Microsoft Defender for Identityは、organization固有のセキュリティとコンプライアンスのニーズに応じてデータを保護するためのロールベースのセキュリティを提供します。 役割グループを使用して Defender for Identity へのアクセスを管理し、セキュリティ チーム全体で責任を分離し、ユーザーがジョブを実行するために必要なアクセス権の量のみを付与することをお勧めします。
統一されたロールベースのアクセス制御 (RBAC)
テナントのMicrosoft Entra IDでグローバル管理者またはセキュリティ管理者になっているユーザーも、自動的に Defender for Identity 管理者になります。 Microsoft Entraグローバル管理者とセキュリティ管理者は、Defender for Identity にアクセスするための追加のアクセス許可を必要としません。
他のユーザーの場合は、Microsoft 365 ロールベースのアクセス制御 (RBAC) を有効にして使用してカスタム ロールを作成し、既定でセキュリティ オペレーターやセキュリティ 閲覧者などのより多くのEntra IDロールをサポートして Defender for Identity へのアクセスを管理します。
重要
2025 年 3 月 2 日以降、新しいMicrosoft Defender for Identity テナントは、Microsoft Defender XDR Unified Role-Based Access Control (RBAC) を介してのみアクセス許可を構成できます。 この日付より前にロールが割り当てられているかエクスポートされたテナントは、現在の構成を保持します。
カスタム ロールを作成するときは、次の表に示すアクセス許可を必ず適用してください。
| Defender for Identity アクセス レベル | 最低限必要な Microsoft 365 統合 RBAC アクセス許可 |
|---|---|
| Administrators | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Users | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| 閲覧者 | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
詳細については、「Microsoft Defender XDRのロールベースのアクセス制御でのカスタム ロール」および「Microsoft Defender XDR統合 RBAC を使用してカスタム ロールを作成する」を参照してください。
注:
Defender for Cloud Apps アクティビティ ログに含まれる情報には、Defender for Identity データが含まれている場合があります。 このコンテンツは、既存のDefender for Cloud Appsアクセス許可に準拠しています。
例外: Microsoft Defender for Cloud AppsでMicrosoft Defender for Identityアラートのスコープ付きデプロイを構成した場合、これらのアクセス許可は引き継がれず、関連するポータル ユーザーに対してセキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) アクセス許可を明示的に付与する必要があります。
Microsoft Defender XDRの Defender for Identity に必要なアクセス許可
次の表では、Microsoft Defender XDRの Defender for Identity アクティビティに必要な特定のアクセス許可について詳しくは、次の表をご覧ください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
| アクティビティ | 最低限必要なアクセス許可 |
|---|---|
| Defender for Identity のオンボード (ワークスペースの作成) | セキュリティ管理者 |
| Defender for Identity 設定を構成する | 次のいずれかのMicrosoft Entraロール: - セキュリティ管理者 - セキュリティオペレーター Or 次の 統合 RBAC アクセス許可: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Defender for Identity 設定を表示する | Microsoft Entraロール: - セキュリティ 閲覧者 Or 次の 統合 RBAC アクセス許可: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Defender for Identity セキュリティのアラートとアクティビティを管理する | 次のいずれかのMicrosoft Entraロール: - セキュリティオペレーター Or 次の 統合 RBAC アクセス許可: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Defender for Identity セキュリティ評価を表示する (Microsoft Secure Score の一部になりました) |
Microsoft Secure Score にアクセスするためのアクセス許可 And 次の 統合 RBAC アクセス許可: Security operations/Security data /Security data basics (Read) |
| [資産/ID] ページを表示する |
Defender for Cloud Appsにアクセスするためのアクセス許可 Or Microsoft Defender XDRで必要なMicrosoft Entraロールの 1 つ |
| Defender for Identity 応答アクションを実行する |
応答 (管理) のアクセス許可で定義されたカスタム ロール Or 次のいずれかのMicrosoft Entraロール: - セキュリティオペレーター |
Defender for Identity セキュリティ グループ
重要
3 月 2 日以降、Defender for Identity はセキュリティ グループMicrosoft Entra ID作成されなくなります。 テナントは、Microsoft Defender XDR統合 Role-Based Access Control (RBAC) を使用して同じアクセス許可を引き続き構成できます
Defender for Identity には、Defender for Identity リソースへのアクセスを管理するのに役立つ次のセキュリティ グループが用意されています。
- Azure ATP (ワークスペース名) 管理者
- Azure ATP (ワークスペース名) ユーザー
- Azure ATP (ワークスペース名) 閲覧者
次の表に、各セキュリティ グループで使用できるアクティビティの一覧を示します。
| アクティビティ | Azure ATP (ワークスペース名) 管理者 | Azure ATP (ワークスペース名) ユーザー | Azure ATP (ワークスペース名) 閲覧者 |
|---|---|---|---|
| 正常性の問題の状態を変更する | 使用可能 | 使用不可 | 使用不可 |
| セキュリティ アラートの状態を変更 する (再度開く、閉じる、除外する、抑制する) | 使用可能 | 使用可能 | 使用不可 |
| ワークスペースの削除 | 使用可能 | 使用不可 | 使用不可 |
| レポートをダウンロードする | 使用可能 | 使用可能 | 使用可能 |
| サインイン | 使用可能 | 使用可能 | 使用可能 |
| セキュリティ アラートの共有/エクスポート (メール、リンクの取得、詳細のダウンロード) | 使用可能 | 使用可能 | 使用可能 |
| Defender for Identity 構成の更新 (更新) | 使用可能 | 使用不可 | 使用不可 |
| Defender for Identity 構成を更新 する (機密性の高いエンティティ タグと honeytoken の両方を含む) | 使用可能 | 使用可能 | 使用不可 |
| Defender for Identity 構成の更新 (除外) | 使用可能 | 使用可能 | 使用不可 |
| Defender for Identity 構成の更新 (言語) | 使用可能 | 使用可能 | 使用不可 |
| Defender for Identity 構成の更新 (電子メールと syslog の両方を含む通知) | 使用可能 | 使用可能 | 使用不可 |
| Defender for Identity 構成の更新 (プレビュー検出) | 使用可能 | 使用可能 | 使用不可 |
| Defender for Identity 構成の更新 (スケジュールされたレポート) | 使用可能 | 使用可能 | 使用不可 |
| Defender for Identity 構成の更新 (ディレクトリ サービス、SIEM、VPN、Defender for Endpoint を含むデータ ソース) | 使用可能 | 使用不可 | 使用不可 |
| Defender for Identity 構成の更新 (ソフトウェアのダウンロード、キーの再生成、構成、削除など、センサー管理) | 使用可能 | 使用不可 | 使用不可 |
| エンティティ プロファイルとセキュリティ アラートを表示する | 使用可能 | 使用可能 | 使用可能 |
ユーザーの追加と削除
Defender for Identity では、Microsoft Entraセキュリティ グループが役割グループの基礎として使用されます。
Azure portalの [グループ管理] ページからロール グループを管理します。 セキュリティ グループMicrosoft Entraユーザーのみを追加または削除できます。
ID スコープの割り当て
ユーザー Role-Based Access Control (URBAC) を使用すると、組織は特定の Active Directory ドメインに対する可視性を制限するカスタム ロールを定義できます。 これらのスコープ付きロールに割り当てられた個人には、Defender XDR ロールの割り当てに含まれる Active Directory ドメインに関連するアラート、ID、アクティビティなどのデータのみが表示されます。
詳細については、「Microsoft Defender for Identityのスコープアクセス」を参照してください。