Azure Active Directory グローバル ロールを使用して Microsoft 365 Defender へのアクセスを管理するManage access to Microsoft 365 Defender with Azure Active Directory global roles


改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Microsoft 365 Defender へのアクセスを管理するには、2 つの方法があります。There are two ways to manage access to Microsoft 365 Defender

  • グローバル Azure Active Directory (AD) ロールGlobal Azure Active Directory (AD) roles
  • カスタム ロール アクセスCustom role access

次のグローバル Azure Active Directory (AD) ロールが割り当てられているアカウントは、Microsoft 365 Defender の機能とデータにアクセスできます。Accounts assigned the following Global Azure Active Directory (AD) roles can access Microsoft 365 Defender functionality and data:

  • グローバル管理者Global administrator
  • セキュリティ管理者Security administrator
  • セキュリティ オペレーターSecurity Operator
  • グローバル閲覧者Global Reader
  • セキュリティ閲覧者Security Reader

これらのロールを持つアカウントを確認するには、Microsoft 365 セキュリティ センターで権限を表示します。To review accounts with these roles, view Permissions in the Microsoft 365 security center.

カスタム ロール アクセス は、Microsoft 365 Defender の新機能であり、Microsoft Defender 365 の特定のデータ、タスク、および機能へのアクセスを管理できます。Custom role access is a new capability in Microsoft 365 Defender and allows you to manage access to specific data, tasks, and capabilities in Microsoft Defender 365. カスタム ロールは、グローバル Azure ADロールよりも多くの制御を提供し、必要な最小限の役割で必要なアクセスのみをユーザーに提供します。Custom roles offer more control than global Azure AD roles, providing users only the access they need with the least-permissive roles necessary. カスタム ロールは、グローバル Azure ロールとカスタム ロールにADできます。Custom roles can be created in addition to global Azure AD roles. カスタム ロールの詳細を参照してくださいLearn more about custom roles.

![メモ]この記事は、グローバル Azure Active Directory ロールの管理にのみ適用されます。![NOTE] This article applies only to managing global Azure Active Directory roles. カスタムの役割ベースのアクセス制御の使用の詳細については、「役割ベースのアクセス制御のカスタム ロール」を参照してください。For more information about using custom role-based access control, see Custom roles for role-based access control

機能へのアクセスAccess to functionality

特定の機能へのアクセスは、Azure AD でのロールによって決まります。Access to specific functionality is determined by your Azure AD role. ユーザーまたはユーザー グループに新しい役割を割り当てる必要がある場合は、グローバル管理者にお問い合わせください。Contact a global administrator if you need access to specific functionality that requires you or your user group be assigned a new role.

保留中の自動化タスクを承認するApprove pending automated tasks

調査と修復の自動化」 は、調査中に見つかったメール、転送ルール、ファイル、持続性機構など、その他の成果物に対処できます。Automated investigation and remediation can take action on emails, forwarding rules, files, persistence mechanisms, and other artifacts found during investigations. 明示的な承認が必要な保留中のアクションを承認または拒否するには、Microsoft 365 に特定の役割が割り当てられている必要があります。To approve or reject pending actions that require explicit approval, you must have certain roles assigned in Microsoft 365. 詳細については、「アクションセンターの権限」をご覧ください。To learn more, see Action center permissions.

データへのアクセスAccess to data

Microsoft 365 Defender データへのアクセスは、Microsoft Defender for Endpoint の役割ベースのアクセス制御 (RBAC) のユーザー グループに割り当てられたスコープを使用して制御できます。Access to Microsoft 365 Defender data can be controlled using the scope assigned to user groups in Microsoft Defender for Endpoint role-based access control (RBAC). Defender for Endpoint の特定のデバイス セットにアクセスできない場合は、Microsoft 365 Defender のデータにフル アクセスできます。If your access has not been scoped to a specific set of devices in the Defender for Endpoint, you will have full access to data in Microsoft 365 Defender. ただし、アカウントのスコープを指定すると、対象のデバイスに関するデータのみが表示されるようになります。However, once your account is scoped, you will only see data about the devices in your scope.

たとえば、Microsoft Defender for Endpoint の役割を持つ 1 つのユーザー グループにのみ属し、そのユーザー グループに販売デバイスへのアクセス権が与えられた場合、Microsoft 365 Defender の販売デバイスに関するデータだけが表示されます。For example, if you belong to only one user group with a Microsoft Defender for Endpoint role and that user group has been given access to sales devices only, you will see only data about sales devices in Microsoft 365 Defender. Microsoft Defender for Endpoint の RBAC 設定の詳細Learn more about RBAC settings in Microsoft Defender for Endpoint

Microsoft Cloud App Security のアクセス制御Microsoft Cloud App Security access controls

プレビュー中、Microsoft 365 Defender は Cloud App Security 設定に基づいてアクセス制御を適用しない。During the preview, Microsoft 365 Defender does not enforce access controls based on Cloud App Security settings. Microsoft 365 Defender データへのアクセスは、これらの設定の影響を受け取る必要があります。Access to Microsoft 365 Defender data is not affected by these settings.