Microsoft Defender XDRのロールベースのアクセス制御のカスタム ロール

注:

Microsoft Defender XDRユーザーは、一元化されたアクセス許可管理ソリューションを利用して、さまざまな Microsoft セキュリティ ソリューション全体でユーザーのアクセスとアクセス許可を制御できるようになりました。 Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) の詳細について説明します。

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

適用対象:

• Microsoft Defender XDR

注:

Microsoft Defender XDRを体験したいですか? Microsoft Defender XDRを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

Microsoft Defender XDRへのアクセスに使用できるロールには、次の 2 種類があります。

• グローバル Microsoft Entra ロール
• カスタムの役割

Microsoft Defender XDRへのアクセスは、Microsoft Entra IDのグローバル ロールを使用してまとめて管理できます

特定の製品データへのアクセスをより柔軟に制御する必要がある場合は、各セキュリティ ポータルを通じてカスタム ロールを作成して、Microsoft Defender XDRアクセスを管理することもできます。

たとえば、Microsoft Defender for Endpointによって作成されたカスタム ロールでは、Microsoft Defender ポータル内のエンドポイント データなど、関連する製品データへのアクセスが許可されます。 同様に、Microsoft Defender for Office 365を使用して作成されたカスタム ロールでは、Microsoft Defender ポータル内のコラボレーション データを含む関連する製品データEmail &アクセスできます。

既存のカスタム ロールを持つユーザーは、追加の構成を必要とせず、既存のワークロードのアクセス許可に従って、Microsoft Defender ポータルのデータにアクセスできます。

カスタム ロールの作成と管理

カスタム ロールとアクセス許可は、次の各セキュリティ ポータルを通じて作成および個別に管理できます。

• Microsoft Defender for Endpoint – Microsoft Defender for Endpointのロールを編集する
• Microsoft Defender for Office 365 – セキュリティ & コンプライアンス センターのアクセス許可
• Microsoft Defender for Cloud Apps – 管理者アクセスを管理する

個々のポータルを通じて作成された各カスタム ロールは、関連する製品ポータルのデータにアクセスできます。 たとえば、Microsoft Defender for Endpointによって作成されたカスタム ロールでは、Defender for Endpoint データへのアクセスのみが許可されます。

ヒント

アクセス許可とロールには、ナビゲーション ウィンドウから [アクセス許可] & [ロール] を選択することで、Microsoft Defender ポータルからアクセスすることもできます。 Microsoft Defender for Cloud Appsへのアクセスは Defender for Cloud Apps ポータルを介して管理され、Microsoft Defender for Identityへのアクセスも制御されます。 「Microsoft Defender for Cloud Apps」を参照してください

注:

Microsoft Defender for Cloud Appsで作成されたカスタム ロールは、Microsoft Defender for Identityデータにもアクセスできます。 ユーザー グループ管理者またはアプリ/インスタンス管理者Microsoft Defender for Cloud Appsロールを持つユーザーは、Microsoft Defender ポータルを介してMicrosoft Defender for Cloud Appsデータにアクセスできません。

Microsoft Defender ポータルでアクセス許可とロールを管理する

アクセス許可とロールは、Microsoft Defender ポータルで管理することもできます。

1. security.microsoft.com でMicrosoft Defender ポータルにサインインします。
2. ナビゲーション ウィンドウで、[アクセス許可と役割] を選択します。
3. [ アクセス許可 ] ヘッダーで、[ロール] を選択 します。

注:

これは、Defender for Office 365と Defender for Endpoint にのみ適用されます。 他のワークロードへのアクセスは、関連するポータルで行う必要があります。

必要な役割と権限

次の表は、各ワークロードの各統合エクスペリエンスにアクセスするために必要なロールとアクセス許可の概要を示しています。 次の表で定義されているロールは、個々のポータルのカスタム ロールを参照し、同様に名前が付けられている場合でも、Microsoft Entra IDのグローバル ロールには接続されません。

注:

インシデント管理には、インシデントの一部であるすべての製品の管理権限が必要です。

Microsoft Defender XDR ワークロード	Defender for Endpoint には、次のいずれかのロールが必要です	Defender for Office 365には、次のいずれかのロールが必要です	Defender for Cloud Apps には、次のいずれかのロールが必要です
調査データの表示: [アラート] ページ アラート キュー インシデント インシデント キュー アクション センター	データの表示 - セキュリティ操作	表示専用 アラートの管理 組織の構成 監査ログ 表示のみの監査ログ セキュリティ閲覧者 セキュリティ管理者 表示専用の受信者	グローバル管理者 セキュリティ管理者 コンプライアンス管理者 セキュリティ オペレーター セキュリティ閲覧者 グローバル閲覧者
ハンティング データの表示、検索クエリと関数の保存、編集、削除	データの表示 - セキュリティ操作	セキュリティ閲覧者 セキュリティ管理者 表示専用の受信者	グローバル管理者 セキュリティ管理者 コンプライアンス管理者 セキュリティ オペレーター セキュリティ閲覧者 グローバル閲覧者
アラートとインシデントの管理	アラートの調査	アラートの管理 セキュリティ管理者	グローバル管理者 セキュリティ管理者 コンプライアンス管理者 セキュリティ オペレーター セキュリティ閲覧者
アクション センターの修復	アクティブな修復アクション – セキュリティ操作	Searchと消去
カスタム検出の設定	セキュリティ設定の管理	アラートの管理 セキュリティ管理者	グローバル管理者 セキュリティ管理者 コンプライアンス管理者 セキュリティ オペレーター セキュリティ閲覧者 グローバル閲覧者
脅威の分析	アラートとインシデント データ: データの表示 - セキュリティ操作 Defender 脆弱性管理の軽減策: データの表示 - 脅威と脆弱性の管理	アラートとインシデント データ: 表示専用 アラートの管理 アラートの管理 組織の構成 監査ログ 表示のみの監査ログ セキュリティ閲覧者 セキュリティ管理者 表示専用の受信者 メールの試行が防止されました。 セキュリティ閲覧者 セキュリティ管理者 表示専用の受信者	Defender for Cloud Apps または MDI ユーザーでは使用できません

たとえば、Microsoft Defender for Endpointからハンティング データを表示するには、データ セキュリティ操作のアクセス許可を表示する必要があります。

同様に、Microsoft Defender for Office 365からのハンティング データを表示するには、ユーザーには次のいずれかのロールが必要です。

• データ セキュリティ操作を表示する
• セキュリティ閲覧者
• セキュリティ管理者
• 表示専用の受信者

関連項目

• RBAC ロール
• Microsoft Defender XDR へのアクセスを管理する
• Defender for Cloud Apps の管理者アクセスを管理する

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。