ロールベースのアクセス制御を使用してポータル アクセスを管理する
注:
Microsoft Defender XDR プレビュー プログラムを実行している場合は、新しい Microsoft Defender 365 統合ロールベースのアクセス制御 (RBAC) モデルを体験できます。 詳細については、「Microsoft Defender 365 統合ロールベースのアクセス制御 (RBAC)」を参照してください。
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Entra ID
- Office 365
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
ロールベースのアクセス制御 (RBAC) を使用して、セキュリティ運用チーム内にロールとグループを作成して、ポータルへの適切なアクセス権を付与できます。 作成したロールとグループに基づいて、ポータルへのアクセス権を持つユーザーが表示および実行できる操作をきめ細かく制御できます。
大規模な geo 分散セキュリティ運用チームは、通常、セキュリティ ポータルへのアクセスを割り当てて承認するために、階層ベースのモデルを採用します。 一般的なレベルには、次の 3 つのレベルがあります。
| 階層 | 説明 |
|---|---|
| 階層 1 | ローカル セキュリティ運用チーム / IT チーム このチームは通常、位置情報に含まれるアラートをトリアージして調査し、アクティブな修復が必要な場合は階層 2 にエスカレートします。 |
| 階層 2 | 地域のセキュリティ運用チーム このチームは、リージョンのすべてのデバイスを確認し、修復アクションを実行できます。 |
| 階層 3 | グローバル セキュリティ運用チーム このチームはセキュリティの専門家で構成され、ポータルからすべてのアクションを表示および実行する権限を与えられます。 |
注:
階層 0 の資産については、セキュリティ管理者がMicrosoft Defender for EndpointとMicrosoft Defender XDRをより詳細に制御するためのPrivileged Identity Managementに関するページを参照してください。
Defender for Endpoint RBAC は、選択した階層またはロールベースのモデルをサポートするように設計されており、表示できるロール、アクセスできるデバイス、実行できるアクションをきめ細かく制御できます。 RBAC フレームワークは、次のコントロールを中心としています。
- 特定のアクションを実行できるユーザーを制御する
- カスタム ロールをCreateし、アクセスできる Defender for Endpoint 機能を細分性で制御します。
- 特定のデバイス グループまたはグループに関する情報を表示できるユーザーを制御する
名前、タグ、ドメインなどの特定の条件でデバイス グループをCreateし、特定のMicrosoft Entraユーザー グループを使用してそれらにロール アクセス権を付与します。
注:
デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。
ロールベースのアクセスを実装するには、管理者ロールを定義し、対応するアクセス許可を割り当て、ロールに割り当てられたユーザー グループMicrosoft Entra割り当てる必要があります。
はじめに
RBAC を使用する前に、アクセス許可を付与できるロールと、RBAC を有効にした場合の結果を理解しておくことが重要です。
警告
この機能を有効にする前に、Microsoft Entra IDでグローバル管理者ロールまたはセキュリティ管理者ロールを持っていること、およびポータルからロックアウトされるリスクを軽減するためにMicrosoft Entra グループを準備しておく必要があります。
Microsoft Defender ポータルに初めてログインすると、フル アクセスまたは読み取り専用アクセス権が付与されます。 Microsoft Entra IDのセキュリティ管理者ロールまたはグローバル管理者ロールを持つユーザーには、フル アクセス権が付与されます。 読み取り専用アクセス権は、Microsoft Entra IDのセキュリティ閲覧者ロールを持つユーザーに付与されます。
Defender for Endpoint グローバル管理者 ロールを持つユーザーは、デバイス グループの関連付けとMicrosoft Entraユーザー グループの割り当てに関係なく、すべてのデバイスに無制限にアクセスできます。
警告
最初は、Microsoft Entraグローバル管理者またはセキュリティ管理者権限を持つユーザーのみが、Microsoft Defender ポータルでロールを作成して割り当てることができます。そのため、Microsoft Entra IDで適切なグループを準備することが重要です。
ロールベースのアクセス制御を有効にすると、読み取り専用アクセス許可を持つユーザー (たとえば、Microsoft Entraセキュリティ閲覧者ロールに割り当てられたユーザー) は、ロールに割り当てられるまでアクセスできなくなります。
管理者アクセス許可を持つユーザーには、完全なアクセス許可を持つ既定の組み込み Defender for Endpoint グローバル管理者ロールが自動的に割り当てられます。 RBAC の使用をオプトインした後、グローバル管理者またはセキュリティ管理者Microsoft Entraされていない追加のユーザーを Defender for Endpoint グローバル管理者ロールに割り当てることができます。
RBAC の使用をオプトインした後は、ポータルに初めてログインしたときと同様に、初期ロールに戻すことはできません。
関連トピック
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示