この記事では、Microsoft Sentinel が Microsoft Sentinel SIEM と Microsoft Sentinel データ レイクの両方のユーザー ロールにアクセス許可を割り当て、各ロールで許可されるアクションを識別する方法について説明します。
Microsoft Sentinel は 、Azure ロールベースのアクセス制御 (Azure RBAC) を 使用して、Microsoft Sentinel SIEM の組み込みロールとカスタム ロールを提供し、 Microsoft Entra ID ロールベースのアクセス制御 (Microsoft Entra ID RBAC) を使用して、Microsoft Sentinel データ レイクの組み込みロールとカスタム ロールを提供します。
Azure または Microsoft Entra ID で、ユーザー、グループ、およびサービスにロールを割り当てることができます。
Important
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
Important
Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
Microsoft Sentinel 用の組み込みの Azure ロール
次の組み込みの Azure ロールは、Microsoft Sentinel SIEM に使用され、Microsoft Sentinel Data Lake のサポートを含め、ワークスペース データへの読み取りアクセス権を付与します。 最適な結果を得るには、リソース グループ レベルでこれらのロールを割り当てます。
| Role | SIEM のサポート | Data Lake のサポート |
|---|---|---|
| Microsoft Sentinel 閲覧者 | データ、インシデント、ブック、推奨事項、その他のリソースを表示する | 高度な分析にアクセスし、ワークスペースでのみ対話型クエリを実行します。 |
| Microsoft Sentinel レスポンダー | すべての閲覧者のアクセス許可とインシデントの管理 | N/A |
| Microsoft Sentinel 共同作成者 | レスポンダーのすべてのアクセス許可に加えて、ソリューションのインストール/更新、リソースの作成/編集 | 高度な分析にアクセスし、ワークスペースでのみ対話型クエリを実行します。 |
| Microsoft Sentinel のプレイブック オペレーター | プレイブックを一覧表示し、手動で実行する | N/A |
| Microsoft Sentinel Automation 協力者 | Microsoft Sentinel がプレイブックをオートメーション ルールに追加できるようにします。 ユーザー アカウントには使用されません。 | N/A |
たとえば、次の表は、各ロールが Microsoft Sentinel で実行できるタスクの例を示しています。
| Role | プレイブックを実行する | プレイブックの作成/編集 | アナリティクスルール、ワークブックなどを作成/編集します。 | インシデントを管理する | データ、インシデント、ワークブック、推奨事項を表示する | コンテンツ ハブの管理 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 閲覧者 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel レスポンダー | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 共同作成者 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel のプレイブック オペレーター | ✓ | -- | -- | -- | -- | -- |
| ロジック アプリの共同作成者 | ✓ | ✓ | -- | -- | -- | -- |
* ワークブック共同作成者の役割を持っています。
Microsoft Sentinel ワークスペースを含むリソース グループにロールを割り当てることをお勧めします。 これにより、Logic Apps やプレイブックなど、すべての関連リソースが同じロールの割り当てでカバーされるようになります。
もう 1 つの方法として、Microsoft Sentinel ワークスペース自体にロールを直接割り当てます。 これを行う場合は、そのワークスペースの SecurityInsights ソリューション リソースにも同じロールを割り当てる必要があります。 他のリソースにもそれらを割り当てることが必要になる場合があり、リソースへのロールの割り当てを継続的に管理する必要があります。
特定タスク用の追加ロール
特定のジョブ要件があるユーザーには、タスクを実行するために、その他のロールまたは特定のアクセス許可を割り当てることが必要な場合があります。 例えば次が挙げられます。
| Task | 必要なロールおよびアクセス許可 |
|---|---|
| データ ソースを接続する | ワークスペースに対する書き込みアクセス許可。 コネクタごとに必要な追加のアクセス許可については、コネクタのドキュメントを確認してください。 |
| コンテンツ ハブからコンテンツを管理する | リソース グループ レベルでの Microsoft Sentinel 共同作成者 |
| プレイブックを使用して応答を自動化する |
プレイブックを実行するための Microsoft Sentinel プレイブック オペレーター、プレイブックを作成/編集するための ロジック アプリ共同作成者 。 Microsoft Azure Sentinel では、自動化された脅威の対応にプレイブックを使用します。 プレイブックは、Azure Logic Apps に基づいて構築されている、別の Azure リソースです。 セキュリティ運用チームの特定のメンバーに、セキュリティ オーケストレーション、自動化、および応答 (SOAR) の操作で Logic Apps を使用する権能を割り当てることができます。 |
| Microsoft Sentinel でオートメーションを使用してプレイブックを実行できるようにする | サービス アカウントには、プレイブック リソース グループに対する明示的なアクセス許可が必要です。これらを割り当てるには、アカウントに 所有者 アクセス許可が必要です。 Microsoft Sentinel は、特別なサービス アカウントを使用して、インシデントトリガー プレイブックを手動で実行したり、自動化ルールから呼び出したりします。 (ユーザー アカウントではなく) このアカウントを使用すると、サービスのセキュリティ レベルが向上します。 自動化ルールでプレイブックを実行するには、このアカウントに、プレイブックが存在するリソース グループへの明示的なアクセス許可が付与されている必要があります。 その時点で、すべての自動化ルールでそのリソース グループ内のすべてのプレイブックを実行できるようになります。 |
| ゲスト ユーザーがインシデントを割り当てる |
ディレクトリ リーダー AND Microsoft Sentinel レスポンダー ディレクトリ閲覧者ロールは Azure ロールではなく、Microsoft Entra ID ロールであり、通常の (非ゲスト) ユーザーには既定でこのロールが割り当てられます。 |
| ワークブックの作成/削除 | Microsoft Sentinel 共同作成者 または下位の Microsoft Sentinel ロールと ブック共同作成者 |
その他の Azure ロールと Log Analytics ロール
Microsoft Sentinel 固有の Azure ロールの割り当てでは、他の Azure および Log Analytics のロールが他の目的でユーザーに割り当てられている可能性があります。 これらのロールには、Microsoft Sentinel ワークスペースや他のリソースへのアクセスを含む広範なアクセス許可のセットが付与されます。
- Azure ロール:所有者、 共同作成者、 閲覧者 - Azure リソース全体に広範なアクセス権を付与します。
- Log Analytics ロール:Log Analytics 共同作成者、 Log Analytics 閲覧者 - Log Analytics ワークスペースへのアクセス権を付与します。
Important
ロールの割り当ては累積的です。 Microsoft Sentinel 閲覧者ロールと共同作成者ロールの両方を持つユーザーは、意図したよりも多くのアクセス許可を持っている可能性があります。
Microsoft Sentinel ユーザーに推奨されるロールの割り当て
| ユーザー タイプ | Role | リソースグループ | Description |
|---|---|---|---|
| セキュリティ アナリスト | Microsoft Sentinel 応答者 | Microsoft Sentinel リソース グループ | インシデント、データ、ワークブックの表示/管理 |
| Microsoft Sentinel プレイブック オペレーター | Microsoft Sentinel/プレイブック リソース グループ | プレイブックの添付/実行 | |
| セキュリティ エンジニア | Microsoft Sentinel 協力者 | Microsoft Sentinel リソース グループ | インシデント、コンテンツ、リソースを管理する |
| ロジック アプリ共同作成者 | Microsoft Sentinel/プレイブック リソース グループ | プレイブックの実行/変更 | |
| サービス プリンシパル | Microsoft Sentinel 協力者 | Microsoft Sentinel リソース グループ | 自動管理タスク |
Microsoft Sentinel データ レイクの役割と権限
Microsoft Sentinel データ レイクを使用するには、ワークスペースを Defender ポータル と Microsoft Sentinel データ レイクにオンボードする必要があります。
Microsoft Sentinel Data Lake の読み取りアクセス許可
Microsoft Entra ID ロールは、データ レイク内のすべてのコンテンツに広範なアクセスを提供します。 クエリの実行など、Microsoft Sentinel データ レイク内のすべてのワークスペースへの読み取りアクセスを提供するには、次のロールを使用します。
| アクセス許可の種類 | サポートされているロール |
|---|---|
| すべてのワークスペースの読み取りアクセス | 次のいずれかの Microsoft Entra ID ロールを使用します。 - グローバルリーダー - セキュリティ閲覧者 - セキュリティ オペレーター - セキュリティ管理者 - グローバル管理者 |
または、特定のワークスペース内からテーブルを読み取る機能を割り当てることができます。 このような場合は、次のいずれかを使用します。
| Tasks | Permissions |
|---|---|
| システム テーブルに対する読み取りアクセス許可 | Microsoft Sentinel データコレクションに対するセキュリティ データの基本 (読み取り) アクセス許可を持つカスタム Microsoft Defender XDR 統合 RBAC ロールを使用します。 |
| データ レイクで Microsoft Sentinel に対して有効になっている他のワークスペースに対する読み取りアクセス許可 | そのワークスペースのアクセス許可には、Azure RBAC で次のいずれかの組み込みロールを使用します。 - Log Analytics 閲覧者 - Log Analytics 共同作成者 - Microsoft Sentinel 共同作成者 - Microsoft Sentinel の閲覧者 - 閲覧者 - 投稿者 - 所有者 |
Microsoft Sentinel Data Lake の書き込みアクセス許可
Microsoft Entra ID ロールは、データ レイク内のすべてのワークスペースに広範なアクセスを提供します。 Microsoft Sentinel データ レイク テーブルへの書き込みアクセスを提供するには、次のロールを使用します。
| アクセス許可の種類 | サポートされているロール |
|---|---|
| KQL ジョブまたはノートブックを使用して分析レベルのテーブルに書き込む | 次のいずれかの Microsoft Entra ID ロールを使用します。 - セキュリティ オペレーター - セキュリティ管理者 - グローバル管理者 |
| Microsoft Sentinel データ レイクのテーブルへの書き込み | 次のいずれかの Microsoft Entra ID ロールを使用します。 - セキュリティ オペレーター - セキュリティ管理者 - グローバル管理者 |
または、特定のワークスペースに出力を書き込む機能を割り当てることができます。 これには、そのワークスペースへのコネクタの構成、ワークスペース内のテーブルの保持設定の変更、そのワークスペース内のカスタム テーブルの作成、更新、削除を行う機能が含まれます。 このような場合は、次のいずれかを使用します。
| Tasks | Permissions |
|---|---|
| データ レイク内の システム テーブル を更新する | Microsoft Sentinel データ コレクションに対するデータ (管理) アクセス許可を持つカスタム Microsoft Defender XDR 統合 RBAC ロールを使用します。 |
| Data Lake 内の他の Microsoft Sentinel ワークスペースの場合 | そのワークスペースに対する次の Azure RBAC Microsoft 運用分析情報 のアクセス許可を含む組み込みロールまたはカスタム ロールを使用します。 - microsoft.operationalinsights/workspaces/write - microsoft.operationalinsights/workspaces/tables/write - microsoft.operationalinsights/workspaces/tables/delete これらの権限を含む組み込みのロールには、Log Analytics 共同作成者、所有者、共同作成者があります。 |
Microsoft Sentinel データ レイクでジョブを管理する
スケジュールされたジョブを作成したり、Microsoft Sentinel データ レイクでジョブを管理したりするには、次のいずれかの Microsoft Entra ID ロールが必要です。
カスタム ロールと高度な RBAC
ワークスペース全体ではなく特定のデータへのアクセスを制限するには、 リソース コンテキスト RBAC または テーブル レベルの RBAC を使用します。 これは、特定のデータ型またはテーブルにのみアクセスする必要があるチームに役立ちます。
それ以外の場合は、高度な RBAC に次のいずれかのオプションを使用します。
- Microsoft Sentinel SIEM アクセスの場合は、 Azure カスタム ロールを使用します。
- Microsoft Sentinel データ レイクでは、 Defender XDR 統合 RBAC カスタム ロールを使用します。
関連コンテンツ
詳細については、「Azure Monitor でのログ データとワークスペースの管理」を参照してください。