XDR アクセス許可のエキスパートMicrosoft Defenderのしくみ

[アーティクル]
04/26/2024

適用対象:

Microsoft Defender XDR

XDR インシデント調査のエキスパートMicrosoft Defender、エキスパートがテナントにアクセスする必要がある場合は、Just-In-Time と最小特権の原則に従って、適切なレベルのアクセスを適切なタイミングで提供します。これらの要件を満たすには、Microsoft Entra IDで次の機能を使用して、Microsoft Defender Experts アクセス許可プラットフォームを構築しました。

きめ細かい委任された管理者特権 (GDAP): オンボードの一環として、MICROSOFT Experts テナントをテナントのサービスプロバイダーとしてプロビジョニングし、GDAP 機能を使用し、エキスパートに適切なアクセスレベルを取得します。エキスパートに付与されるロールは、テナント間ロールの割り当てを使用して構成され、明示的に付与されたアクセス許可のみが付与されるようにします。
テナント間アクセスポリシーのMicrosoft Entra: エキスパートによるテナントへのアクセスに制限を適用するには、エキスパートとテナントの間でテナント間の信頼を確立する必要があります。この信頼を有効にするには、オンボードの一環としてテナントでクロステナントアクセスポリシーを構成します。これらのテナント間アクセスポリシーは、中断を回避するために、読み取り専用アクセス許可で作成されます。
外部ユーザーの条件付きアクセス: Microsoft では、強力な多要素認証 (MFA) で準拠しているデバイスを使用して、セキュリティで保護された環境からテナントへの専門家のアクセスを制限します。テナント間アクセスポリシーで構成された信頼設定を適用し、それ以外の場合はアクセスをブロックするために、テナントでこれらの条件付きアクセスポリシーを構成します。
Just-In-Time (JIT) アクセス: エキスパートが環境へのアクセスを許可した後でも、ケース調査の JIT アクセス許可に基づいてアクセスが制限され、各ロールの期間は制限されます。エキスパートは、まずアクセスを要求し、内部システムで承認を得て、テナントで適切な役割を果たす必要があります。テナントへのエキスパートのアクセスは、確認Microsoft Entraサインインログの一部として監査されます

顧客テナントでのアクセス許可の構成

エキスパートに付与するアクセス許可を選択すると、セキュリティ管理者またはグローバル管理者コンテキストを使用して、テナントに次のポリシーが作成されます。

Microsoft Experts をサービスプロバイダーとして構成 する – この設定を使用すると、エキスパートは外部コラボレーターとしてテナント環境にアクセスできます。そのため、アカウントを作成する必要はありません。
エキスパートのロールの割り当てを構成する – この設定は、テナントでエキスパートが許可するロールを制御します。オンボードプロセス中に適切なロールを選択します
MFA と準拠デバイスを使用してクロステナントアクセス設定を信頼設定として構成 する – この設定では、Microsoft Experts テナントの MFA とデバイスコンプライアンスに基づいて、顧客と Microsoft Experts テナント間の信頼関係を構成します。このポリシーは、Microsoft Experts> という名前の Microsoft Entra ID>External IDクロステナントアクセス設定に関するページにあります。
条件付きアクセスポリシーを構成する – これらのポリシーでは、MFA 検証を使用して Microsoft Experts のセキュリティで保護されたワークステーションからのみテナントにアクセスするようにエキスパートが制限されます。 2 つのポリシーは、名前付け規則 Microsoft Security Experts-policy< name-DO> NOT DELETE で構成されます。

これらのポリシーはオンボードプロセス中に構成され、手順を完了するには、関連する管理者がサインインしたままにする必要があります。上記のポリシーが作成され、アクセス許可の設定が完了したと見なされると、セットアップが完了したことを示す通知が表示されます。

次の方法で共有

XDR アクセス許可のエキスパートMicrosoft Defenderのしくみ

顧客テナントでのアクセス許可の構成

関連項目

フィードバック

フィードバック

その他のリソース