次の方法で共有

管理者アクセスを構成する

  • [アーティクル]

Microsoft Defender for Cloud Apps では、ロールベースのアクセス制御がサポートされます。 この記事では、管理者用の Defender for Cloud Apps へのアクセス権を設定する手順について説明します。 管理者ロールの割り当ての詳細については、Microsoft Entra ID および Microsoft 365 に関する記事を参照してください。

Defender for Cloud Apps にアクセスできる Microsoft 365 および Microsoft Entra ロール

Note

  • Microsoft 365 と Microsoft Entra のロールは、Defender for Cloud Apps の [管理者アクセスの管理] ページに一覧表示されません。 Microsoft 365 または Microsoft Entra ID でロールを割り当てるには、そのサービスに関連する RBAC 設定に移動します。
  • ユーザーのディレクトリ レベルの非アクティブ タイムアウト設定を判断するために、Defender for Cloud Apps には Microsoft Entra ID が使用されています。 Microsoft Entra ID でユーザーが非アクティブ時にサインアウトしないように構成されている場合、同じ設定が Defender for Cloud Apps にも適用されます。

既定では、次の Microsoft 365 および Microsoft Entra ID 管理者ロールが Defender for Cloud Apps にアクセスできます。

ロール名 説明
グローバル管理者とセキュリティ管理者 フル アクセスが許可されている管理者には、Defender for Cloud Apps での完全なアクセス許可があります。 管理者の追加、ポリシーと設定の追加、ログのアップロードとガバナンス アクションの実行、SIEM エージェントへのアクセスと管理を行うことができます。
Cloud App Security 管理者 Defender for Cloud Apps でのフル アクセスと完全なアクセス許可が付与されます。 このロールは、Microsoft Entra ID グローバル管理者ロールなどのアクセス許可を Defender for Cloud Apps に付与します。 ただし、このロールのスコープは Defender for Cloud Apps であり、他の Microsoft セキュリティ製品に対する完全なアクセス許可は付与されません。
コンプライアンス管理者 読み取り専用アクセス許可を持ち、アラートを管理できます。 クラウド プラットフォームのセキュリティに関する推奨事項にアクセスできません。 ファイル ポリシーを作成し、変更できます。ファイル ガバナンス アクションを許可できます。[データ管理] で、組み込みレポートをすべて表示できます。
コンプライアンス データ管理者 読み取り専用権限があり、ファイル ポリシーの作成と変更、ファイル ガバナンス アクションの許可、およびすべての検出レポートの表示が可能です。 クラウド プラットフォームのセキュリティに関する推奨事項にアクセスできません。
セキュリティ オペレーター 読み取り専用アクセス許可を持ち、アラートを管理できます。 これらの管理者については、次のアクションの実行が制限されています。
  • ポリシーを作成する、または既存のポリシーを編集および変更する
  • ガバナンス アクションを実行する
  • 探索ログをアップロードする
  • サードパーティ アプリの禁止または承認
  • IP アドレス範囲設定ページへのアクセスと表示
  • システム設定ページへのアクセスと表示
  • 探索設定へのアクセスと表示
  • アプリ コネクタ ページへのアクセスと表示
  • ガバナンス ログへのアクセスと表示
  • [スナップショット レポートの管理] ページへのアクセスと表示
セキュリティ閲覧者 読み取り専用のアクセス許可が付与され、API アクセス トークンを作成できます。 これらの管理者については、次のアクションの実行が制限されています。
    ポリシーを作成する、または既存のポリシーを編集および変更する
  • ガバナンス アクションを実行する
  • 探索ログをアップロードする
  • サードパーティ アプリの禁止または承認
  • IP アドレス範囲設定ページへのアクセスと表示
  • システム設定ページへのアクセスと表示
  • 探索設定へのアクセスと表示
  • アプリ コネクタ ページへのアクセスと表示
  • ガバナンス ログへのアクセスと表示
  • [スナップショット レポートの管理] ページへのアクセスと表示
グローバル閲覧者 Defender for Cloud Apps のすべての部分に対する完全な読み取り専用アクセス権があります。 設定を変更したり、アクションを実行したりすることはできません。

重要

Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

Note

アプリ ガバナンス機能は Microsoft Entra ID のロールによってのみ制御されます。 詳細については、アプリ ガバナンスの役割を参照してください。

ロールとアクセス許可

アクセス許可 全体管理者 Security Admin コンプライアンス管理者 コンプライアンス データ管理者 セキュリティ オペレーター セキュリティ閲覧者 グローバル閲覧者 PBI 管理者 Cloud App Security管理者
アラートの読み取り
Manage alerts
OAuth アプリケーションの読み取り
OAuth アプリケーション アクションを実行する
検出されたアプリ、クラウド アプリ カタログ、その他のクラウド検出データにアクセス
API コネクタを構成する
クラウド検出アクションを実行する
ファイルデータとファイルポリシーへのアクセス
ファイル アクションを実行する
アクセス ガバナンス ログ
ガバナンス ログ アクションを実行します。
スコープ指定されたディスカバリー・ガバナンス・ログにアクセスする
ポリシーを読む
すべてのポリシー アクションを実行する
ファイル ポリシー アクションを実行する
OAuthポリシー アクションを実行する
管理者アクセスの管理の表示
管理者とアクティビティのプライバシーを管理する

Defender for Cloud Apps の組み込み管理者ロール

以下の管理者ロールは、Microsoft Defender ポータルの [アクセス許可] > [Cloud Apps] > [ロール] 領域で構成できます。

ロール名 説明
グローバル管理者 Microsoft Entra グローバル管理者ロールと同様にフル アクセスが許可されますが、Defender for Cloud Apps に対してのみです。
コンプライアンス管理者 Microsoft Entra コンプライアンス管理者ロールと同じアクセス許可が付与されますが、Defender for Cloud Apps に対してのみです。
セキュリティ閲覧者 Microsoft Entra セキュリティ閲覧者ロールと同じアクセス許可が付与されますが、Defender for Cloud Apps に対してのみです。
セキュリティ オペレーター Microsoft Entra セキュリティ オペレーター ロールと同じアクセス許可が付与されますが、Defender for Cloud Apps に対してのみです。
アプリ/インスタンス管理者 選ばれた特定のアプリまたはアプリのインスタンスのみを扱う Defender for Cloud Apps でのすべてのデータに対する完全なアクセス許可または読み取り専用アクセス許可が付与されます。

たとえば、Box European インスタンスへの管理者アクセス許可をユーザーに付与します。 管理者には、ファイル、アクティビティ、ポリシー、アラートのいずれかを問わず、Box European インスタンスに関連するデータのみが表示されます。
  • アクティビティ ページ - 特定のアプリに関するアクティビティのみ
  • アラート - 特定のアプリに関連するアラートのみ。 場合によっては、別のアプリに関連するデータが特定のアプリと相関している場合にアラートを表示します。 別のアプリに関連するアラートデータの可視性は制限されており、詳細のためのドリルダウンへのアクセスはありません
  • ポリシー - すべてのポリシーを表示でき、完全なアクセス許可が割り当てられている場合は、アプリ/インスタンスを排他的に扱うポリシーのみ編集または作成が可能
  • アカウント ページ - 特定のアプリ/インスタンスのアカウントのみ
  • アプリのアクセス許可 - 特定のアプリ/インスタンスのアクセス許可のみ
  • ファイル ページ - 特定のアプリ/インスタンスからのファイルのみ
  • アプリの条件付きアクセス制御 - アクセス許可なし
  • クラウド ディスカバリー アクティビティ - アクセス許可なし
  • セキュリティ拡張機能 - ユーザー権限を持つ API トークンの権限のみ
  • ガバナンス アクション - 特定のアプリ/インスタンスの場合のみ
  • クラウド プラットフォームのセキュリティに関する推奨事項 - 権限なし
  • IP 範囲 - 権限なし
ユーザーグループ管理者 割り当てられた特定のグループのみを扱う Defender for Cloud Apps でのすべてのデータに対する完全なアクセス許可または読み取り専用アクセス許可が付与されます。 たとえば、グループ "Germany - all users" に対する管理者アクセス許可をユーザーに割り当てた場合、管理者は Defender for Cloud Apps でそのユーザー グループのみの情報を表示および編集できます。 ユーザー グループ管理者には次のアクセス権があります。

  • アクティビティ ページ - グループのユーザーに関するアクティビティのみ
  • アラート - グループのユーザーに関連するアラートのみ。 場合によっては、他のユーザーに関連するデータがグループ内のユーザーと相関関係がある場合にアラートを発します。 別のユーザーに関連するアラートデータの可視性は制限されており、詳細のためのドリルダウンへのアクセスはありません。
  • ポリシー - すべてのポリシーを表示でき、完全な権限が割り当てられている場合は、グループ内のユーザーのみを扱うポリシーのみを編集または作成できます。
  • アカウント ページ - グループ内の特定のユーザーのアカウントのみ
  • アプリのアクセス許可 – アクセス許可がありません
  • ファイル ページ – アクセス許可がありません
  • アプリの条件付きアクセス制御 - アクセス許可なし
  • クラウド ディスカバリー アクティビティ - アクセス許可なし
  • セキュリティ拡張機能 - グループ内のユーザーに対する API トークンの権限のみ
  • ガバナンス アクション - グループの特定のユーザーの場合のみ
  • クラウド プラットフォームのセキュリティに関する推奨事項 - 権限なし
  • IP 範囲 - 権限なし


:
  • ユーザー グループ管理者にグループを割り当てるには、まず接続されているアプリからユーザー グループをインポートする必要があります。
  • インポートされた Microsoft Entra グループには、ユーザー グループ管理者のアクセス許可のみを割り当てることができます。
Cloud Discovery グローバル管理者 クラウド ディスカバリー設定およびデータをすべて表示および編集できます。 Global Discovery 管理者には次のアクセス権があります。

  • 設定: システム設定 - 表示のみ。Cloud Discovery 設定 - すべて表示および編集可能 (匿名化のアクセス許可は、ロール割り当て時に許可されたかどうかに依存する)
  • クラウド ディスカバリー アクティビティ - フル アクセス許可
  • アラート - 関連するクラウド ディスカバリー レポートに関連するアラートのみを表示および管理します
  • ポリシー - すべてのポリシーの表示が可能、クラウド ディスカバリー ポリシーのみ編集または作成が可能
  • アクティビティ ページ - アクセス許可なし
  • アカウント ページ - アクセス許可なし
  • アプリのアクセス許可 – アクセス許可がありません
  • ファイル ページ – アクセス許可がありません
  • アプリの条件付きアクセス制御 - アクセス許可なし
  • セキュリティ拡張機能 - 独自の API トークンの作成と削除
  • ガバナンス アクション - Cloud Discovery 関連のアクションのみ
  • クラウド プラットフォームのセキュリティに関する推奨事項 - 権限なし
  • IP 範囲 - 権限なし
Cloud Discoveryレポート管理者
  • 設定: システム設定 - 表示のみ。クラウド ディスカバリー設定 - すべて表示および編集可能 (匿名化のアクセス許可は、ロール割り当て時に許可されたかどうかに依存する)
  • クラウド ディスカバリー アクティビティ - 読み取り権限のみ
  • アラート - 関連するクラウド ディスカバリー レポートに関連するアラートのみを表示します
  • ポリシー - すべてのポリシーを表示し、クラウド ディスカバリー ポリシーのみを作成できます。アプリケーション (タグ付け、認可、および認可されていない) を管理することはできません。
  • アクティビティ ページ - アクセス許可なし
  • アカウント ページ - アクセス許可なし
  • アプリのアクセス許可 – アクセス許可がありません
  • ファイル ページ – アクセス許可がありません
  • アプリの条件付きアクセス制御 - アクセス許可なし
  • セキュリティ拡張機能 - 独自の API トークンの作成と削除
  • ガバナンス アクション – 関連するクラウド ディスカバリー レポートに関連するアクションのみを表示します
  • クラウド プラットフォームのセキュリティに関する推奨事項 - 権限なし
  • IP 範囲 - 権限なし

重要

Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

組み込みの Defender for Cloud Apps 管理者ロールでは、Defender for Cloud Apps へのアクセス許可のみが提供されます。

管理者のアクセス許可をオーバーライドする

Microsoft Entra ID または Microsoft 365 からの管理者のアクセス許可をオーバーライドする場合は、ユーザーを Defender for Cloud Apps に手動で追加し、ユーザーのアクセス許可を割り当てることで実行できます。 たとえば、Microsoft Entra ID のセキュリティ閲覧者である Stephanie に、Defender for Cloud Apps でのフル アクセスを割り当てる場合は、彼女を手動で Defender for Cloud Apps に追加し、フル アクセスを割り当ててロールをオーバーライドし、Defender for Cloud Apps での必要なアクセス許可を付与します。 フル アクセス許可を付与する Microsoft Entra ロール (全体管理者、セキュリティ管理者、Cloud App セキュリティ管理者) をオーバーライドすることはできません。

重要

Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

他の管理者を追加する

ユーザーを Microsoft Entra の管理者ロールに追加することなく、Defender for Cloud Apps にさらに管理者を追加できます。 管理者をさらに追加するには、次の手順を実行します。

重要

  • 管理者アクセスの管理 ページへのアクセスは、グローバル管理者、セキュリティ管理者、コンプライアンス管理者、コンプライアンス データ管理者、セキュリティ オペレーター、セキュリティ閲覧者、およびグローバル閲覧者グループのメンバーが利用できます。
  • [管理者アクセスの管理] ページを編集して、他のユーザーに Defender for Cloud Apps へのアクセス権を付与するには、セキュリティ管理者ロール以上の権限が必要です。

Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

  1. Microsoft Defender ポータルの左側のメニューで、[アクセス許可] を選択します。

  2. [クラウド アプリ][ロール] を選択します。

[アクセス許可] メニュー。

  1. [+ユーザーの追加] を選択して、Defender for Cloud Apps にアクセスする必要がある管理者を追加します。 組織内のユーザーのメール アドレスを指定します。

    Note

    Defender for Cloud Apps の管理者として外部のマネージド セキュリティ サービス プロバイダー (MSSP) を追加する場合は、まず組織にゲストとして招待するようにしてください。

    管理者を追加します。

  2. 次に、ドロップダウンを選択して、管理者に割り当てるロールの種類を設定します。 アプリ/インスタンス管理者を選択した場合は、アクセス許可を与える管理者のアプリとインスタンスを選びます。

    Note

    アクセスが制限されている管理者が制限されているページにアクセスしたり、制限されている操作を実行しようとしたりすると、そのページへのアクセスまたは操作の実行のアクセス許可がないというエラーが表示されます。

  3. [管理者の追加] を選択します。

外部管理者を招待する

Defender for Cloud Apps を使用すると、外部の管理者 (MSSP) を組織の (MSSP カスタマー) Defender for Cloud Apps サービスの管理者として招待することができます。 MSSP を追加するには、MSSP テナントで Defender for Cloud Apps が有効になっていることを確認してから、MSSP の顧客の Azure portal で Microsoft Entra B2B Collaboration ユーザーとして追加します。 追加したら、MSSP を管理者として構成し、Defender for Cloud Apps で使用可能な任意のロールを割り当てることができます。

MSSP カスタマーの Defender for Cloud Apps サービスに MSSP を追加するには

  1. ゲスト ユーザーをディレクトリに追加するの手順を使用して、MSSP 顧客ディレクトリに MSSP をゲストとして追加します。
  2. 管理者をさらに追加する」の手順に従い、MSSP を追加し、MSSP カスタマー Defender for Cloud Apps ポータルで管理者の役割を割り当てます。 MSSP 顧客ディレクトリにゲストとして追加するときに使用したものと同じ外部電子メール アドレスを指定します。

MSSP カスタマー Defender for Cloud Apps サービスへの MSSP のアクセス

既定では、MSSP は次の URL を使用して Defender for Cloud Apps テナントにアクセスします: https://security.microsoft.com

ただし、MSSP は、次の形式のテナント固有の URL を使用して、MSSP の顧客の Microsoft Defender ポータルにアクセスする必要があります: https://security.microsoft.com/?tid=<tenant_id>

MSSP は、次の手順を使用して MSSP カスタマー ポータルのテナント ID を取得し、その ID を使用してテナント固有の URL にアクセスできます。

  1. MSSP は自分の認証情報を使って Microsoft Entra ID にログインします。

  2. ディレクトリを MSSP 顧客のテナントに切り替えます。

  3. [Microsoft Entra ID]>[プロパティ] を選びます。 MSSP 顧客のテナント ID は、 テナント ID フィールドにあります。

  4. 次の URL の customer_tenant_id値を置き換えて、MSSP カスタマー ポータルにアクセスします: https://security.microsoft.com/?tid=<tenant_id>

管理アクティビティの監査

Defender for Cloud Apps では、管理者のサインイン アクティビティのログと、調査の一部として実行された特定のユーザーまたはアラートの表示の監査を、エクスポートすることができます。

ログをエクスポートするには、次の手順を実行します。

  1. Microsoft Defender ポータルの左側のメニューで、[アクセス許可] を選択します。

  2. [クラウド アプリ][ロール] を選択します。

  3. [管理ロール] ページの右上隅にある [管理者アクティビティのエクスポート] を選択します。

  4. 必要な時間範囲を指定します。

  5. エクスポートを選択します。

次のステップ

Cloud Discovery のセットアップ