英語で読む

次の方法で共有


ロールベースのアクセス制御を使用してポータル アクセスを管理する

注意

Microsoft Defender XDR プレビュー プログラムを実行している場合は、新しい Microsoft Defender 365 統合ロールベースのアクセス制御 (RBAC) モデルを体験できます。 詳細については、「Microsoft Defender 365 統合ロールベースのアクセス制御 (RBAC)」を参照してください。

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ロールベースのアクセス制御 (RBAC) を使用して、セキュリティ運用チーム内にロールとグループを作成して、ポータルへの適切なアクセス権を付与できます。 作成したロールとグループに基づいて、ポータルへのアクセス権を持つユーザーが表示および実行できる操作をきめ細かく制御できます。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

大規模な geo 分散セキュリティ運用チームは、通常、セキュリティ ポータルへのアクセスを割り当てて承認するために、階層ベースのモデルを採用します。 一般的なレベルには、次の 3 つのレベルがあります。

階層 説明
階層 1 ローカル セキュリティ運用チーム / IT チーム
このチームは通常、位置情報に含まれるアラートをトリアージして調査し、アクティブな修復が必要な場合は階層 2 にエスカレートします。
階層 2 地域のセキュリティ運用チーム
このチームは、リージョンのすべてのデバイスを確認し、修復アクションを実行できます。
階層 3 グローバル セキュリティ運用チーム
このチームはセキュリティの専門家で構成され、ポータルからすべてのアクションを表示および実行する権限を与えられます。

注意

階層 0 の資産については、セキュリティ管理者がMicrosoft Defender for EndpointとMicrosoft Defender XDRをより詳細に制御するためのPrivileged Identity Managementに関するページを参照してください。

Defender for Endpoint RBAC は、選択した階層またはロールベースのモデルをサポートするように設計されており、表示できるロール、アクセスできるデバイス、実行できるアクションをきめ細かく制御できます。 RBAC フレームワークは、次のコントロールを中心としています。

  • 特定のアクションを実行できるユーザーを制御する
    • カスタム ロールを作成し、アクセスできる Defender for Endpoint 機能を細分性で制御します。
  • 特定のデバイス グループまたはグループに関する情報を表示できるユーザーを制御する
    • 名前、タグ、ドメインなどの特定の条件でデバイス グループを作成し、特定のMicrosoft Entraユーザー グループを使用してそれらにロール アクセス権を付与します。

      注意

      デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

ロールベースのアクセスを実装するには、管理者ロールを定義し、対応するアクセス許可を割り当て、ロールに割り当てられたユーザー グループMicrosoft Entra割り当てる必要があります。

開始する前に

RBAC を使用する前に、アクセス許可を付与できるロールと、RBAC を有効にした場合の結果を理解しておくことが重要です。

警告

この機能を有効にする前に、Microsoft Entra IDで割り当てられているセキュリティ管理者などの適切なロールがあり、Microsoft Entra グループがポータルからロックアウトされるリスクを軽減する準備ができていることが重要です。

Microsoft Defender ポータルに初めてサインインすると、フル アクセスまたは読み取り専用アクセス権が付与されます。 フル アクセス権は、Microsoft Entra IDのセキュリティ管理者ロールを持つユーザーに付与されます。 読み取り専用アクセス権は、Microsoft Entra IDのセキュリティ閲覧者ロールを持つユーザーに付与されます。

Defender for Endpoint グローバル管理者ロールを持つユーザーは、デバイス グループの関連付けとMicrosoft Entraユーザー グループの割り当てに関係なく、すべてのデバイスに無制限にアクセスできます。

警告

最初は、Microsoft Entraグローバル管理者またはセキュリティ管理者権限を持つユーザーのみが、Microsoft Defender ポータルでロールを作成して割り当てることができます。そのため、Microsoft Entra IDで適切なグループを準備することが重要です。

ロールベースのアクセス制御を有効にすると、読み取り専用アクセス許可を持つユーザー (たとえば、Microsoft Entraセキュリティ閲覧者ロールに割り当てられているユーザー) は、ロールに割り当てられるまでアクセスが失われます。

管理者権限を持つユーザーには、完全なアクセス許可を持つ既定の組み込み Defender for Endpoint グローバル管理者ロールが自動的に割り当てられます。 RBAC の使用をオプトインした後、グローバル管理者またはセキュリティ管理者Microsoft Entraされていない追加のユーザーを Defender for Endpoint グローバル管理者ロールに割り当てることができます。

RBAC の使用をオプトインした後は、ポータルに初めてログインしたときと同様に、初期ロールに戻すことはできません。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。