次の方法で共有

Microsoft Defender XDR統合 RBAC を使用してカスタム ロールを作成する

  • 適用対象: Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR, Microsoft Defender for Identity, Microsoft Defender for Office 365 P2, Microsoft Defender Vulnerability Management, Microsoft Defender for Cloud, Microsoft Security Exposure Management, Microsoft Defender for Cloud Apps, Microsoft Sentinel data lake

この記事では、Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) でカスタム ロールを作成する方法について説明します。 Microsoft Defender XDR統合 RBAC を使用すると、特定のアクセス許可を持つカスタム ロールを作成し、ユーザーまたはグループに割り当てることができます。これにより、Microsoft Defenderポータル エクスペリエンスへのアクセスをきめ細かく制御できます。

Microsoft Sentinel データ レイクのカスタム ロールの作成は、プレビューでサポートされています。

前提条件

Microsoft Defender XDR統合 RBAC でカスタム ロールを作成するには、次のいずれかのロールまたはアクセス許可を割り当てる必要があります。

  • Microsoft Entra IDのグローバル管理者またはセキュリティ管理者。
  • 統合 RBAC で割り当てられているすべての承認アクセス許可Microsoft Defender XDR。

アクセス許可の詳細については、「 アクセス許可の前提条件」を参照してください。

ヒント

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 このプラクティスは、organizationのセキュリティを向上させるのに役立ちます。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

セキュリティ操作またはデータ操作アクセス許可グループを使用してMicrosoft Sentinel データ レイクのカスタム ロールを作成するには、Microsoft Sentinelに対して Log Analytics ワークスペースを有効にして Defender ポータルにオンボードする必要があります。

カスタム役割を作成する

次の手順では、Microsoft Defender ポータルでカスタム ロールを作成する方法について説明します。

  1. Microsoft Defender ポータルにサインインします。 横のナビゲーション ウィンドウで、下にスクロールして [ アクセス許可] を選択します。

  2. [アクセス許可] ページの [Microsoft Defender XDR] で、[ロール>カスタム ロールの作成] を選択します。

  3. 開いたウィザードの [ 基本 ] タブで、ロール名とオプションの説明を入力し、[ 次へ] を選択します。

  4. [ アクセス許可の選択 ] ページで、必要に応じて次の各項目を選択して、その領域のアクセス許可を構成します。

    • セキュリティ運用
    • セキュリティ体制
    • 承認と設定
    • データ操作 (プレビュー)。 Microsoft Sentinel データ レイク データ収集でサポートされます。

    各アクセス許可グループの説明列にカーソルを合わせると、そのグループで使用できるアクセス許可の詳細な説明が表示されます。

    選択したアクセス許可グループごとに、追加の [承認と設定] サイド ウィンドウのスライドが開きます。ここで、ロールに割り当てる特定のアクセス許可を選択できます。

    [すべての読み取り専用アクセス許可] または [すべての読み取りおよび管理アクセス許可] を選択した場合、これらのカテゴリに後で追加された新しいアクセス許可も、このロールの下に自動的に割り当てられます。

    詳細については、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)のアクセス許可」を参照してください。

  5. 各アクセス許可グループのアクセス許可の割り当てを完了したら、[ 適用 ] を選択し、[ 次へ ] を選択して次のアクセス許可グループに進みます。

    注:

    すべての読み取り専用またはすべての読み取りおよび管理アクセス許可が割り当てられている場合、今後このカテゴリに追加された新しいアクセス許可は、このロールの下に自動的に割り当てられます。

    カスタム アクセス許可を割り当て、新しいアクセス許可がこのカテゴリに追加された場合は、必要に応じて新しいアクセス許可でロールを再割り当てする必要があります。

  6. 関連するアクセス許可グループのアクセス許可を選択したら、[ 適用 ] を選択し、[ 次へ ] を選択してユーザーとデータ ソースを割り当てます。

  7. [ ユーザーとデータ ソースの割り当て ] ページで、[ 割り当ての追加] を選択します。

    1. [ 割り当ての追加 ] サイド ウィンドウで、次の詳細を入力します。

      • 割り当て名: 割り当てのわかりやすい名前を入力します。
      • 従業員: Microsoft Entraセキュリティ グループまたは個々のユーザーを選択して、ユーザーをロールに割り当てます。
      • データ ソース: [ データ ソース ] ドロップダウンを選択し、割り当てられたユーザーが選択したアクセス許可を持つサービスを選択します。 Microsoft Defender for Endpointなど、1 つのデータ ソースに読み取り専用アクセス許可を割り当てた場合、割り当てられたユーザーは、Microsoft Defender for Office 365やMicrosoft Defender for Identity。

    2. [将来のデータ ソースを自動的に含める] を選択して、統合 RBAC でサポートされている他のすべてのデータ ソースMicrosoft Defender含めます。 このオプションを選択すると、統合 RBAC サポート用に追加された将来のデータ ソースも自動的に割り当てに追加されます。

    3. [割り当ての追加] サイド ウィンドウの [データ コレクション] 領域に、既定Microsoft Sentinelデータ レイクが既定で一覧表示されます。 [ 編集] を 選択して、データ レイクへのアクセスを削除するか、カスタム データ レイクの選択を定義します。

    注:

    Microsoft Defender XDR統合 RBAC では、同じロールで必要な数の割り当てを同じアクセス許可で作成できます。 たとえば、すべてのデータ ソースにアクセスできるロール内に割り当てを割り当て、Defender for Endpoint データ ソースからのエンドポイント アラートへのアクセスのみを必要とするチームに対して個別の割り当てを行うことができます。 これにより、ロールの最小数を維持できます。

  8. [ ユーザーとデータ ソースの割り当て] ページに戻り、[ 次へ ] を選択してロールと割り当ての詳細を確認します。 [ 送信] を 選択してロールを作成します。

ロールとアクセス許可にアクセスして管理するロールを作成する

Microsoft Entra IDのグローバル管理者またはセキュリティ管理者でなくても、ロールとアクセス許可にアクセスして管理するには、承認アクセス許可を持つロールを作成します。 このロールを作成するには:

  1. Microsoft Defender ポータルにグローバル管理者またはセキュリティ管理者としてサインインします。

  2. ナビゲーション ウィンドウで、[アクセス許可] > Microsoft Defender XDR > [ロール] > [カスタム ロールの作成] を選択します。

  3. ロールの名前と説明を入力し、[ 次へ] を選択します。

  4. [ 承認と設定] を選択し、[ 承認と設定 ] サイド ウィンドウで [ カスタム アクセス許可の選択] を選択します

  5. [ 承認] で、次のいずれかのオプションを選択します。

    • すべてのアクセス許可を選択します。 ユーザーは、ロールとアクセス許可を作成および管理できます。
    • 読み取り専用。 ユーザーは、読み取り専用モードでロールとアクセス許可にアクセスして表示できます。

    例:

    [アクセス許可とロール] ページのスクリーンショット

  6. [ 適用] を選択し、[ 次へ ] を選択してユーザーとデータ ソースを割り当てます。

  7. [ 割り当ての追加] を選択し、[ 割り当て名] を入力します。

  8. [承認] アクセス許可を持つユーザーがアクセス権を持つデータ ソースを選択するには、次のいずれかのオプションを選択します。

    • すべてのデータ ソースを選択する: これにより、新しいロールを作成し、すべてのデータ ソースのロールを管理するためのアクセス許可がユーザーに付与されます。
    • 特定のデータ ソースを選択する: これにより、新しいロールを作成し、特定のデータ ソースのロールを管理するためのアクセス許可がユーザーに付与されます。 たとえば、ドロップダウンから [Microsoft Defender for Endpoint] を選択して、Microsoft Defender for Endpoint データ ソースに対してのみ承認アクセス許可をユーザーに付与します。
    • データ レイクコレクションMicrosoft Sentinel: このオプションを選択すると、Microsoft Sentinel データ レイクの承認アクセス許可がユーザーに付与されます。

  9. [割り当てられたユーザーとグループ] で、ロールを割り当てるMicrosoft Entraセキュリティ グループまたは個々のユーザーを選択し、[追加] を選択します

  10. [ 次へ ] を選択してロールの確認と作成を完了し、[送信] を選択 します

注:

Microsoft Defender XDR セキュリティ ポータルで、新しいロールまたはインポートされたロールで構成されたアクセス許可と割り当ての適用を開始するには、新しいMicrosoft Defender XDR統合 RBAC モデルをアクティブにする必要があります。 詳細については、「Microsoft Defender XDR統合 RBAC のアクティブ化」を参照してください。

Microsoft Defender for Identityのスコープ付きロールを構成する

Microsoft Defender for Identity (MDI) のスコープ付きアクセスは、現在パブリック プレビュー段階です。 スコープ付きアクセスは、Microsoft Defender XDRの統合 RBAC (URBAC) モデルを使用して構成できます。 これにより、特定の Active Directory ドメインへのアクセスと可視性を制限し、チームの責任に合わせて調整し、不要なデータの公開を減らすことができます。

詳細については、「Microsoft Defender for Identityのスコープ付きアクセスを構成する」を参照してください。

次の手順

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。