Microsoft 365 Defender ポータルでのアクセス許可のMicrosoft Defender for Office 365

ヒント

Office 365プラン2のMicrosoft 365 Defenderの機能を無料で試すことができることをご存知でしたか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の条件については、 こちらを参照してください

Azure Active Directory (Azure AD) のグローバル ロールを使用すると、すべての Microsoft 365 の機能に対するアクセス許可とアクセス権を管理できます。これには、Microsoft Defender for Office 365も含まれます。 ただし、アクセス許可と機能をDefender for Office 365のセキュリティ機能のみに制限する必要がある場合は、Microsoft 365 Defender ポータルでEmail&コラボレーションのアクセス許可を割り当てることができます。

Microsoft 365 Defender ポータルでDefender for Office 365アクセス許可を管理するには、[アクセス許可Email>&コラボレーション ロールロール>] に移動するか、 に直接移動します。https://security.microsoft.com/emailandcollabpermissions

Azure AD のグローバル管理者ロールのメンバーであるか、Defender for Office 365アクセス許可の Organization Management ロール グループのメンバーである必要があります。 具体的には、Defender for Office 365のロール管理ロールを使用すると、ユーザーはロール グループDefender for Office 365表示、作成、変更できます。 既定では、そのロールは Organization Management ロール グループ (および拡張機能ではグローバル管理者) にのみ割り当てられます。

注:

一部のDefender for Office 365機能では、Exchange Onlineに追加のアクセス許可が必要です。 詳細については、「Exchange Online のアクセス許可」を参照してください。

Microsoft 365 Defender プレビュー プログラムでは、別のMicrosoft Defender 365 RBAC モデルも使用できます。 この RBAC モデルのアクセス許可は、この記事で説明するように、Defender for Office 365のアクセス許可とは異なります。 詳細については、「ロールベースのアクセス制御 (RBAC) のMicrosoft 365 Defender」を参照してください。

Microsoft Purview コンプライアンス ポータルのアクセス許可の詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」 を参照してください。

メンバー、役割、役割グループの関係

Microsoft 365 Defender ポータルのDefender for Office 365アクセス許可は、ロールベースのアクセス制御 (RBAC) アクセス許可モデルに基づいています。 RBAC は、ほとんどの Microsoft 365 サービスで使用されているのと同じアクセス許可モデルであるため、これらのサービスのアクセス許可の構造に慣れている場合は、Microsoft 365 Defender ポータルでアクセス許可を付与する必要があります。

役割は、一連のタスクを実行するアクセス許可を付与します。

役割グループは、ユーザーが Microsoft 365 Defender ポータルで仕事を行えるようにする一連の役割です。

Microsoft 365 Defender ポータルのDefender for Office 365アクセス許可には、割り当てる必要がある最も一般的なタスクと関数の既定の役割グループが含まれています。 通常、個々のユーザーを既定の役割グループのメンバーとして追加することをお勧めします。

役割グループとその役割およびメンバーの関係

Microsoft 365 Defender ポータルの役割と役割グループ

Defender ポータルの [ アクセス許可] ページで https://security.microsoft.com/securitypermissions、次の種類のロールと役割グループを使用できます。

  • Azure AD ロール: 役割と割り当てられたユーザーを表示できますが、Microsoft 365 Defender ポータルで直接管理することはできません。 Azure AD ロールは、すべての Microsoft 365 サービスでアクセス許可を割り当てる中心的な役割です。

  • & Emailコラボレーション ロール: これらの役割グループは、Microsoft 365 Defender ポータルで直接表示および管理できます。 これらのアクセス許可は、Microsoft 365 Defender ポータルとMicrosoft Purview コンプライアンス ポータルに固有です。 これらのアクセス許可は、他の Microsoft 365 ワークロードで必要なすべてのアクセス許可をカバーしているわけではありません。

Microsoft 365 Defender ポータルの [アクセス許可ロール] & ページ

Microsoft 365 Defender ポータルの Azure AD ロール

このセクションで説明する Azure AD ロールは、Defender ポータル>のアクセス許可>Azure AD>ロールまたは で直接https://security.microsoft.com/aadpermissions使用できます。

ロールを選択すると、ロールとユーザー割り当ての説明を含む詳細ポップアップが開きます。 ただし、これらの割り当てを管理するには、ポップアップの下部にある [ Azure AD でメンバーを管理 する] を選択する必要があります。

Azure Active Directory のアクセス許可管理へのリンク

詳細については、「Azure Active Directory での管理者ロールの表示と割り当て」および「Azure Active Directoryグローバル ロールを使用してMicrosoft 365 Defenderへのアクセスを管理する」を参照してください。

役割 内容
全体管理者 Microsoft 365 サービスのすべての管理機能にアクセスできます。 他の管理者ロールを割り当てることができるのは全体管理者だけです。 詳細については、「グローバル管理者または会社の管理者」を参照してください。
コンプライアンス データ管理者 Microsoft 365 全体の組織のデータを追跡し、保護されていることを確認し、あらゆる問題を把握して分析しリスクを軽減する手伝いをします。 詳細については、「コンプライアンス データ管理者」を参照してください。
コンプライアンス管理者 組織が規制要件を遵守し続けること、電子情報開示ケースを管理すること、および Microsoft 365 の使用場所、ID、アプリ全体のデータ ガバナンス ポリシーを維持します。 詳細については、「コンプライアンス管理者」を参照してください。
セキュリティ オペレーター このロールを持つユーザーは、Microsoft 365 のユーザー、デバイス、コンテンツに対するアクティブな脅威を表示、調査、および対処します。 詳細については、「セキュリティ オペレーター」を参照してください。
セキュリティ閲覧者 Microsoft 365 ユーザー、デバイス、コンテンツに対するアクティブな脅威を表示して調査しますが、(セキュリティ オペレーターとは異なり)、対応するアクセス許可がありません。 詳細については、「セキュリティ 閲覧者」を参照してください。
セキュリティ管理者 このロールを持つユーザーは、セキュリティ ポリシーを管理し、Microsoft 365 製品全体のセキュリティ分析とレポートを確認し、脅威の情勢を十分に把握し迅速に対処して、組織の全体的なセキュリティを制御します。 詳細については、「セキュリティ 管理者」を参照してください。
グローバル閲覧者 読み取り専用バージョンの グローバル閲覧者 のロール。 Microsoft 365 のすべての設定と管理情報を表示します。 詳細については、「グローバル閲覧者」を参照してください。
攻撃のシミュレーションの管理者 攻撃シミュレーションの作成、シミュレーションの開始/スケジューリング、シミュレーション結果の確認のすべての側面を作成および管理します。 詳細については、「攻撃のシミュレーションの管理者」を参照してください。
攻撃のペイロードの作成者 攻撃のペイロードを作成しますが、実際に起動することやスケジュールすることはしません。 詳細については、「攻撃のペイロードの作成者」を参照してください。

& Microsoft 365 Defender ポータルでのコラボレーション ロールのEmail

Defender ポータルと Purview コンプライアンス ポータルでは、同じロール グループとロールを使用できます。

これらの役割グループの詳細については、Microsoft 365 Defenderおよび Microsoft Purview コンプライアンス ポータルの「ロールと役割グループ」を参照してください。

Defender ポータルのコラボレーション ロール グループEmail&次のアクションを使用できます。

Microsoft 365 Defender ポータルEmail&コラボレーション ロール グループを作成する

  1. のMicrosoft 365 Defender ポータルでhttps://security.microsoft.com、[アクセス許可Emailコラボレーション ロールロール] に移動します&>。> または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。

  2. [アクセス許可] ページで、[作成] を選択して、新しい役割グループ ウィザードを開始します。

  3. [ ロール グループに名前を付けます ] ページで、次の情報を入力します。

    • [名前]: 役割グループの一意の名前を入力します。
    • 説明: 役割グループの説明 (省略可能) を入力します。

    [ 役割グループに名前を付 けます] ページが完了したら、[ 次へ] を選択します。

  4. [ ロールの選択] ページで、[ロール の選択] を 選択します

    1. いた [ロールの選択] ポップアップで、ポップアップの上部にある [追加 ] を選択します。

    2. 開いた新しい [ ロールの選択] ポップアップで、1 つ以上のロールを選択します。 [名前] 列ヘッダーを選択してリストを名前で並べ替えたり、[検索] ボックスを使用してロールを見つけたりします。

      追加する 1 つ以上のロールを選択したら、ポップアップの下部にある [ 追加 ] を選択します。

      元の [ロールの選択] ポップアップに戻ると、追加したロールがページに一覧表示されます。 ロールをさらに追加するには、前の手順を繰り返します。 既に選択したロールは淡色表示されます。

      ロールを削除するには、[ 削除] を選択します。 開いた新しい [ ロールの選択] ポップアップで、1 つ以上のロールを選択し、[削除] を選択 します

    3. 元の [ ロールの選択] ポップアップが完了したら、[完了] を選択 します

    [ロールの 選択 ] ページに戻ると、[ 選択した ロール] セクションにロールが表示されます。

    [ ロールの選択] ページが完了したら、[ 次へ] を選択します。

  5. [ メンバーの選択] ページで、[メンバーの選択] を 選択します

    1. 開いた [ メンバーの選択] ポップアップで、ポップアップの上部にある [追加] を選択します。

    2. 開いた新しい [メンバーの選択] ポップアップで、1 人以上のユーザーを選択します。 列ヘッダーを選択してリストを [名前] または [Email アドレス] で並べ替えたり、[検索] ボックスを使用してユーザーを見つけたりします。

      追加するユーザーを 1 人以上選択したら、ポップアップの下部にある [ 追加 ] を選択します。

      元の [メンバーの選択] ポップアップに戻ると、追加したメンバーがページに一覧表示されます。 さらにメンバーを追加するには、前の手順を繰り返します。 既に選択したメンバーは淡色表示されます。

      メンバーを削除するには、[ 削除] を選択します。 開いた新しい [ メンバーの選択] ポップアップで、1 つ以上のメンバーを選択し、[削除] を選択 します

    3. 元の [ ロールの選択] ポップアップが完了したら、[完了] を選択 します

    [メンバーの 選択 ] ページに戻ると、[ 選択したメンバー ] セクションにメンバーが表示されます。

    [ ページの選択] ページが終了したら、[ 次へ] を選択します。

  6. [設定の確認] ページ で、設定 を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。

    [ 設定の確認 ] ページが完了したら、[ 役割グループの作成] を選択します。

[アクセス許可] ページに戻ると、新しいロール グループが一覧表示されます。

Microsoft 365 Defender ポータルEmail&コラボレーション ロール グループをコピーする

  1. のMicrosoft 365 Defender ポータルでhttps://security.microsoft.com、[アクセス許可Emailコラボレーション ロールロール] に移動します&>。> または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。

  2. [ アクセス許可 ] ページで、一覧から役割グループを選択します。 名前列ヘッダーを使用してリストを名前で並べ替えたり、[検索] ボックスを使用して役割グループを見つけます。

  3. 開いた役割グループの詳細ポップアップで、ポップアップの上部にある [役割グループのコピー ] を選択します。

新しい役割グループの作成に関する説明に従って、 新しい役割グループ ウィザードが開きます。

新しい役割グループの既定の名前は、元の役割グループ名>の<コピーですが、変更することはできます。

ロールとメンバーには、コピーするロールの値が設定されますが、変更することはできます。

Microsoft 365 Defender ポータルEmail&コラボレーション ロール グループ メンバーシップを変更する

  1. のMicrosoft 365 Defender ポータルでhttps://security.microsoft.com、[アクセス許可Emailコラボレーション ロールロール] に移動します&>。> または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。

  2. [ アクセス許可 ] ページで、一覧から役割グループを選択します。 名前列ヘッダーを使用してリストを名前で並べ替えたり、[検索] ボックスを使用して役割グループを見つけます。

  3. 開いた役割グループの詳細ポップアップで、次のいずれかの手順を実行します。

    • ポップアップの上部にある [役割グループの編集] を選択します。 開いた役割グループの編集ウィザードで、[メンバーの 選択 ] タブを選択します。
    • ポップアップの [ メンバー ] セクションで、[編集] を選択 します
  4. 開いた役割グループの編集ウィザードの [ メンバーの選択 ] タブで、次のいずれかの手順を実行します。

    • ロール グループのメンバーがない場合は、[メンバーの選択] を 選択します
    • 既存のロール グループ メンバーがある場合は、[編集] を選択します
  5. 開いた [ メンバーの選択] ポップアップで、次のいずれかの手順を実行します。

    • メンバーの追加: ポップアップの上部にある [ 追加] を選択します。 開いた新しい [メンバーの選択] ポップアップで、1 人以上のユーザーを選択します。 列ヘッダーを選択してリストを [名前] または [Email アドレス] で並べ替えたり、[検索] ボックスを使用してユーザーを見つけたりします。

      追加するユーザーを 1 人以上選択したら、ポップアップの下部にある [ 追加 ] を選択します。

      元の [メンバーの選択] ポップアップに戻ると、[ メンバー ] セクションに追加されたユーザーが表示されます。

    • メンバーの削除: ポップアップの上部にある [削除 ] を選択します。 開いた新しい [メンバーの選択] ポップアップで、1 人以上のユーザーを選択します。 列ヘッダーを選択してリストを [名前] または [Email アドレス] で並べ替えたり、[検索] ボックスを使用してユーザーを見つけたりします。

      削除するユーザーを 1 人以上選択したら、[削除] を選択 します

      元の [メンバーの選択] ポップアップに戻ると、削除されたユーザーは [ メンバー ] セクションに表示されなくなります。

    元の [ メンバーの選択] ポップアップが完了したら、[完了] を選択 します

  6. ウィザードの [ メンバーの選択 ] タブに戻り、[保存] を選択 します

  7. 役割グループの詳細ポップアップに戻り、[完了] を選択 します

Microsoft 365 Defender ポータルEmail&コラボレーション ロール グループロールの割り当てを変更する

注:

カスタム ロール グループのロールの割り当てを変更できるのは、のみです。 組み込みの役割グループのロールの割り当てを変更することはできません。

  1. のMicrosoft 365 Defender ポータルでhttps://security.microsoft.com、[アクセス許可Emailコラボレーション ロールロール] に移動します&>。> または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。

  2. [ アクセス許可 ] ページで、一覧から役割グループを選択します。 名前列ヘッダーを選択してリストを名前で並べ替えたり、[検索] ボックスを使用して役割グループを見つけたりします。

  3. 開いた役割グループの詳細ポップアップで、次のいずれかの手順を実行します。

    • ポップアップの上部にある [役割グループの編集] を選択します。 開いた役割グループの編集ウィザードで、[役割の 選択 ] タブを選択します。
    • ポップアップの [ 割り当てられたロール ] セクションで、[ 編集] を選択します。
  4. 開いた 役割 グループの編集ウィザードの [役割の選択] タブで、次のいずれかの手順を実行します。

    • 割り当てられたロールがない場合は、[ロールの選択] を 選択します
    • 既存のロールが割り当てられている場合は、[編集] を選択 します
  5. 開いた [ ロールの選択] ポップアップで、次のいずれかの手順を実行します。

    • [ロールの追加]: ポップアップの上部にある [ 追加] を選択します。 開いた新しい [ ロールの選択] ポップアップで、1 つ以上のロールを選択します。 既に割り当てられているロールは淡色表示されます。[名前] 列ヘッダーを選択してリストを名前で並べ替えたり、[検索] ボックスを使用してロールを見つけたりします。

      追加する 1 つ以上のロールを選択したら、ポップアップの下部にある [ 追加 ] を選択します。

      元の [ロールの選択] ポップアップに戻ると、追加されたロールが [ ロール ] セクションに表示されます。

    • ロールの削除: ポップアップの上部にある [削除 ] を選択します。 開いた新しい [ ロールの選択] ポップアップで、1 つ以上のロールを選択します。 列ヘッダーを選択してリストを名前で並べ替えたり、[検索] ボックスを使用してロールを見つけたりします。

      削除する 1 つ以上のロールを選択したら、[削除] を選択 します

      元の [ロールの選択] ポップアップに戻ると、削除されたロールは [ ロール ] セクションに表示されなくなります。

    元の [ ロールの選択] ポップアップが完了したら、[完了] を選択 します

  6. ウィザードの [ ロールの選択 ] タブに戻り、[保存] を選択 します

  7. 役割グループの詳細ポップアップに戻り、[完了] を選択 します

Microsoft 365 Defender ポータルEmail&コラボレーション ロール グループを削除する

注:

カスタム ロール グループのみを削除できます。 組み込みの役割グループを削除することはできません。

  1. のMicrosoft 365 Defender ポータルでhttps://security.microsoft.com、[アクセス許可Emailコラボレーション ロールロール] に移動します&>。> または、[アクセス許可] ページに直接移動するには、https://security.microsoft.com/emailandcollabpermissions を使用します。

  2. [ アクセス許可 ] ページで、一覧から役割グループを選択します。 名前列ヘッダーを選択してリストを名前で並べ替えたり、[検索] ボックスを使用して役割グループを見つけたりします。

  3. 開いた役割グループの詳細ポップアップで、ポップアップの上部にある [役割グループの削除 ] を選択します。

  4. 開いた警告ダイアログで [ はい ] を選択します。

[アクセス許可] ページに戻ると、ロール グループは一覧に表示されなくなります。