Microsoft Defender XDR統合 RBAC モデル内に一覧表示されているすべてのアクセス許可は、個々の RBAC モデルの既存のアクセス許可に合わせて調整されます。 Microsoft Defender XDR統合 RBAC モデルをアクティブ化すると、インポートされたロールで構成されたアクセス許可と割り当てが、個々の RBAC モデルの既存のロールに置き換えられます。
この記事では、使用可能なMicrosoft Defender ワークロードおよびMicrosoft Entra IDの既存のロールとアクセス許可が、Microsoft Defender XDR統合 RBAC モデルのロールとアクセス許可にどのようにマップされるかについて説明します。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 この戦略は、organizationのセキュリティを向上させるのに役立ちます。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft Defender XDR統合 RBAC アクセス許可を既存の RBAC アクセス許可にマップする
重要
2025 年 2 月の時点で、Microsoft Defender XDR統合 RBAC モデルは、新しい Microsoft Defender エンドポイント組織の既定のアクセス許可モデルです。 新しい組織は、元のアクセス許可モデルからロールとアクセス許可をエクスポートできません。 2 月より前にロールとアクセス許可が割り当てられている、またはエクスポートされた既存の組織は、現在のロールとアクセス許可の構成を維持します。
2025 年 3 月の時点で、Microsoft Defender XDR統合 RBAC モデルは、新しいMicrosoft Defender for Identity組織の既定のアクセス許可モデルです。 新しい組織は、元のアクセス許可モデルからロールとアクセス許可をエクスポートできません。 3 月より前に割り当てまたはエクスポートされたロールとアクセス許可を持つ既存の組織は、現在のロールとアクセス許可の構成を維持します。
次のセクションの表を使用して、既存の個々の RBAC ロール定義が新しいMicrosoft Defender XDR統合 RBAC ロールにどのようにマップされるかについて詳しく説明します。
- Microsoft Defender for EndpointとDefender 脆弱性の管理
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Cloud
- Microsoft Entraグローバル ロールへのアクセス
Defender for Endpoint と Defender 脆弱性の管理 アクセス許可をMicrosoft Defender XDR RBAC アクセス許可にマップする
| Defender for Endpoint と Defender 脆弱性の管理 のアクセス許可 | 統合 RBAC アクセス許可のMicrosoft Defender XDR |
|---|---|
| データの表示 - セキュリティ操作 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) |
| データの表示 - Defender 脆弱性の管理 | セキュリティ態勢 \ ポスチャ管理 \ 脆弱性管理 (読み取り) |
| アラートの調査 | セキュリティ操作 \ セキュリティ データ \ アラート (管理) |
| アクティブな修復アクション - セキュリティ操作 | セキュリティ操作 \ セキュリティ データ \ 応答 (管理) |
| アクティブな修復アクション - Defender 脆弱性の管理 - 例外処理 | セキュリティ態勢 \ ポスチャ管理 \ 例外処理 (管理) |
| アクティブな修復アクション - Defender 脆弱性の管理 - 修復処理 | セキュリティ態勢 \ ポスチャ管理 \ 修復処理 (管理) |
| アクティブな修復アクション - Defender 脆弱性の管理 - アプリケーションの処理 | セキュリティ態勢 \ ポスチャ管理 \ アプリケーション処理 (管理) |
| Defender 脆弱性管理 – セキュリティ ベースライン評価プロファイルを管理する | セキュリティ態勢 \ ポスチャ管理 \ セキュリティ ベースライン評価 (管理) |
| ライブ応答機能 | セキュリティ操作 \ 基本的なライブ応答 (管理) |
| ライブ応答機能 - 高度 | セキュリティ操作 \ 高度なライブ応答 (管理) セキュリティ操作 \ セキュリティ データ \ ファイルコレクション (管理) |
| Security Center でセキュリティ設定を管理する | 承認と設定 \ セキュリティ設定 \ コア セキュリティ設定 (管理) 承認と設定\セキュリティ設定 \ 検出のチューニング (管理) |
| ポータル システム設定を管理する | 承認と設定 \ システム設定 (読み取りと管理) |
| Microsoft Intuneでエンドポイント セキュリティ設定を管理する | サポートされていません - このアクセス許可は、Microsoft Intune管理センターで管理されます |
Defender for Office 365 アクセス許可をMicrosoft Defender XDR統合 RBAC アクセス許可にマップする
次の表を使用して、Defender for Office 365 の既存のEmail &コラボレーションと保護関連のExchange Onlineアクセス許可が、新しいMicrosoft Defender XDR統合 RBAC アクセス許可にどのようにマップされるかを確認します。
コラボレーションのアクセス許可のマッピングをEmail &する
https://security.microsoft.com/emailandcollabpermissionsEmail & Defender ポータルでコラボレーションアクセス許可を構成しました。
| Email &コラボレーションのアクセス許可 | 型 | 統合 RBAC アクセス許可のMicrosoft Defender XDR |
|---|---|---|
| グローバル閲覧者 | 役割グループ | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) セキュリティ操作 \ セキュリティ データ \ 応答 (管理) 承認と設定 \ セキュリティ設定 \ コア セキュリティ設定 (読み取り) 承認と設定 \ システム設定 (読み取り) |
| 組織の管理 | 役割グループ | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) セキュリティ操作 \ セキュリティ データ \ 応答 (管理) セキュリティ操作 \ セキュリティ データ \ Email高度なアクション (管理) セキュリティ操作 \ セキュリティ データ \ Email検疫 (管理) 承認と設定 \ 承認 (読み取りと管理) 承認と設定 \ セキュリティ設定 (すべてのアクセス許可) 承認と設定 \ システム設定 (読み取りと管理) |
| セキュリティ管理者 | 役割グループ | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) セキュリティ操作 \ セキュリティ データ \ 応答 (管理) セキュリティ操作 \ セキュリティ データ \ Email検疫 (管理) 承認と設定 \ 承認 (読み取り) 承認と設定 \ セキュリティ設定 (すべてのアクセス許可) 承認と設定 \ システム設定 (読み取りと管理) |
| セキュリティ閲覧者 | 役割グループ | セキュリティ操作 \ セキュリティ データ \セキュリティ データの基本 (読み取り) セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) セキュリティ操作 \ セキュリティ データ \ 応答 (管理) 承認と設定 \ セキュリティ設定 \ コア セキュリティ設定 (読み取り) 承認と設定 \ システム設定 (読み取り) |
| 監査ログ | 役割 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) |
| 通知の管理 | 役割 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) |
| Preview | 役割 | セキュリティ操作\ セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション コンテンツ (読み取り) |
| 検疫する | 役割 | セキュリティ操作 \ セキュリティ データ \ Email検疫 (管理) |
| ロール管理 | 役割 | 承認と設定 \ 承認 (読み取りと管理) |
| 検索と消去 | 役割 | セキュリティ操作 \ セキュリティ データ \ Email高度なアクション (管理) |
| 表示専用のアラート管理 | 役割 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) |
| "View-Only Recipients/表示専用受信者" | 役割 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) |
| 監査ログの表示のみ | 役割 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) |
アクセス許可のマッピングをExchange Onlineする
https://admin.exchange.microsoft.com/#/adminRolesの Exchange 管理センター (EAC) で保護関連のExchange Onlineアクセス許可を構成しました。
| Exchange Onlineアクセス許可 | 型 | 統合 RBAC アクセス許可のMicrosoft Defender XDR |
|---|---|---|
| 検疫管理 | 役割グループ | セキュリティ操作 \ セキュリティ データ \ Email検疫 (管理) 承認と設定 \ セキュリティ設定 \ コア セキュリティ設定 (管理) 承認と設定 \ セキュリティ設定 \ 検出チューニング (管理) |
| 組織の管理 | 役割グループ | セキュリティ操作 \ 生データ (電子メール & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) 承認と設定 \ セキュリティ設定 \ コア セキュリティ設定 (管理) 承認と設定 \ セキュリティ設定 \ 検出チューニング (管理) 承認と設定 \ システム設定 (読み取りと管理) |
| セキュリティ管理者 | 役割グループ | 承認と設定 \ セキュリティ設定 \ 検出チューニング (管理) 承認と設定 \ システム設定 (読み取りと管理) |
| View-Only Organization Management | 役割グループ | 承認と設定 \ セキュリティ設定 (読み取り専用) 承認と設定 \ システム設定 (読み取り専用) |
| テナント AllowBlockList Manager | 役割 | 承認と設定 \ セキュリティ設定 \ 検出チューニング (管理) |
| 表示専用受信者 | 役割 | セキュリティ操作 \ 生データ (電子メール & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) |
Microsoft Defender for Identityアクセス許可をMicrosoft Defender XDR統合 RBAC にマップする
| Defender for Identity アクセス許可 | 統合 RBAC アクセス許可のDefender XDR |
|---|---|
| MDI 管理者 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) 承認と設定 \ 承認 (読み取りと管理) 承認と設定 \ セキュリティ設定 (すべてのアクセス許可) 承認と設定 \ システム設定 (読み取りと管理) |
| MDI ユーザー | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) 承認と設定 \ セキュリティ設定 (すべてのアクセス許可) 承認と設定 \ システム設定 (読み取り) |
| MDI ビューアー | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) 承認と設定 \ セキュリティ設定 \ コア セキュリティ設定 (読み取り) 承認と設定 \ システム設定 (読み取り) |
注:
Defender for Identity エクスペリエンスは、Microsoft Defender for Cloud Appsから付与されたアクセス許可にも準拠します。 詳細については、「Microsoft Defender for Identity役割グループ」を参照してください。 例外: Microsoft Defender for Cloud AppsでMicrosoft Defender for Identityアラートのスコープデプロイを構成した場合、これらのアクセス許可は引き継がれない。 関連するポータル ユーザーに対して、セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) アクセス許可を明示的に付与する必要があります。
Microsoft Defender for Cloud Appsアクセス許可をMicrosoft Defender XDR統合 RBAC アクセス許可にマップする
重要
ほぼすべてのアプリ ガバナンス エクスペリエンスは、Microsoft Entra IDロールによってのみ制御されます。 唯一の例外は、 高度なハンティングの OAuthAppInfo テーブルです。 Defender for Cloud Appsの統合 RBAC アクセス許可は、この特定のテーブル内のアプリ ガバナンス データへのアクセス権を付与します。
Defender XDRの統合アラートとインシデント エクスペリエンスでは、アプリ ガバナンス データへのアクセスはMicrosoft Entra IDによってのみ制御されます。
アプリ ガバナンスのアクセス許可の詳細については、「 アプリ ガバナンス ロール」を参照してください。
Defender XDR統合 RBAC との統合Defender for Cloud Appsアクティブ化すると、次の結果が得られます。
- Microsoft Entra IDロールは引き続き正常に機能します。
-
Defender for Cloud Appsの次の組み込みスコープ ロールはサポートされなくなりました。
- アプリ/インスタンス管理者
- ユーザー グループ管理者
- Cloud Discovery グローバル管理者
- Cloud Discovery レポート管理者
| Defender for Cloud Appsアクセス許可 | 統合 RBAC アクセス許可のDefender XDR |
|---|---|
| ローカル グローバル管理者 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) 承認と設定 \ 承認 (すべてのアクセス許可) 承認と設定 \ セキュリティ設定 (すべてのアクセス許可) 承認と設定 \ システム設定 (すべてのアクセス許可) |
| ローカル セキュリティオペレーター | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) 承認と設定 \ 承認 (読み取り) 承認と設定 \ セキュリティ設定 (すべてのアクセス許可) 承認と設定 \ システム設定 (読み取り) |
| ローカル セキュリティ 閲覧者 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) 承認と設定 \ 承認 (読み取り) 承認と設定 \ セキュリティ設定 \ セキュリティ設定 (読み取り) 承認と設定 \ システム設定 (読み取り) |
| ローカル コンプライアンス管理者 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) 承認と設定 \ 承認 (読み取り) 承認と設定 \ セキュリティ設定 \ セキュリティ設定 (すべてのアクセス許可) 承認と設定 \ システム設定 (読み取り) |
Microsoft Defender for Cloud の統合 RBAC ロール
統合 Role-Based Access Control (uRBAC) を使用すると、一貫性のあるモデルを使用して、クラウド リソースのMicrosoft Defender全体でアクセス許可を管理できます。 ロールは、ユーザーが実行できるアクションを定義し、ロールを慎重に割り当てて、最小限の特権アクセスを維持します。
次の表に、使用可能な uRBAC ロールとそのアクセス許可を示します。
| 役割 | アクセス許可 | 説明 |
|---|---|---|
| セキュリティ データの基本: セキュリティ操作/セキュリティ データ/セキュリティ データの基本 (読み取り) | 読み取り | アラート、インシデント、調査、ハンティング、デバイス、クラウド資産、レポートにアクセスします。 クラウド インベントリと脅威保護が含まれます。 |
| アラート: セキュリティ操作/セキュリティ データ/アラート (管理) | 管理 | アラート、調査、スキャン、デバイス タグ、パッケージを管理します。 クラウド脅威保護機能が含まれています。 |
| 脆弱性管理: セキュリティ態勢/態勢管理/脆弱性管理 (読み取り) | 読み取り | 脆弱性データを表示する: ソフトウェア インベントリ、弱点、不足している KB、ベースライン、ハンティング、デバイス。 Data Lake (プレビュー) が含まれます。 |
| 露出管理:セキュリティ態勢/姿勢管理/露出管理(読み取り);セキュリティ態勢/姿勢管理/露出管理(管理) | 読み取り/管理 | セキュリティ スコア、推奨事項、イニシアチブ、メトリックなど、露出に関する分析情報を表示または管理します。 |
注:
ロールは、より広範なアクセスのために組み合わせることができますが、常に最小特権の原則を適用します。 一部の機能では、より多くのアクセス許可または機能の有効化が必要な場合があります。
Microsoft Entraグローバル ロールへのアクセス
グローバル ロールMicrosoft Entra割り当てられたユーザーは、Microsoft Defender ポータルにもアクセスできる場合があります。
この表を使用して、各グローバル Microsoft Entra ロールに対する統合 RBAC の各ワークロード (Defender for Endpoint、Defender 脆弱性の管理、Defender for Office、Defender for Identity) に既定で割り当てられるアクセス許可Microsoft Defender XDR説明します。
| Microsoft Entraロール | すべてのワークロードに対する統合 RBAC 割り当てアクセス許可のMicrosoft Defender XDR | Microsoft Defender XDR統合 RBAC に割り当てられたアクセス許可 – ワークロード固有 |
|---|---|---|
| グローバル管理者 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) セキュリティ操作 \ セキュリティ データ \ 応答 (管理) セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (読み取り) セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (管理) 承認と設定 \ 承認 (読み取りと管理) 承認と設定 \ セキュリティ設定 (すべてのアクセス許可) 承認と設定 \ システム設定 (読み取りと管理) |
Defender for Endpoint と Defender 脆弱性の管理 アクセス許可のみ セキュリティ操作 \ 基本的なライブ応答 (管理) セキュリティ操作 \ 高度なライブ応答 (管理) セキュリティ操作 \ セキュリティ データ \ ファイルコレクション (管理) セキュリティ態勢 \ ポスチャ管理 \ 脆弱性管理 (読み取り) セキュリティ態勢 \ ポスチャ管理 \ 例外処理 (管理) セキュリティ態勢 \ ポスチャ管理 \ 修復処理 (管理) セキュリティ態勢 \ ポスチャ管理 \ アプリケーション処理 (管理) セキュリティ態勢 \ ポスチャ管理 \ セキュリティ ベースライン評価 (管理) Defender for Office のみのアクセス許可 セキュリティ操作 \ セキュリティ データ \ Email検疫 (管理) セキュリティ操作 \ セキュリティ データ \ Email高度なアクション (管理) セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) |
| セキュリティ管理者 | グローバル管理者と同じ | グローバル管理者と同じ |
| グローバル閲覧者 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (読み取り) |
Defender for Endpoint と Defender 脆弱性の管理 アクセス許可のみ セキュリティ態勢 \ ポスチャ管理 \ 脆弱性管理 (読み取り) Defender for Office のみのアクセス許可 セキュリティ操作 \ セキュリティ データ \ 応答 (管理) セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) 承認と設定 \ 承認 (読み取り) Defender for Office と Defender for Identity のアクセス許可 承認と設定 \ セキュリティ設定 \ コア セキュリティ設定 (読み取り) 承認と設定 \ システム設定 (読み取り) |
| セキュリティ閲覧者 | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (読み取り) |
Defender for Endpoint と Defender 脆弱性の管理 アクセス許可のみ セキュリティ態勢 \ ポスチャ管理 \ 脆弱性管理 (読み取り) Defender for Office のみのアクセス許可 セキュリティ操作 \ セキュリティ データ \ 応答 (管理) セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) Defender for Office と Defender for Identity のアクセス許可 承認と設定 \ セキュリティ設定 \ コア セキュリティ設定 (読み取り) 承認と設定 \ システム設定 (読み取り) |
| セキュリティ オペレーター | セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (読み取り) セキュリティ操作 \ セキュリティ データ \ 応答 (管理) セキュリティ態勢 \ ポスチャ管理 \ セキュリティ スコア (読み取り) 承認と設定 \ セキュリティ設定 (すべてのアクセス許可) |
Defender for Endpoint と Defender 脆弱性の管理 アクセス許可のみ セキュリティ操作 \ セキュリティ データ \ 基本的なライブ応答 (管理) セキュリティ操作 \ セキュリティ データ \ 高度なライブ応答 (管理) セキュリティ操作 \ セキュリティ データ \ ファイルコレクション (管理) セキュリティ態勢 \ ポスチャ管理 \ 脆弱性管理 (読み取り) セキュリティ態勢 \ ポスチャ管理 \ 例外処理 (管理) セキュリティ態勢 \ ポスチャ管理 \ 修復処理 (管理) Defender for Office のみのアクセス許可 セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) 承認と設定 \ システム設定 (読み取りと管理) Defender for Identity のアクセス許可 承認と設定 \ システム設定 (読み取り) |
| Exchange 管理者 | セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (読み取り) セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (管理) |
Defender for Office のみのアクセス許可 セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ 生データ (Email & コラボレーション) \ Email &コラボレーション メタデータ (読み取り) 承認と設定 \ システム設定 (読み取りと管理) |
| SharePoint 管理者 | セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (読み取り) セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (管理) |
該当なし |
| サービス サポート管理者 | セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (読み取り) | 該当なし |
| ユーザー管理者 | セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (読み取り) | 該当なし |
| HelpDesk 管理者 | セキュリティ態勢 \ ポスチャ管理 \ 露出管理 (読み取り) | 該当なし |
| コンプライアンス管理者 | 該当なし |
Defender for Office のみのアクセス許可 セキュリティ操作 \ セキュリティ データ \ セキュリティ データの基本 (読み取り) セキュリティ操作 \ セキュリティ データ \ アラート (管理) |
| コンプライアンス データ管理者 | 該当なし | コンプライアンス管理者と同じ |
| 課金管理者 | 該当なし | 該当なし |
注:
Microsoft Defender XDR統合 RBAC モデルをアクティブ化すると、セキュリティ 閲覧者ロールとグローバル 閲覧者ロールを持つユーザーに、モデルに統合されたワークロードからのリソースへの読み取り専用アクセス権が付与されます。 ただし、デバイス データMicrosoft Defender for Endpointアクセスするには、セキュリティ 閲覧者のアクセス許可が有効になるまでに、より多くの構成が必要です。 詳細については、「 始める前に」セクションを参照してください。
Microsoft Sentinel組み込みロールから統合 RBAC ロールへのMicrosoft Defender XDRアクセス許可マッピングのサンプル
これらは、Microsoft Sentinelのロールに基づいてユーザーに割り当てることができるアクセス許可の例です。 統合 RBAC では、Microsoft Defender XDRに対するより詳細なアクセス許可を持つオプションが提供されるため、その細分性を利用して、階層レベルの特定のMicrosoft Defender XDRアクセス許可を分離することもできます。 たとえば、Live Response Basic を階層 1 に適用できますが、階層 2 にはライブ応答の高度なアクセス許可を適用できます。
一部のユーザーは、MICROSOFT SENTINEL SIEM 生データへの読み取りアクセスのみが必要な場合は、Log Analytics の詳細 RBAC 機能を利用して、Log Analytics ワークスペースに保存されている特定のデータのみにアクセスをスコープすることもできます。 きめ細かい RBAC では、Microsoft Sentinel インシデント、アラート、ウォッチリスト、UEBA、TI、またはその他のMicrosoft Sentinel SIEM 機能へのアクセスのスコープは設定されません。
| グループ | 役割 | 範囲 | 備考 |
|---|---|---|---|
| セキュリティ アナリスト | レスポンダー Microsoft Sentinel | Microsoft Sentinelのリソース グループ | データ、インシデント、ブック、およびその他のMicrosoft Sentinel リソースを表示します。 インシデントの管理 (割り当て、却下など) |
| セキュリティ アナリスト | Microsoft Sentinel プレイブック オペレーター | Microsoft Sentinelのリソース グループ (またはプレイブックが格納されているリソース グループ) | プレイブックを一覧表示、表示、実行します。 プレイブックを分析ルールにアタッチするには、共同作成者ロールMicrosoft Sentinel必要です |
| セキュリティ アナリスト | セキュリティ オペレーターの統合 RBAC ロール | Microsoft Defender ポータル | セキュリティ上の脅威アラートを表示、調査、対応する Microsoft Defender XDRセキュリティ設定を管理する Security Operator Entra ID ロールと同等の URBAC アクセス許可の一覧は、次のリンクに記載されています。 /defender-xdr/compare-rbac-roles#microsoft-entra-global-roles-access |
| セキュリティ エンジニア | Microsoft Sentinel共同作成者 | Microsoft Sentinelのリソース グループ | データ、インシデント、ブック、およびその他のMicrosoft Sentinel リソースを表示します。 インシデントの管理 (割り当て、却下など)。 ブック、分析ルール、その他のMicrosoft Sentinel リソースを作成および編集します。 |
| セキュリティ エンジニア | Logic Apps 共同作成者 | Microsoft Sentinelのリソース グループ (またはプレイブックが格納されているリソース グループ) | プレイブックを実行して変更します。 プレイブックを分析ルールと自動化ルールにアタッチします。 |
| セキュリティ エンジニア | 共同作成者の監視 | サブスクリプションまたはリソース グループまたは既存のデータ収集ルール | データ収集ルールを作成または編集する |
| セキュリティ エンジニア | Log Analytics 共同作成者 | Microsoft Sentinelのリソース グループ | 検索機能を使用する |
| セキュリティ エンジニア | 接続されたマシン リソース管理者Azure仮想マシン共同作成者 | 仮想マシン、仮想マシン スケール セット Arc 対応サーバー | DCR アソシエーションをデプロイする (つまり、マシンにルールを割り当てる) |
| セキュリティ エンジニア | テンプレート スペック共同作成者 | Microsoft Sentinelのリソース グループ | コンテンツ ハブから v2.0 ソリューションをデプロイします。 |
| セキュリティ エンジニア | セキュリティ管理者の統合 RBAC ロール | Microsoft Defender ポータル | Microsoft Defender XDR サービス全体でセキュリティ関連のポリシーを監視する セキュリティの脅威とアラートを管理する レポートの表示 セキュリティ管理者の Entra ID ロールと同等の URBAC アクセス許可の一覧は、次のリンクに一覧表示されます。 /defender-xdr/compare-rbac-roles#microsoft-entra-global-roles-access |
| セキュリティ アーキテクト | Microsoft Sentinel共同作成者 | Microsoft Sentinelのリソース グループ | データ、インシデント、ブック、およびその他のMicrosoft Sentinel リソースを表示します。 インシデントの管理 (割り当て、却下など)。 ブック、分析ルール、その他のMicrosoft Sentinel リソースを作成および編集します。 |
| セキュリティ アーキテクト | ユーザーアクセス管理者 | Microsoft Sentinelのリソース グループ | これは特権ロールです。 このアクセス許可は、SIEM Microsoft SentinelポータルMicrosoft Defenderオンボードするために必要です。 |
| セキュリティ アーキテクト | セキュリティ管理者 | Entara ID テナント レベル | これは特権ロールです。 この役割を持つユーザーには、Microsoft 365 Defender ポータル、Microsoft Entra ID Protection、Microsoft Entra Authentication、Azure Information Protection、Microsoft Purview コンプライアンス ポータルのセキュリティ関連機能を管理するアクセス許可があります。 このアクセス許可は、Microsoft Sentinel SIEM をポータルにオンボードしたり、ワークスペースのオフボードMicrosoft Defenderしたり、プライマリ/セカンダリ ワークスペースを変更したりするために必要です。 |
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。