Microsoft 365 Defender の役割ベースのアクセス制御のカスタム ロールCustom roles in role-based access control for Microsoft 365 Defender

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。Microsoft makes no warranties, express or implied, with respect to the information provided here.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Microsoft 365 Defender へのアクセスに使用できる役割には、次の 2 種類があります。There are two types of roles that can be used to access to Microsoft 365 Defender:

  • グローバル Azure Active Directory (AD) ロールGlobal Azure Active Directory (AD) roles
  • カスタム ロールCustom roles

Microsoft 365 Defender へのアクセスは、Azure Active Directory (AAD)のグローバル ロールを使用してまとめて管理できます。Access to Microsoft 365 Defender can be managed collectively by using Global roles in Azure Active Directory (AAD)

特定の製品データへのアクセスを柔軟に制御する必要がある場合、Microsoft 365 Defender アクセスは、それぞれのセキュリティ ポータルを介してカスタム ロールを作成して管理することもできます。If you need greater flexibility and control over access to specific product data, Microsoft 365 Defender access can also be managed with the creation of Custom roles through each respective security portal.

たとえば、Microsoft Defender for Endpoint を介して作成されたカスタム ロールを使用すると、Microsoft 365 セキュリティ センター内のエンドポイント データを含む関連する製品データにアクセスできます。For example, a Custom role created through Microsoft Defender for Endpoint would allow access to the relevant product data, including Endpoint data within the Microsoft 365 security center. 同様に、microsoft Defender for Office 365 で作成されたカスタム ロールでは、Microsoft 365 セキュリティ センター内のメール & コラボレーション データなど、関連する製品データにアクセスできます。Similarly, a Custom role created through Microsoft Defender for Office 365 would allow access to the relevant product data, including Email & collaboration data within the Microsoft 365 security center.

既存のカスタム ロールを持つユーザーは、既存のワークロードのアクセス許可に従って Microsoft 365 セキュリティ センターのデータにアクセスできます。追加の構成は不要です。Users with existing Custom roles may access data in the Microsoft 365 security center according to their existing workload permissions with no additional configuration required.

カスタム ロールの作成と管理Create and manage custom roles

カスタム ロールとアクセス許可は、次の各セキュリティ ポータルを介して作成および個別に管理できます。Custom roles and permissions can be created and individually managed through each of the following security portals:

個々のポータルを介して作成された各カスタム ロールにより、関連する製品ポータルのデータにアクセスできます。Each custom role created through an individual portal allows access to the data of the relevant product portal. たとえば、Microsoft Defender for Endpoint を介して作成されたカスタム ロールは、Defender for Endpoint データへのアクセスのみを許可します。For example, a custom role created through Microsoft Defender for Endpoint will only allow access to Defender for Endpoint data.

ヒント

アクセス許可と役割は、ナビゲーション ウィンドウから [アクセス許可] と [役割の&選択して、Microsoft 365 セキュリティ センターからアクセスすることもできます。Permissions and roles can also be accessed through the Microsoft 365 security center by selecting Permissions & roles from the navigation pane. Microsoft Cloud App Security (MCAS) へのアクセスは MCAS ポータルを通じて管理され、Microsoft Defender for Identity へのアクセスも制御します。Access to Microsoft Cloud App Security (MCAS) is managed through the MCAS portal and controls access to Microsoft Defender for Identity as well. 「Microsoft Cloud App Security」を参照してください。See Microsoft Cloud App Security

注意

Microsoft Cloud App Security で作成されたカスタム ロールは、Id データ用の Microsoft Defender にもアクセスできます。Custom roles created in Microsoft Cloud App Security have access to Microsoft Defender for Identity data as well. ユーザー グループ管理者またはアプリ/インスタンス管理者の Microsoft Cloud App Security ロールを持つユーザーは、Microsoft 365 セキュリティ センターを介して Microsoft Cloud App Security データにアクセスできない。Users with User group admin, or App/instance admin Microsoft Cloud App Security roles are not able to access Microsoft Cloud App Security data through the Microsoft 365 security center.

Microsoft 365 セキュリティ センターでアクセス許可と役割を管理するManage permissions and roles in the Microsoft 365 security center

アクセス許可と役割は、Microsoft 365 セキュリティ センターでも管理できます。Permissions and roles can also be managed in the Microsoft 365 security center:

  1. Microsoft 365 セキュリティ センター (microsoft 365 セキュリティ センター) にサインイン security.microsoft.com。Sign in to the Microsoft 365 security center at security.microsoft.com.
  2. ナビゲーション ウィンドウで、[アクセス許可] を選択&しますIn the navigation pane, select Permissions & roles.
  3. [アクセス許可 ] ヘッダーで 、[役割] を 選択しますUnder the Permissions header, select Roles.

注意

これは、Defender for Office 365 および Defender for Endpoint にのみ適用されます。This only applies to Defender for Office 365 and Defender for Endpoint. 他のワークロードへのアクセスは、関連するポータルで行う必要があります。Access for other workloads must be done in their relevant portals.

必要な役割と権限Required roles and permissions

次の表に、各ワークロードの各統合エクスペリエンスにアクセスするために必要な役割とアクセス許可の概要を示します。The following table outlines the roles and permissions required to access each unified experience in each workload. 以下の表で定義されている役割は、個々のポータルのカスタム ロールを参照し、同様に名前が付けられた場合でも、Azure AD のグローバル ロールには接続されません。Roles defined in the table below refer to custom roles in individual portals and are not connected to global roles in Azure AD, even if similarly named.

注意

インシデント管理には、インシデントの一部であるすべての製品に対する管理アクセス許可が必要です。Incident management requires management permissions for all products that are part of the incident.

Microsoft 365 Defender では、次のいずれかの役割が必要ですOne of the following roles are required for Microsoft 365 Defender Defender for Endpoint では、次のいずれかの役割が必要ですOne of the following roles are required for Defender for Endpoint 365 の Defender に必要な役割は、次Officeです。One of the following roles are required for Defender for Office 365 Cloud App Security では、次のいずれかの役割が必要ですOne of the following roles are required for Cloud App Security
調査データの表示:Viewing investigation data:
  • [アラート] ページAlert page
  • アラート キューAlerts queue
  • インシデントIncidents
  • インシデント キューIncident queue
  • アクション センターAction center
データの表示 - セキュリティ操作View data- security operations
  • [表示のみ] アラートの管理View-only Manage alerts
  • 組織の構成Organization configuration
  • 監査ログAudit logs
  • 表示のみ可能な監査ログView-only audit logs
  • セキュリティ閲覧者Security reader
  • セキュリティ管理者Security admin
  • 表示専用の受信者View-only recipients
  • グローバル管理者Global admin
  • セキュリティ管理者Security admin
  • コンプライアンス管理者Compliance admin
  • セキュリティ オペレーターSecurity operator
  • セキュリティ閲覧者Security reader
  • グローバル閲覧者Global reader
ハンティング データの表示Viewing hunting data データの表示 - セキュリティ操作View data- security operations
  • セキュリティ閲覧者Security reader
  • セキュリティ管理者Security admin
  • 表示専用の受信者View-only recipients
  • グローバル管理者Global admin
  • セキュリティ管理者Security admin
  • コンプライアンス管理者Compliance admin
  • セキュリティ オペレーターSecurity operator
  • セキュリティ閲覧者Security reader
  • グローバル閲覧者Global reader
アラートとインシデントの管理Managing alerts and incidents アラートの調査Alerts investigation
  • アラートの管理Manage alerts
  • セキュリティ管理者Security admin
  • グローバル管理者Global admin
  • セキュリティ管理者Security admin
  • コンプライアンス管理者Compliance admin
  • セキュリティ オペレーターSecurity operator
  • セキュリティ閲覧者Security reader
アクション センターの修復Action center remediation アクティブな修復アクション – セキュリティ操作Active remediation actions – security operations 検索と削除Search and purge
カスタム検出の設定Setting custom detections セキュリティ設定の管理Manage security settings
  • アラートの管理Manage alerts
  • セキュリティ管理者Security admin
  • グローバル管理者Global admin
  • セキュリティ管理者Security admin
  • コンプライアンス管理者Compliance admin
  • セキュリティ オペレーターSecurity operator
  • セキュリティ閲覧者Security reader
  • グローバル閲覧者Global reader
脅威の分析Threat Analytics アラートとインシデント のデータ:Alerts and incidents data:
  • データの表示 - セキュリティ操作View data- security operations
TVM の軽減策:TVM mitigations:
  • データの表示 - 脅威と脆弱性の管理View data - Threat and vulnerability management
アラートとインシデント のデータ:Alerts and incidents data:
  • [表示のみ] アラートの管理View-only Manage alerts
  • アラートの管理Manage alerts
  • 組織の構成Organization configuration
  • 監査ログAudit logs
  • 表示のみ可能な監査ログView-only audit logs
  • セキュリティ閲覧者Security reader
  • セキュリティ管理者Security admin
  • 表示専用の受信者View-only recipients
電子メールの試行を防止します。Prevented email attempts:
  • セキュリティ閲覧者Security reader
  • セキュリティ管理者Security admin
  • 表示専用の受信者View-only recipients
MCAS または MDI ユーザーには使用できませんNot available for MCAS or MDI users

たとえば、Microsoft Defender for Endpoint のハンティング データを表示するには、データ セキュリティ操作のアクセス許可を表示する必要があります。For example, to view hunting data from Microsoft Defender for Endpoint, View data security operations permissions are required.

同様に、Microsoft Defender for Office 365 のハンティング データを表示するには、次のいずれかの役割が必要です。Similarly, to view hunting data from Microsoft Defender for Office 365, users would require one of the following roles:

  • データ セキュリティ操作の表示View data security operations
  • セキュリティ閲覧者Security reader
  • セキュリティ管理者Security admin
  • 表示専用の受信者View-only recipients