すべての Microsoft 365 organizationには、機密性の高い情報、独自の情報、または優先度の高い情報にアクセスできるエグゼクティブ、リーダー、マネージャー、その他の重要なユーザーが含まれています。 これらのユーザーのうち最大 250 人を 優先度アカウント として指定でき、(サブスクリプションに応じて) アプリ固有の機能を使用して保護と可視性を高めることができます。
この記事では、ユーザーとグループに優先度アカウントとしてタグを付ける方法と、ユーザーが優先度アカウントとして取得する追加の保護と可視性について説明します。
ヒント
価値の高いアカウントのセキュリティのベスト プラクティスについては、「 クラウド組織の優先度アカウントのセキュリティに関する推奨事項」を参照してください。
はじめに把握しておくべき情報
優先度アカウントの最大数は 250 です。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
-
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可は
アクティブです。[PowerShell ではなく Defender ポータルにのみ影響します]: 承認と設定/システム設定/管理または承認と設定/システム設定/読み取り専用。 -
Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &します。
- ユーザーから Priority アカウント タグを適用および削除する: セキュリティ管理者と Exchange 管理 ロール グループのメンバーシップ。
- Microsoft Entraアクセス許可: グローバル管理者ロール*またはセキュリティ管理者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
-
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可は
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
優先度アカウントを管理する
優先度アカウントは、Microsoft Defender ポータルまたはMicrosoft 365 管理センターで管理できます。
Microsoft Defender ポータルで優先度アカウントを管理する
https://security.microsoft.comのMicrosoft Defender ポータルで、[設定]、[>Email &コラボレーション>ユーザー タグ] の順に移動します。 または、[ ユーザー タグ ] ページに直接移動するには、 https://security.microsoft.com/securitysettings/userTagsを使用します。
[ ユーザー タグ ] ページで、次のいずれかの手順を実行して、 Priority アカウント タグを選択して編集します。
- [優先度アカウント] 行の最初の列の横にある [チェック] ボックスを選択し、表示される [
][編集] アクションを選択します。 - [チェック] ボックス以外の [優先度アカウント] 行内の任意の場所をクリックします。 開いた詳細ポップアップで、ポップアップの上部にある [ 編集 ] を選択します。
- [優先度アカウント] 行の最初の列の横にある [チェック] ボックスを選択し、表示される [
タグの編集優先度アカウント ウィザードが開きます。 [ メンバーの割り当て] ページで、次のいずれかのアクションを実行します。
-
メンバーの追加: 次のいずれかの手順を実行します。
[
メンバーの追加] を選択します。 開いた [ メンバーの追加 ] ポップアップで、次のいずれかの手順を実行して、[追加するユーザーとグループの検索] ボックスに個々の ユーザーまたはグループを追加 します。- ボックス内をクリックし、一覧をスクロールします。
- 名前の入力を開始してリストをフィルター処理し、ボックスの下にある値を選択します。
さらにメンバーを追加するには、ボックス内の空の領域をクリックし、前の手順を繰り返します。
ボックスから個々のエントリを削除するには、エントリの横にある [
] を選択します。[ メンバーの追加] ポップアップが完了したら、[追加] を選択 します。
[メンバーの割り当て] ページに戻ると、追加したユーザーとグループが [名前] と [種類] で一覧表示されます。
[
インポート ] を選択して、ユーザーまたはグループのメール アドレス (1 行に 1 つのエントリ) を含むテキスト ファイルを選択します。メンバーの削除: [メンバーの 割り当て ] ページのメンバーの一覧で、エントリ行で [
削除 ] を選択します。
[ メンバーの割り当て ] ページが完了したら、[ 次へ] を選択します。
-
メンバーの追加: 次のいずれかの手順を実行します。
[ タグの確認 ] ページで、設定を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。
[タグの確認] ページが完了したら、[送信] を選択します。
[ タグ優先度アカウントの更新 ] ページで、リンクを選択して新しいタグを追加したり、タグ メンバーを管理したりできます。
[新しいタグが作成されました] ページが完了したら、[完了] を選択します。
ヒント
タグが完全に適用されるまでに最大 8 時間かかることがあります。
Microsoft 管理センターで優先度アカウントを管理する
https://admin.cloud.microsoftの Microsoft 管理センターで、https://admin.microsoft.com/Adminportal/Home#/priorityaccountsの [優先度アカウント] ページに移動します。
長い道のりを希望する場合は、[アクティブなユーザー] ページで[ユーザー>アクティブなユーザー>に移動し、[
その他のアクション>
優先度アカウントを管理する] を選択します。[ 優先度アカウント ] ページで、次のいずれかの操作を行います。
メンバーの追加:
[
Tag アカウント] を選択します。 表示される [優先度としてユーザー アカウントにタグを付 ける] ポップアップで、[ アカウントを検索する方法] で次のいずれかの値を選択します。- 名前とメール アドレス (既定値)
- 役職
- 配布リスト
完了したら、[次へ] を選択します。
開いたポップアップで、ユーザーまたは配布グループを見つけて選択し、[ タグ] を選択します。
このプロセスは、優先度アカウントにタグ付けされた合計が更新された優先度ポップアップとしてユーザー アカウントにタグを付けます (最大値は 250)。 [ 次へ ] を選択して他のユーザーまたは配布グループにタグを付けるか、[ キャンセル ] を選択して完了します。
[ 優先度アカウント ] ページに戻ると、選択したユーザーまたはグループが一覧表示されます。
メンバーの削除: [ 優先度アカウント ] ページのメンバーの一覧で、次のいずれかの手順を実行します。
- [表示名] 列の横にある [チェック] ボックスを選択して、一覧から 1 つ以上のエントリを選択し、表示される [
Remove タグ] アクションを選択し、表示される確認ダイアログで [削除] を選択します。 - エントリの [表示名 ] 列と [ユーザー名 ] 列の値の間 で、[⋮その他のアクション>Remove タグ] を選択し、表示される確認ダイアログで [削除 ] を選択します。
- [表示名] 列の横にある [チェック] ボックスを選択して、一覧から 1 つ以上のエントリを選択し、表示される [
優先度アカウントを監視する
ユーザーまたはグループに優先度アカウントとしてタグを付けた後、Microsoft 365 では次の保護と可視性が得られます。
Microsoft Defender for Office 365 プラン 1またはプラン 2 でのレポートの可視性: Defender for Office 365を含むMicrosoft 365 Business Premiumおよびその他のサブスクリプション (たとえば、Microsoft 365 E5)またはアドオン サブスクリプション) では、アラート、レポート、調査のフィルター内のタグとして優先度アカウントがサポートされます。 詳細については、「Microsoft Defender for Office 365 のユーザー タグ」を参照してください。
Defender for Office 365プラン 2 の優先アカウント保護: 自然な質問は、「すべてのユーザーが優先されていないのですか? すべてのユーザーを優先度アカウント保護の優先度アカウントとして指定しないのはなぜですか?はい。すべてのユーザーが優先されますが、Defender for Office 365 プラン 2 の優先アカウント保護 (たとえば、Microsoft Defender Suite for Business Premium アドオンがある Business Premium の場合) には、次の利点があります。
- その他のヒューリスティック: Microsoft データセンターのメール フローの分析は、会社の役員のメール フロー パターンが平均的なユーザーとは異なっていることを示しています。 優先度アカウント保護は、通常のユーザーにメリットがない会社の役員に合わせて特別に調整された他のヒューリスティックを提供します。
- レポートの可視性を高める: フィルターとしての優先アカウント保護を使用すると、調査を具体的に対象にできます。
詳細については、「Microsoft Defender for Office 365での優先度アカウント保護の構成と確認」を参照してください。
ヒント
メールボックスに優先度アカウント保護を適用する場合は、メールボックスへのアクセス権を持つユーザーにも優先度アカウント保護を適用する必要があります。 たとえば、CEO とそのエグゼクティブ アシスタント。
Exchange OnlineでのEmail監視: 優先度アカウントのEmail監視機能には、次の要件があります。
次の製品の任意の組み合わせで少なくとも 5,000 ライセンス:
- Office 365 E3
- Microsoft 365 E3
- Office 365 E3
- Microsoft 365 E5
たとえば、organizationには 3,000 個のOffice 365 E3 ライセンスと 2,500 個のMicrosoft 365 E5 ライセンスがあり、対象製品から合計 5,500 個のライセンスがあります。
1 つ以上のコア ワークロードに対して少なくとも 50 人の月間アクティブ ユーザー:
- Microsoft Teams
- OneDrive
- SharePoint
- Exchange Online
- Microsoft 365 生産性アプリ
organizationが両方の要件を満たしている場合は、優先度アカウントに対して次の電子メール監視機能を使用できます。
Exchange Online優先度アカウントの監視: Exchange ライセンス、メールボックス ストレージ、メッセージ制限、メール配信などのシナリオの優先度アカウントの正常性を表示できます。 詳細については、「 優先度アカウントの監視シナリオ」を参照してください。
Premium Mail Flow の監視: 正常なメール フローはビジネスの成功にとって重要であり、配信の遅延や失敗がビジネスに悪影響を及ぼす可能性があります。 失敗または遅延したメールのしきい値を選択し、そのしきい値を超えたときにアラートを受信し、優先度アカウントの電子メールの問題のレポートを表示できます。 詳細については、新しい EAC の優先度アカウント レポートのEmailの問題に関するページを参照してください。