Microsoft 365 Defender ポータルでのアクセス許可のMicrosoft Defender for Office 365

ヒント

Office 365プラン2のMicrosoft 365 Defenderの機能を無料で試すことができることをご存知でしたか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の条件については、 こちらを参照してください

適用対象

Azure Active Directory (Azure AD) のグローバル ロールを使用すると、Microsoft 365 のすべての機能に対するアクセス許可とアクセス権を管理できます。これには、Microsoft Defender for Office 365も含まれます。 ただし、アクセス許可と機能をDefender for Office 365のセキュリティ機能のみに制限する必要がある場合は、Microsoft 365 Defender ポータルでEmail&コラボレーションのアクセス許可を割り当てることができます。

Microsoft 365 Defender ポータルでDefender for Office 365アクセス許可を管理するには、[アクセス許可&ロール] に移動し、コラボレーション > ロール>Email展開して &[ロール] を選択するか、 に直接移動しますhttps://security.microsoft.com/securitypermissions。 Defender for Office 365アクセス許可では、グローバル管理者または組織管理役割グループのメンバーである必要があります。 具体的には、Defender for Office 365のロール管理ロールを使用すると、ユーザーはロール グループDefender for Office 365表示、作成、変更できます。 既定では、そのロールは Organization Management ロール グループ (および拡張機能ではグローバル管理者) にのみ割り当てられます。

注:

一部のDefender for Office 365機能では、Exchange Onlineに追加のアクセス許可が必要です。 詳細については、「Exchange Online のアクセス許可」を参照してください。

Microsoft 365 Defender プレビュー プログラムでは、別のMicrosoft Defender 365 RBAC モデルも使用できます。 この RBAC モデルのアクセス許可は、この記事で説明するように、Defender for Office 365のアクセス許可とは異なります。 詳細については、「ロールベースのアクセス制御 (RBAC) のMicrosoft 365 Defender」を参照してください。

Microsoft Purview コンプライアンス ポータルのアクセス許可の詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」 を参照してください。

メンバー、役割、役割グループの関係

Microsoft 365 Defender ポータルのDefender for Office 365アクセス許可は、ロールベースのアクセス制御 (RBAC) アクセス許可モデルに基づいています。 RBAC は、Microsoft 365 のほとんどのサービスで使用されているのと同じアクセス許可モデルです。そのため、これらのサービスのアクセス許可構造に慣れている場合、Microsoft 365 Defender ポータルでのアクセス許可の付与が非常によく似ていることに気づくでしょう。

役割は、一連のタスクを実行するアクセス許可を付与します。

役割グループは、ユーザーが Microsoft 365 Defender ポータルで仕事を行えるようにする一連の役割です。

Microsoft 365 Defender ポータルのDefender for Office 365アクセス許可には、割り当てる必要がある最も一般的なタスクと機能の既定の役割グループが含まれています。 通常、個々のユーザーを既定の役割グループのメンバーとして追加することをお勧めします。

役割グループとその役割およびメンバーの関係

Microsoft 365 Defender ポータルの役割と役割グループ

Microsoft 365 Defender ポータルの [アクセス許可ロール] & ページhttps://security.microsoft.com/securitypermissionsでは、次の種類のロールとロール グループを使用できます。

  • Azure AD ロール: 役割と割り当てられたユーザーを表示できますが、Microsoft 365 Defender ポータルで直接管理することはできません。 Azure AD ロールは、すべての Microsoft 365 サービスでアクセス許可を割り当てる中心的な役割です。

  • & Emailコラボレーション ロール: これらの役割グループは、Microsoft 365 Defender ポータルで直接表示および管理できます。 これらのアクセス許可は、Microsoft 365 Defender ポータルとMicrosoft Purview コンプライアンス ポータルに固有であり、他のMicrosoft 365 ワークロードで必要なすべてのアクセス許可をカバーしているわけではありません。

Microsoft 365 Defender ポータルの [アクセス許可ロール] & ページ

Microsoft 365 Defender ポータルの Azure AD ロール

でMicrosoft 365 Defender ポータルhttps://security.microsoft.comを開き、[コラボレーション ロールの Emailアクセス許可ロール] [&Azure AD>ロール] ロール (または直接) に移動すると、このセクションで説明されている Azure AD ロールが表示されます。&https://security.microsoft.com/aadpermissions>>

役割を選択すると、役割の説明とユーザーの割り当てを含む詳細ポップアップが表示されます。 ただし、それらの割り当てを管理するには、詳細ポップアップで [Azure AD でメンバーを管理する] をクリックする必要があります。

Azure Active Directory のアクセス許可管理へのリンク

詳細については、「Azure Active Directory での管理者ロールの表示と割り当て」および「Azure Active Directoryグローバル ロールを使用してMicrosoft 365 Defenderへのアクセスを管理する」を参照してください。

役割 内容
全体管理者 Microsoft 365 サービスのすべての管理機能にアクセスできます。 他の管理者ロールを割り当てることができるのは全体管理者だけです。 詳細については、「グローバル管理者または会社の管理者」を参照してください。
コンプライアンス データ管理者 Microsoft 365 全体の組織のデータを追跡し、保護されていることを確認し、あらゆる問題を把握して分析しリスクを軽減する手伝いをします。 詳細については、「コンプライアンス データ管理者」を参照してください。
コンプライアンス管理者 組織が規制要件を遵守し続けること、電子情報開示ケースを管理すること、および Microsoft 365 の使用場所、ID、アプリ全体のデータ ガバナンス ポリシーを維持します。 詳細については、「コンプライアンス管理者」を参照してください。
セキュリティ オペレーター このロールを持つユーザーは、Microsoft 365 のユーザー、デバイス、コンテンツに対するアクティブな脅威を表示、調査、および対処します。 詳細については、「セキュリティ オペレーター」を参照してください。
セキュリティ閲覧者 このロールを持つユーザーは、Microsoft 365 のユーザー、デバイス、コンテンツに対するアクティブな脅威を表示、調査ができますが、セキュリティ オペレーターとは異なり、アクションを実行するアクセス許可はありません。 詳細については、「セキュリティ 閲覧者」を参照してください。
セキュリティ管理者 このロールを持つユーザーは、セキュリティ ポリシーを管理し、Microsoft 365 製品全体のセキュリティ分析とレポートを確認し、脅威の情勢を十分に把握し迅速に対処して、組織の全体的なセキュリティを制御します。 詳細については、「セキュリティ 管理者」を参照してください。
グローバル閲覧者 読み取り専用バージョンの グローバル閲覧者 のロール。 Microsoft 365 のすべての設定と管理情報を表示します。 詳細については、「グローバル閲覧者」を参照してください。
攻撃のシミュレーションの管理者 攻撃シミュレーションの作成、シミュレーションの開始/スケジューリング、シミュレーション結果の確認のすべての側面を作成および管理します。 詳細については、「攻撃のシミュレーションの管理者」を参照してください。
攻撃のペイロードの作成者 攻撃のペイロードを作成しますが、実際に起動することやスケジュールすることはしません。 詳細については、「攻撃のペイロードの作成者」を参照してください。

& Microsoft 365 Defender ポータルでのコラボレーション ロールのEmail

Microsoft 365 Defender ポータルhttps://security.microsoft.com>の [コラボレーション ロールのアクセス許可ロールEmail&] ページ>Email&コラボレーション ロールロール> (または直接) https://security.microsoft.com/emailandcollabpermissionsに、同じ役割グループが表示されます。&>https://compliance.microsoft.com> Microsoft Purview コンプライアンス ポータル[アクセス許可] ページ>Microsoft Purview ソリューション>ロール (または 直接)。https://compliance.microsoft.com/compliancecenterpermissions

これらの役割グループの詳細については、「Microsoft 365 Defenderおよび Purview コンプライアンス ポータルの役割と役割グループMicrosoft」を参照してください。

Microsoft 365 Defender ポータルEmail&コラボレーション ロールメンバーシップを変更する

  1. のMicrosoft 365 Defender ポータルでhttps://security.microsoft.comコラボレーション ロールのアクセス許可ロールEmailコラボレーション ロールのEmail&に移動します&>&>> "アクセス許可" ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。

  2. [アクセス許可] ページが開いたら、変更したい役割グループをリストから選択します。 [名前] 列ヘッダーをクリックして名前で一覧を並べ替えたり、[検索] アイコンをクリックして役割グループを見つけることができます。

  3. 役割グループの詳細ポップアップが表示されたら、[メンバー] セクションで [編集] をクリックします。

  4. [メンバーの選択の編集] ページが開いたら、次のいずれかの手順を実行します。

    • 役割グループのメンバーが存在しない場合、[メンバーの選択] をクリックします。
    • 役割グループのメンバーが存在する場合、[編集] をクリックします。
  5. [メンバーの選択] ポップアップが表示されたら、次のいずれかの手順を実行します。

    • [追加] をクリックします。 ユーザーの一覧が表示されたら、1 人以上のユーザーを選択します。 または、[ 検索]アイコン をクリックしてユーザーを検索して選択することもできます。

      追加するユーザーを選択したら、[追加] をクリックします。

    • [削除] をクリックします。 存在するメンバーを 1 人以上選択します。 または、[ 検索] アイコン をクリックしてメンバーを検索して選択することもできます。

      削除するユーザーを選択したら、[削除] をクリックします。

  6. [メンバーの選択] ポップアップに戻り、[完了] をクリックします。

  7. [メンバーの選択の編集] ページに戻り、[保存] をクリックします。

  8. 役割グループの詳細ポップアップに戻り、[完了] をクリックします。