次の方法で共有


XDR アクセス許可の Microsoft Defender Experts のしくみ

適用対象:

XDR インシデント調査のための Microsoft Defender Experts の場合、エキスパートがテナントにアクセスする必要がある場合は、Just-In-Time と最小特権の原則に従って、適切なレベルのアクセスを適切なタイミングで提供します。 これらの要件を満たすには、Microsoft Entra ID で次の機能を使用して Microsoft Defender Experts アクセス許可プラットフォームを構築しました。

  • きめ細かい委任された管理者特権 (GDAP): オンボードの一環として、MICROSOFT Experts テナントをテナントのサービス プロバイダーとしてプロビジョニングし、GDAP 機能を使用し、エキスパートに適切なアクセス レベルを取得します。 エキスパートに付与されるロールは、 テナント間ロールの割り当てを 使用して構成され、明示的に付与されたアクセス許可のみが付与されるようにします。
  • Microsoft Entra のテナント間アクセス ポリシー: エキスパートによるテナントへのアクセスに制限を適用するには、エキスパートとテナントの間でテナント間の信頼を確立する必要があります。 この信頼を有効にするには、オンボードの一環としてテナントでクロステナント アクセス ポリシーを構成します。 これらのテナント間アクセス ポリシーは、中断を回避するために、読み取り専用アクセス許可で作成されます。
  • 外部ユーザーの条件付きアクセス: Microsoft では、強力な多要素認証 (MFA) で準拠しているデバイスを使用して、セキュリティで保護された環境からテナントへの専門家のアクセスを制限します。 テナント間アクセス ポリシーで構成された信頼設定を適用し、それ以外の場合はアクセスをブロックするために、テナントでこれらの条件付きアクセス ポリシーを構成します。
  • Just-In-Time (JIT) アクセス: エキスパートが環境へのアクセスを許可した後でも、ケース調査の JIT アクセス許可に基づいてアクセスが制限され、各ロールの期間は制限されます。 エキスパートは、まずアクセスを要求し、内部システムで承認を得て、テナントで適切な役割を果たす必要があります。 Microsoft のエキスパートによるテナントへのアクセスは、Microsoft Entra サインイン ログの一部として監査され、確認できます

顧客テナントでのアクセス許可の構成

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

エキスパートに付与するアクセス許可を選択すると、セキュリティ管理者またはグローバル管理者コンテキストを使用して、テナントに次のポリシーが作成されます。

  • Microsoft Experts をサービス プロバイダーとして構成 する – この設定を使用すると、エキスパートは外部コラボレーターとしてテナント環境にアクセスできます。そのため、アカウントを作成する必要はありません。
  • エキスパートのロールの割り当てを構成する – この設定は、テナントでエキスパートが許可するロールを制御します。 オンボード プロセス中に適切なロールを選択します
  • MFA と準拠デバイスを使用してクロステナント アクセス設定を信頼設定として構成 する – この設定では、Microsoft Experts テナントの MFA とデバイスコンプライアンスに基づいて、顧客と Microsoft Experts テナント間の信頼関係を構成します。 このポリシーは、 Microsoft Entra ID>External ID>Cross-tenant access Settings ( Microsoft Experts という名前) にあります。
  • 条件付きアクセス ポリシーを構成する – これらのポリシーでは、MFA 検証を使用して Microsoft Experts のセキュリティで保護されたワークステーションからのみテナントにアクセスするようにエキスパートが制限されます。 2 つのポリシーは、名前付け規則 Microsoft Security Experts-<policy name>-DO NOT DELETE で構成されます。

これらのポリシーはオンボード プロセス中に構成され、手順を完了するには、関連する管理者がサインインしたままにする必要があります。 上記のポリシーが作成され、アクセス許可の設定が完了したと見なされると、セットアップが完了したことを示す通知が表示されます。

関連項目

XDR 用 Microsoft Defender Experts の重要な考慮事項

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。