英語で読む

次の方法で共有


Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)

適用対象:

Microsoft Defender XDRは、1 つのポータル内のエンドポイント、電子メール、ID、アプリケーション、およびデータ全体で統合された脅威保護、検出、応答を提供します。 ユーザーのアクセスに関するアクセス許可を制御してデータを表示したり、タスクを完了したりすることは、組織が未承認のアクセスに関連するリスクを最小限に抑えるために不可欠です。

Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) モデルは、管理者がさまざまなセキュリティ ソリューション全体でユーザーのアクセス許可を制御するための 1 つの中央の場所を提供する 1 つのアクセス許可管理エクスペリエンスを提供します。

Microsoft Defender XDR統合 RBAC モデルでサポートされる内容

一元化されたアクセス許可管理は、次のソリューションでサポートされています。

ソリューション 説明
Microsoft Defender XDR Microsoft Defender XDR エクスペリエンスの一元化されたアクセス許可管理。
Microsoft Defender for Endpoint すべてのエンドポイント データとアクションの完全なサポート。 すべてのロールは、デバイス グループ ページで定義されているデバイス グループのスコープと互換性があります。
Microsoft Defender 脆弱性の管理 すべてのDefender 脆弱性の管理機能の一元化されたアクセス許可管理。
Microsoft Defender for Office 365 すべてのデータとアクションの完全なサポート。

:
  • 最初は、Microsoft Defender XDR RBAC モデルは、Microsoft Defender for Office 365 プラン 2 ライセンスを持つ組織でのみ使用できます (試用版ライセンスはサポートされていません)。
  • きめ細かい委任された管理者特権 (GDAP) はサポートされていません。
  • Exchange Online PowerShell とセキュリティ & コンプライアンス PowerShell では、引き続きExchange OnlineロールEmail &コラボレーション ロールが使用されます。 Microsoft Defender XDR統合 RBAC は、PowerShell またはセキュリティ & コンプライアンス PowerShell Exchange Online影響しません。
  • Azure B2B 招待ゲストは、以前に RBAC の下にあったすべてのエクスペリエンスExchange Onlineサポートされていません。
Microsoft Defender for Identity すべての ID データとアクションの完全なサポート。

手記:Defender for Identity エクスペリエンスは、Microsoft Defender for Cloud Appsから付与されたアクセス許可にも準拠します。 詳細については、「Microsoft Defender for Identity役割グループ」を参照してください。
Microsoft Defender for Cloud ポータルで使用できるすべての Defender for Cloud データのアクセス管理Microsoft Defenderサポートします。
Microsoft セキュリティ露出管理 Microsoft Secure Score データを含むすべての Exposure Management データとアクションを完全にサポートします。

注意

コンプライアンスアクセス許可によって制御されるシナリオとエクスペリエンスは、引き続きMicrosoft Purview コンプライアンス ポータルで管理されます。

このオファリングは現在、CloudApps のMicrosoft Defenderでは使用できません。

始める前に

このセクションでは、統合 RBAC の使用を開始する前に知っておくべきことMicrosoft Defender XDR役立つ情報を提供します。

アクセス許可の前提条件

  • 次の操作を行うには、Microsoft Entra IDのグローバル管理者またはセキュリティ管理者である必要があります。

    • Microsoft Defender ポータルでアクセス許可とロールへの初期アクセス権を取得します。

    • Microsoft Defender XDR統合 RBAC でロールとアクセス許可を管理します。

    • セキュリティ グループまたは個々のユーザーにアクセス権を付与して、Microsoft Defender XDR統合 RBAC でロールとアクセス許可を管理できるカスタム ロールMicrosoft Defender XDR作成します。 これにより、グローバル ロールMicrosoft Entraアクセス許可を管理する必要がなくなります。 これを行うには、統合 RBAC で承認アクセス許可Microsoft Defender XDR割り当てる必要があります。 承認アクセス許可を割り当てる方法の詳細については、「 ロールとアクセス許可にアクセスして管理するロールを作成する」を参照してください。

  • Microsoft Defender XDR セキュリティ ソリューションは、ワークロードの一部またはすべてに対して Microsoft Defender XDR 統合 RBAC モデルをアクティブ化するとき、つまり、グローバル管理者が割り当てられた管理者特権を保持する場合、既存の Microsoft Entra グローバル ロールを引き続き尊重します。

重要

グローバル管理者は高い特権を持つロールであり、既存のロールを使用できないシナリオに限定する必要があります。

既存のロールとアクセス許可の移行

新しいMicrosoft Defender XDR統合 RBAC モデルでは、サポートされている個々の統合 RBAC モデル内の既存のアクセス許可を新しい RBAC モデルに簡単に移行できます。

Microsoft Defender XDR統合 RBAC モデル内に一覧表示されているすべてのアクセス許可は、下位互換性を確保するために、個々の RBAC モデルのアクセス許可に合わせて調整されます。 アクセス許可の調整方法の詳細については、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) でのアクセス許可のマップ」を参照してください。

Microsoft Defender XDR統合 RBAC モデルのアクティブ化

Microsoft Defender XDR統合 RBAC モデルを使用するには、Microsoft Defender XDRでワークロードをアクティブ化する必要があります。 アクティブ化されるまで、Microsoft Defender XDRは引き続き既存の RBAC モデルを尊重します。 詳細については、「Microsoft Defender XDR統合 RBAC のアクティブ化」を参照してください。

一部またはすべてのワークロードをアクティブ化して新しいアクセス許可モデルを使用すると、これらのワークロードのロールとアクセス許可は、Microsoft Defender ポータルのMicrosoft Defender XDR統合 RBAC モデルによって完全に制御されます。

統合 RBAC モデルMicrosoft Defender XDR使用を開始する

Microsoft Defender XDR統合 RBAC モデルの使用を開始するには、次の手順をガイドとして使用します。

  1. カスタム ロールの作成と既存の RBAC ロール モデルからのロールのインポートの概要

  2. Microsoft Defender XDR統合 RBAC モデルを使用してロールをアクティブ化および管理する

  3. Microsoft Defender XDR統合 RBAC モデルの詳細

前の手順の動作を確認するには、次のビデオをご覧ください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。