次の方法で共有

管理者アクセスの構成

  • [アーティクル]

Microsoft Defender for Cloud Appsでは、ロールベースのアクセス制御がサポートされます。 この記事では、管理者のDefender for Cloud Appsへのアクセスを設定する手順について説明します。 管理者ロールの割り当ての詳細については、Microsoft Entra IDMicrosoft 365 の記事を参照してください。

Defender for Cloud Appsにアクセスできる Microsoft 365 ロールとMicrosoft Entra ロール

注:

  • Microsoft 365 ロールとMicrosoft Entraロールは、[管理者アクセスの管理] ページDefender for Cloud Apps一覧に表示されません。 Microsoft 365 またはMicrosoft Entra IDでロールを割り当てるには、そのサービスに関連する RBAC 設定に移動します。
  • Defender for Cloud Appsでは、Microsoft Entra IDを使用して、ユーザーのディレクトリ レベルの非アクティブ タイムアウト設定を決定します。 ユーザーが非アクティブ時にサインアウトされないようにMicrosoft Entra IDで構成されている場合は、Defender for Cloud Appsにも同じ設定が適用されます。

既定では、次の Microsoft 365 および Microsoft Entra ID 管理者ロールは、Defender for Cloud Appsにアクセスできます。

ロール名 説明
グローバル管理者およびセキュリティ管理者 フル アクセス権を持つ管理者は、Defender for Cloud Appsで完全なアクセス許可を持ちます。 管理者の追加、ポリシーと設定の追加、ログのアップロード、ガバナンス アクションの実行、SIEM エージェントへのアクセスと管理を行うことができます。
Cloud App Security管理者 Defender for Cloud Appsでのフル アクセスとアクセス許可を許可します。 このロールは、Microsoft Entra ID グローバル管理者 ロールなど、Defender for Cloud Appsに対する完全なアクセス許可付与します。 ただし、このロールのスコープはDefender for Cloud Appsであり、他の Microsoft セキュリティ製品間で完全なアクセス許可を付与することはありません。
コンプライアンス管理者 読み取り専用アクセス許可があり、アラートを管理できる。 クラウド プラットフォームのセキュリティに関する推奨事項にアクセスできません。 ファイル ポリシーを作成および変更したり、ファイル ガバナンス アクションを許可したり、データ管理のすべての組み込みレポートを表示したりできます。
コンプライアンス データ管理者 読み取り専用のアクセス許可を持ち、ファイル ポリシーの作成と変更、ファイル ガバナンス アクションの許可、すべての検出レポートの表示を行うことができます。 クラウド プラットフォームのセキュリティに関する推奨事項にアクセスできません。
セキュリティ オペレーター 読み取り専用アクセス許可があり、アラートを管理できる。 これらの管理者は、次の操作を実行できないように制限されます。
  • ポリシーの作成、または既存のポリシーの編集と変更
  • ガバナンス アクションの実行
  • 検出ログのアップロード
  • サード パーティ製アプリの禁止または承認
  • IP アドレス範囲設定ページへのアクセスと表示
  • システム設定ページへのアクセスと表示
  • 検出設定へのアクセスと表示
  • [アプリ コネクタ] ページへのアクセスと表示
  • ガバナンス ログへのアクセスと表示
  • [スナップショット レポートの管理] ページへのアクセスと表示
セキュリティ閲覧者 読み取り専用のアクセス許可を持ち、API アクセス トークンを作成できます。 これらの管理者は、次の操作を実行できないように制限されます。
    ポリシーの作成、または既存のポリシーの編集と変更
  • ガバナンス アクションの実行
  • 検出ログのアップロード
  • サード パーティ製アプリの禁止または承認
  • IP アドレス範囲設定ページへのアクセスと表示
  • システム設定ページへのアクセスと表示
  • 検出設定へのアクセスと表示
  • [アプリ コネクタ] ページへのアクセスと表示
  • ガバナンス ログへのアクセスと表示
  • [スナップショット レポートの管理] ページへのアクセスと表示
グローバル閲覧者 Defender for Cloud Appsのすべての側面への完全な読み取り専用アクセス権を持っています。 設定を変更したり、アクションを実行したりすることはできません。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

注:

アプリ ガバナンス機能は、Microsoft Entra IDロールによってのみ制御されます。 詳細については、「 アプリ ガバナンス ロール」を参照してください。

ロールと権限

アクセス許可 グローバル管理者 セキュリティ管理者 コンプライアンス 管理 コンプライアンス データ 管理 セキュリティ オペレーター セキュリティ閲覧者 グローバル閲覧者 PBI 管理 Cloud App Security管理者
アラートを読み取る
アラートの管理
OAuth アプリケーションの読み取り
OAuth アプリケーション アクションを実行する
検出されたアプリ、クラウド アプリ カタログ、およびその他のクラウド検出データにアクセスする
API コネクタを構成する
クラウド検出アクションを実行する
ファイル データとファイル ポリシーにアクセスする
ファイル アクションを実行する
アクセス ガバナンス ログ
ガバナンス ログ アクションを実行する
スコープ付き検出ガバナンス ログにアクセスする
ポリシーを読み取る
すべてのポリシー アクションを実行する
ファイル ポリシーアクションを実行する
OAuth ポリシー アクションを実行する
管理者アクセスの管理を表示する
管理者とアクティビティのプライバシーを管理する

Defender for Cloud Appsの組み込みの管理者ロール

Microsoft Defender ポータルの [アクセス許可] > [Cloud Apps > ロール] 領域で、次の特定の管理者ロールを構成できます。

ロール名 内容
全体管理者 Microsoft Entra グローバル管理者ロールに似たフル アクセス権を持っていますが、Defender for Cloud Appsに対してのみアクセスできます。
コンプライアンス管理者 Microsoft Entraコンプライアンス管理者ロールと同じアクセス許可を付与しますが、Defender for Cloud Appsに対してのみ許可します。
セキュリティ閲覧者 Microsoft Entra セキュリティ閲覧者ロールと同じアクセス許可を付与しますが、Defender for Cloud Appsに対してのみ許可します。
セキュリティ オペレーター Microsoft Entra Security オペレーター ロールと同じアクセス許可を付与しますが、Defender for Cloud Appsに対してのみ許可します。
アプリ/インスタンス管理者 選択したアプリの特定のアプリまたはインスタンスのみを扱うDefender for Cloud Apps内のすべてのデータに対する完全または読み取り専用のアクセス許可を持ちます。

たとえば、Box European インスタンスに対してユーザー管理者アクセス許可を付与します。 管理者には、ファイル、アクティビティ、ポリシー、アラートなど、Box European インスタンスに関連するデータのみが表示されます。
  • [アクティビティ] ページ - 特定のアプリに関するアクティビティのみ
  • アラート - 特定のアプリに関連するアラートのみ。 場合によっては、データが特定のアプリと関連付けられている場合に、別のアプリに関連するアラート データが表示されます。 別のアプリに関連するアラート データの可視性は制限されており、詳細についてはドリルダウンするアクセスがありません
  • ポリシー - すべてのポリシーを表示でき、完全なアクセス許可が割り当てられている場合は、アプリ/インスタンスのみを扱うポリシーのみを編集または作成できます
  • [アカウント] ページ - 特定のアプリ/インスタンスのアカウントのみ
  • アプリのアクセス許可 - 特定のアプリ/インスタンスに対するアクセス許可のみ
  • [ファイル] ページ - 特定のアプリ/インスタンスからのファイルのみ
  • 条件付きアクセス アプリの制御 - アクセス許可なし
  • クラウド検出アクティビティ - アクセス許可なし
  • セキュリティ拡張機能 - ユーザーアクセス許可を持つ API トークンのアクセス許可のみ
  • ガバナンス アクション - 特定のアプリ/インスタンスに対してのみ
  • クラウド プラットフォームのセキュリティに関する推奨事項 - アクセス許可なし
  • IP 範囲 - アクセス許可なし
ユーザー グループ管理者 割り当てられた特定のグループのみを扱うDefender for Cloud Apps内のすべてのデータに対する完全または読み取り専用のアクセス許可を持ちます。 たとえば、グループ "Germany - all users" にユーザー管理者のアクセス許可を割り当てた場合、管理者はそのユーザー グループに対してのみDefender for Cloud Appsで情報を表示および編集できます。 ユーザー グループ管理者は、次のアクセス権を持っています。

  • [アクティビティ] ページ - グループ内のユーザーに関するアクティビティのみ
  • [アラート] - グループ内のユーザーに関連するアラートのみ。 場合によっては、データがグループ内のユーザーと関連付けられている場合は、別のユーザーに関連するアラート データが発生します。 別のユーザーに関連するアラート データの可視性は制限されており、詳細についてはドリルダウンするアクセス権がありません。
  • ポリシー - すべてのポリシーを表示でき、割り当てられた完全なアクセス許可がある場合は、グループ内のユーザーのみを扱うポリシーのみを編集または作成できます
  • [アカウント] ページ - グループ内の特定のユーザーのアカウントのみ
  • アプリのアクセス許可 – アクセス許可なし
  • [ファイル] ページ – アクセス許可なし
  • 条件付きアクセス アプリの制御 - アクセス許可なし
  • クラウド検出アクティビティ - アクセス許可なし
  • セキュリティ拡張機能 - グループ内のユーザーに対する API トークンのアクセス許可のみ
  • ガバナンス アクション - グループ内の特定のユーザーに対してのみ
  • クラウド プラットフォームのセキュリティに関する推奨事項 - アクセス許可なし
  • IP 範囲 - アクセス許可なし


:
  • ユーザー グループ管理者にグループを割り当てるには、まず接続されているアプリから ユーザー グループをインポート する必要があります。
  • ユーザー グループ管理者のアクセス許可は、インポートされたMicrosoft Entra グループにのみ割り当てることができます。
Cloud Discovery グローバル管理者 すべてのクラウド検出設定とデータを表示および編集するためのアクセス許可を持ちます。 グローバル検出管理者は、次のアクセス権を持っています。

  • 設定: システム設定 - 表示のみ。Cloud Discovery の設定 - すべてを表示および編集します (匿名化のアクセス許可は、ロールの割り当て中に許可されたかどうかによって異なります)
  • クラウド検出アクティビティ - 完全なアクセス許可
  • アラート - 関連するクラウド検出レポートに関連するアラートのみを表示および管理する
  • ポリシー - すべてのポリシーを表示でき、クラウド検出ポリシーのみを編集または作成できます
  • [アクティビティ] ページ - アクセス許可なし
  • [アカウント] ページ - アクセス許可なし
  • アプリのアクセス許可 – アクセス許可なし
  • [ファイル] ページ – アクセス許可なし
  • 条件付きアクセス アプリの制御 - アクセス許可なし
  • セキュリティ拡張機能 - 独自の API トークンの作成と削除
  • ガバナンス アクション - Cloud Discovery 関連のアクションのみ
  • クラウド プラットフォームのセキュリティに関する推奨事項 - アクセス許可なし
  • IP 範囲 - アクセス許可なし
Cloud Discovery レポート管理者
  • 設定: システム設定 - 表示のみ。クラウド検出設定 - すべて表示 (匿名化のアクセス許可は、ロールの割り当て中に許可されたかどうかによって異なります)
  • クラウド検出アクティビティ - 読み取りアクセス許可のみ
  • アラート – 関連するクラウド検出レポートに関連するアラートのみを表示する
  • ポリシー - すべてのポリシーを表示でき、アプリケーション (タグ付け、承認、承認なし) を管理することなく、クラウド検出ポリシーのみを作成できます
  • [アクティビティ] ページ - アクセス許可なし
  • [アカウント] ページ - アクセス許可なし
  • アプリのアクセス許可 – アクセス許可なし
  • [ファイル] ページ – アクセス許可なし
  • 条件付きアクセス アプリの制御 - アクセス許可なし
  • セキュリティ拡張機能 - 独自の API トークンの作成と削除
  • ガバナンス アクション – 関連するクラウド検出レポートに関連するアクションのみを表示する
  • クラウド プラットフォームのセキュリティに関する推奨事項 - アクセス許可なし
  • IP 範囲 - アクセス許可なし

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

組み込みのDefender for Cloud Apps管理者ロールは、Defender for Cloud Appsへのアクセス許可のみを提供します。

管理者のアクセス許可を上書きする

Microsoft Entra IDまたは Microsoft 365 からの管理者のアクセス許可をオーバーライドする場合は、ユーザーを手動でDefender for Cloud Appsに追加し、ユーザーのアクセス許可を割り当てます。 たとえば、Microsoft Entra IDのセキュリティ閲覧者であるステファニーにDefender for Cloud Appsのフル アクセス権を割り当てる場合は、手動でDefender for Cloud Appsに追加し、フル アクセスを割り当ててロールをオーバーライドし、 で必要なアクセス許可を許可することができますDefender for Cloud Apps。 フル アクセス (グローバル管理者、セキュリティ管理者、およびCloud App Security管理者) を付与するMicrosoft Entraロールをオーバーライドすることはできません。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

管理者を追加する

Microsoft Entra管理ロールにユーザーを追加することなく、Defender for Cloud Appsに追加の管理者を追加できます。 追加の管理者を追加するには、次の手順を実行します。

重要

  • [管理者アクセスの管理] ページへのアクセスは、グローバル管理者、セキュリティ管理者、コンプライアンス管理者、コンプライアンス データ管理者、セキュリティ オペレーター、セキュリティ リーダー、グローバル リーダー グループのメンバーが利用できます。
  • [管理者アクセスの管理] ページを編集し、他のユーザーにDefender for Cloud Appsへのアクセス権を付与するには、少なくともセキュリティ管理者ロールが必要です。

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

  1. Microsoft Defender ポータルの左側のメニューで、[アクセス許可] を選択します。

  2. [ Cloud Apps] で [ロール] を選択 します

[アクセス許可] メニュー。

  1. [+ ユーザーの追加] を選択して、Defender for Cloud Appsへのアクセス権を持つ管理者を追加します。 organization内からユーザーのメール アドレスを指定します。

    注:

    外部マネージド セキュリティ サービス プロバイダー (MSSP) をDefender for Cloud Appsの管理者として追加する場合は、最初にゲストとしてorganizationに招待してください。

    管理者を追加します。

  2. 次に、ドロップダウンを選択して、管理者が持つロールの種類を設定します。 [App/Instance admin]\(アプリ/インスタンス管理者\) を選択した場合は、管理者がアクセス許可を持つアプリとインスタンスを選択します。

    注:

    アクセスが制限されている管理者が、制限付きページにアクセスしようとしたり、制限付きアクションを実行したりしようとすると、ページにアクセスしたりアクションを実行したりするためのアクセス許可がないことを示すエラーが表示されます。

  3. [ 管理者の追加] を選択します

外部管理者を招待する

Defender for Cloud Appsを使用すると、外部管理者 (MSSP) をorganizationの (MSSP 顧客) Defender for Cloud Apps サービスの管理者として招待できます。 MSP を追加するには、MSSP テナントでDefender for Cloud Appsが有効になっていることを確認し、MSSP 顧客Azure portalで B2B コラボレーション ユーザー Microsoft Entra追加します。 追加すると、MSSP を管理者として構成し、Defender for Cloud Appsで使用可能なすべてのロールを割り当てることができます。

MSSP カスタマー Defender for Cloud Apps サービスに MSSP を追加するには

  1. 「ゲスト ユーザーをディレクトリに追加する」の手順を使用して、MSSP 顧客 ディレクトリに MSSP をゲストとして追加します
  2. [追加の管理者] の手順を使用して、MSSP 顧客Defender for Cloud Apps ポータルで MSSP を追加し、管理者ロールを割り当てます。 MSSP 顧客ディレクトリにゲストとして追加するときに使用されるのと同じ外部メール アドレスを指定します。

MSSP カスタマー Defender for Cloud Apps サービスへの MSSP のアクセス

既定では、MSSP は次の URL を使用してDefender for Cloud Apps テナントにアクセスします:https://security.microsoft.com

ただし、MSSP は、次の形式でテナント固有の URL を使用して MSSP カスタマー Microsoft Defender ポータルにアクセスする必要があります: https://security.microsoft.com/?tid=<tenant_id>

MSSP では、次の手順を使用して MSSP カスタマー ポータルのテナント ID を取得し、その ID を使用してテナント固有の URL にアクセスできます。

  1. MSSP として、資格情報を使用してMicrosoft Entra IDにサインインします。

  2. ディレクトリを MSSP 顧客のテナントに切り替えます。

  3. [Microsoft Entra ID>プロパティ] を選択します。 [テナント ID] フィールドに MSSP 顧客 テナント ID が 表示されます。

  4. 次の URL の customer_tenant_id 値を置き換えて、MSSP カスタマー ポータルにアクセスします: https://security.microsoft.com/?tid=<tenant_id>

管理 アクティビティの監査

Defender for Cloud Appsでは、管理者サインイン アクティビティのログと、調査の一環として実行された特定のユーザーまたはアラートのビューの監査をエクスポートできます。

ログをエクスポートするには、次の手順を実行します。

  1. Microsoft Defender ポータルの左側のメニューで、[アクセス許可] を選択します。

  2. [ Cloud Apps] で [ロール] を選択 します

  3. [管理ロール] ページの右上隅にある [管理者アクティビティのエクスポート] を選択します。

  4. 必要な時間範囲を指定します。

  5. [エクスポート] を選択します。

次の手順

クラウド検出を設定する