンス データ管理者 | Microsoft 365 全体の組織のデータを追跡し、保護されていることを確認し、あらゆる問題を把握して分析しリスクを軽減する手伝いをします。 詳細については、「コンプライアンス データ管理者」を参照してください。 |
| コンプライアンス管理者 | 組織が規制要件を遵守し続けること、電子情報開示ケースを管理すること、および Microsoft 365 の使用場所、ID、アプリ全体のデータ ガバナンス ポリシーを維持します。 詳細については、「コンプライアンス管理者」を参照してください。 |
| セキュリティオペレーター | このロールを持つユーザーは、Microsoft 365 のユーザー、デバイス、コンテンツに対するアクティブな脅威を表示、調査、および対処します。 詳細については、「セキュリティ オペレーター」を参照してください。 |
| セキュリティ 閲覧者 | Microsoft 365 ユーザー、デバイス、コンテンツに対するアクティブな脅威を表示して調査しますが、(セキュリティ オペレーターとは異なり)、対応するアクセス許可がありません。 詳細については、「セキュリティ 閲覧者」を参照してください。 |
| セキュリティ管理者 | このロールを持つユーザーは、セキュリティ ポリシーを管理し、Microsoft 365 製品全体のセキュリティ分析とレポートを確認し、脅威の情勢を十分に把握し迅速に対処して、組織の全体的なセキュリティを制御します。 詳細については、「セキュリティ 管理者」を参照してください。 |
| グローバル リーダー | 読み取り専用バージョンの グローバル閲覧者 のロール。 Microsoft 365 のすべての設定と管理情報を表示します。 詳細については、「グローバル閲覧者」を参照してください。 |
| 攻撃シミュレーション管理者 | 攻撃シミュレーションの作成、シミュレーションの開始/スケジューリング、シミュレーション結果の確認のすべての側面を作成および管理します。 詳細については、「攻撃のシミュレーションの管理者」を参照してください。 |
| 攻撃ペイロード作成者 | 攻撃のペイロードを作成しますが、実際に起動することやスケジュールすることはしません。 詳細については、「攻撃のペイロードの作成者」を参照してください。 |
Microsoft Defender ポータルでのコラボレーション ロールのEmail &
Defender ポータルと Purview コンプライアンス ポータルでは、同じロール グループとロールを使用できます。
- Defender ポータル: アクセス許可>Email &コラボレーション ロール>ロール、または 直接https://security.microsoft.com/emailandcollabpermissions
- Purview コンプライアンス ポータル: ロール & Scopes>Permissions>Microsoft Purview ソリューション>Roles または 直接 https://compliance.microsoft.com/compliancecenterpermissions
これらの役割グループの詳細については、「Microsoft Defender XDRおよび Microsoft Purview コンプライアンス ポータルの役割と役割グループ」を参照してください。
注:
Microsoft Defender ポータルで使用できるDefender for Office 365データは、Microsoft Purview コンプライアンス ポータルで構成されているアダプティブ スコープの影響を受けません。 アダプティブ スコープの詳細については、「 アダプティブ スコープ」を参照してください。
Defender ポータルのEmail &コラボレーション ロール グループでは、次のアクションを使用できます。
- 役割グループの作成
- ロール グループをコピーする
- 役割グループのメンバーシップを変更する
- ロールの割り当てを変更する (カスタム ロール グループのみ)
- 役割グループを削除する (カスタム ロール グループのみ)
Microsoft Defender ポータルでEmail &コラボレーション ロール グループを作成する
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクセス許可>Email &コラボレーション ロール>Roles] に移動します。 または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。
[ アクセス許可 ] ページで、[
作成] を選択して、新しい役割グループ ウィザードを開始します。[ ロール グループに名前を付けます ] ページで、次の情報を入力します。
- [名前]: 役割グループの一意の名前を入力します。
- 説明: 役割グループの説明 (省略可能) を入力します。
[ 役割グループに名前を付 けます] ページが完了したら、[ 次へ] を選択します。
[ ロールの選択] ページで、[ロール の選択] を 選択します。
開 いた [ロールの選択] ポップアップで、ポップアップの上部にある [追加 ] を選択します。
開いた新しい [ ロールの選択] ポップアップで、1 つ以上のロールを選択します。 [名前] 列ヘッダーを選択してリストを名前で並べ替えるか、[
検索] ボックスを使用してロールを見つけます。追加する 1 つ以上のロールを選択したら、ポップアップの下部にある [ 追加 ] を選択します。
元の [ロールの選択] ポップアップに戻ると、追加したロールがページに一覧表示されます。 ロールをさらに追加するには、前の手順を繰り返します。 既に選択したロールは淡色表示されます。
ロールを削除するには、[ 削除] を選択します。 開いた新しい [ ロールの選択] ポップアップで、1 つ以上のロールを選択し、[削除] を選択 します。
元の [ ロールの選択] ポップアップが完了したら、[完了] を選択 します。
[ロールの 選択 ] ページに戻ると、[ 選択した ロール] セクションにロールが表示されます。
[ ロールの選択] ページが完了したら、[ 次へ] を選択します。
[ メンバーの選択] ページで、[メンバーの選択] を 選択します。
開いた [ メンバーの選択] ポップアップで、ポップアップの上部にある [追加] を選択します。
開いた新しい [メンバーの選択] ポップアップで、1 人以上のユーザーを選択します。 列ヘッダーを選択して名前またはEmailアドレスで一覧を並べ替えるか、[
検索] ボックスを使用してユーザーを検索します。追加するユーザーを 1 人以上選択したら、ポップアップの下部にある [ 追加 ] を選択します。
元の [メンバーの選択] ポップアップに戻ると、追加したメンバーがページに一覧表示されます。 さらにメンバーを追加するには、前の手順を繰り返します。 既に選択したメンバーは淡色表示されます。
メンバーを削除するには、[ 削除] を選択します。 開いた新しい [ メンバーの選択] ポップアップで、1 つ以上のメンバーを選択し、[削除] を選択 します。
元の [ ロールの選択] ポップアップが完了したら、[完了] を選択 します。
[メンバーの 選択 ] ページに戻ると、[ 選択したメンバー ] セクションにメンバーが表示されます。
[ メンバーの選択] ページが完了したら、[ 次へ] を選択します。
[設定の確認] ページ で、設定 を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。
[ 設定の確認 ] ページが完了したら、[ 役割グループの作成] を選択します。
[アクセス許可] ページに戻ると、新しいロール グループが一覧表示されます。
Microsoft Defender ポータルEmail &コラボレーション ロール グループをコピーする
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクセス許可>Email &コラボレーション ロール>Roles] に移動します。 または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。
[ アクセス許可 ] ページで、一覧から役割グループを選択します。 [名前] 列ヘッダーを使用してリストを名前で並べ替えたり、[
検索] ボックスを使用して役割グループを見つけます。開いた役割グループの詳細ポップアップで、ポップアップの上部にある [役割グループのコピー ] を選択します。
新しい役割グループの作成に関する説明に従って、 新しい役割グループ ウィザードが開きます。
新しい役割グループの既定の名前は 、 <序数の役割グループ名のコピーですが>変更することはできます。
ロールとメンバーには、コピーするロールの値が設定されますが、変更することはできます。
Microsoft Defender ポータルEmail &コラボレーション ロール グループのメンバーシップを変更する
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクセス許可>Email &コラボレーション ロール>Roles] に移動します。 または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。
[ アクセス許可 ] ページで、一覧から役割グループを選択します。 [名前] 列ヘッダーを使用してリストを名前で並べ替えたり、[
検索] ボックスを使用して役割グループを見つけます。開いた役割グループの詳細ポップアップで、次のいずれかの手順を実行します。
- ポップアップの上部にある [
編集ロール グループ ] を選択します。 開いた役割グループの編集ウィザードで、[メンバーの 選択 ] タブを選択します。 - ポップアップの [ メンバー ] セクションで、[編集] を選択 します。
- ポップアップの上部にある [
開いた役割グループの編集ウィザードの [ メンバーの選択 ] タブで、次のいずれかの手順を実行します。
- ロール グループのメンバーがない場合は、[メンバーの選択] を 選択します。
- 既存のロール グループ メンバーがある場合は、[編集] を選択します
開いた [ メンバーの選択] ポップアップで、次のいずれかの手順を実行します。
メンバーの追加: ポップアップの上部にある [ 追加] を選択します。 開いた新しい [メンバーの選択] ポップアップで、1 人以上のユーザーを選択します。 列ヘッダーを選択して名前またはEmailアドレスで一覧を並べ替えるか、[
検索] ボックスを使用してユーザーを検索します。追加するユーザーを 1 人以上選択したら、ポップアップの下部にある [ 追加 ] を選択します。
元の [メンバーの選択] ポップアップに戻ると、[ メンバー ] セクションに追加されたユーザーが表示されます。
メンバーの削除: ポップアップの上部にある [削除 ] を選択します。 開いた新しい [メンバーの選択] ポップアップで、1 人以上のユーザーを選択します。 列ヘッダーを選択して名前またはEmailアドレスで一覧を並べ替えるか、[
検索] ボックスを使用してユーザーを検索します。削除するユーザーを 1 人以上選択したら、[削除] を選択 します。
元の [メンバーの選択] ポップアップに戻ると、削除されたユーザーは [ メンバー ] セクションに表示されなくなります。
元の [ メンバーの選択] ポップアップが完了したら、[完了] を選択 します。
ウィザードの [ メンバーの選択 ] タブに戻り、[保存] を選択 します。
役割グループの詳細ポップアップに戻り、[完了] を選択 します。
Microsoft Defender ポータルEmail &コラボレーション ロール グループロールの割り当てを変更する
注:
カスタム ロール グループのロールの割り当てを変更できるのは、のみです。 組み込みの役割グループのロールの割り当てを変更することはできません。
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクセス許可>Email &コラボレーション ロール>Roles] に移動します。 または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。
[ アクセス許可 ] ページで、一覧から役割グループを選択します。 [名前] 列ヘッダーを選択してリストを名前で並べ替えるか、[
検索] ボックスを使用して役割グループを見つけます。開いた役割グループの詳細ポップアップで、次のいずれかの手順を実行します。
- ポップアップの上部にある [ 編集ロール グループ ] を選択します。 開いた役割グループの編集ウィザードで、[役割の 選択 ] タブを選択します。
- ポップアップの [ 割り当てられたロール ] セクションで、[ 編集] を選択します。
- ポップアップの上部にある [
開いた 役割 グループの編集ウィザードの [役割の選択] タブで、次のいずれかの手順を実行します。
- 割り当てられたロールがない場合は、[ロールの選択] を 選択します。
- 既存のロールが割り当てられている場合は、[編集] を選択 します
開いた [ ロールの選択] ポップアップで、次のいずれかの手順を実行します。
[ロールの追加]: ポップアップの上部にある [ 追加] を選択します。 開いた新しい [ ロールの選択] ポップアップで、1 つ以上のロールを選択します。 既に割り当てられているロールは淡色表示されます。 [名前 ] 列ヘッダーを選択してリストを名前で並べ替えるか、[
検索 ] ボックスを使用してロールを見つけます。追加する 1 つ以上のロールを選択したら、ポップアップの下部にある [ 追加 ] を選択します。
元の [ロールの選択] ポップアップに戻ると、追加されたロールが [ ロール ] セクションに表示されます。
ロールの削除: ポップアップの上部にある [削除 ] を選択します。 開いた新しい [ ロールの選択] ポップアップで、1 つ以上のロールを選択します。 列ヘッダーを選択してリストを 名前で並べ替えるか、[
検索 ] ボックスを使用してロールを見つけます。削除する 1 つ以上のロールを選択したら、[削除] を選択 します。
元の [ロールの選択] ポップアップに戻ると、削除されたロールは [ ロール ] セクションに表示されなくなります。
元の [ ロールの選択] ポップアップが完了したら、[完了] を選択 します。
ウィザードの [ ロールの選択 ] タブに戻り、[保存] を選択 します。
役割グループの詳細ポップアップに戻り、[完了] を選択 します。
Microsoft Defender ポータルEmail &コラボレーション ロール グループを削除する
注:
カスタム ロール グループのみを削除できます。 組み込みの役割グループを削除することはできません。
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクセス許可>Email &コラボレーション ロール>Roles] に移動します。 または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。
[ アクセス許可 ] ページで、一覧から役割グループを選択します。 [名前] 列ヘッダーを選択してリストを名前で並べ替えるか、[
検索] ボックスを使用して役割グループを見つけます。開いた役割グループの詳細ポップアップで、ポップアップの上部にある [役割グループの削除 ] を選択します。
開いた警告ダイアログで [ はい ] を選択します。
[アクセス許可] ページに戻ると、ロール グループは一覧に表示されなくなります。