定義済みの分類
セキュリティ露出管理では、デバイス、ID、クラウド リソースを含む資産に対する定義済みの重要な資産分類のすぐに使用できるカタログが提供されます。
重要な資産を確認して分類し、必要に応じてオンとオフを切り替えることができます。
新しい重要な資産分類を提案するには、[ フィードバック ] ボタンを使用します。
現在の資産の種類は次のとおりです。
注:
また、外部データ コネクタから取得された重要度コンテキストも利用します。 このコンテキストは、定義済みの重要な資産管理分類ライブラリの分類として表示されます。
デバイス
| 分類 | 資産の種類 | 既定の重要度レベル | 説明 |
|---|---|---|---|
| Microsoft Entra ID Connect | デバイス | 高い | Microsoft Entra ID Connect (旧称 AAD Connect) サーバーは、オンプレミスのディレクトリ データとパスワードをMicrosoft Entra ID テナントに同期する役割を担います。 |
| ADCS | デバイス | 高い | ADCS サーバーを使用すると、管理者は公開キー 基盤 (PKI) を完全に実装し、ネットワーク上の複数のリソースをセキュリティで保護するために使用できるデジタル証明書を発行できます。 さらに、ADCS は、SSL 暗号化、ユーザー認証、セキュリティで保護された電子メールなど、さまざまなセキュリティ ソリューションに使用できます。 |
| ADFS | デバイス | 高い | ADFS サーバーは、組織の境界を越えて配置されたシステムとアプリケーションへのシングル サインオン アクセスをユーザーに提供します。 要求ベースのアクセス制御承認モデルを使用して、アプリケーションのセキュリティを維持し、フェデレーション ID を実装します。 |
| バックアップ | デバイス | 中 | バックアップ サーバーは、定期的なバックアップを通じてデータを保護し、データ保護とディザスター リカバリーの準備を行います。 |
| ドメイン 管理 デバイス | デバイス | 高い | ドメイン管理者デバイスは、1 つ以上のドメイン管理者が頻繁にログインするデバイスです。 これらのデバイスには、ドメイン管理者が使用する関連ファイル、ドキュメント、資格情報が格納される可能性があります。 注: 管理ツールの頻繁な使用など、複数の要因に基づいて管理者に属するデバイスを識別するためのロジックを適用します。 |
| ドメイン コントローラー | デバイス | 凌雲 | ドメイン コントローラー サーバーは、Active Directory ドメイン内のネットワーク リソースのユーザー認証、承認、一元管理を担当します。 |
| DNS | デバイス | 低い | DNS サーバーは、ドメイン名を IP アドレスに解決し、ネットワーク通信を有効にし、内部的にも外部的にもリソースにアクセスするために不可欠です。 |
| Exchange | デバイス | 中 | Exchange サーバーは、organization内のすべてのメール トラフィックを担当します。 セットアップとアーキテクチャによっては、各サーバーに機密性の高い組織情報を格納する複数のメール データベースが保持される場合があります。 |
| IT 管理 デバイス | デバイス | 中 | organization内の資産を構成、管理、監視するために使用される重要なデバイスは、IT 管理に不可欠であり、サイバー脅威のリスクが高くなります。 不正アクセスを防ぐために、最上位レベルのセキュリティが必要です。 注: 管理ツールの頻繁な使用など、複数の要因に基づいて管理者に属するデバイスを識別するためのロジックを適用します。 |
| ネットワーク 管理 デバイス | デバイス | 中 | organization内のネットワーク資産を構成、管理、監視するために使用される重要なデバイスは、ネットワーク管理に不可欠であり、サイバー脅威のリスクが高くなります。 不正アクセスを防ぐために、最上位レベルのセキュリティが必要です。 注: 管理ツールの頻繁な使用など、複数の要因に基づいて管理者に属するデバイスを識別するためのロジックを適用します。 |
| VMware ESXi | デバイス | 高い | VMware ESXi ハイパーバイザーは、インフラストラクチャ内で仮想マシンを実行および管理するために不可欠です。 ベアメタル ハイパーバイザーとして、仮想リソースを作成および管理するための基盤が提供されています。 |
| VMware vCenter | デバイス | 高い | VMware vCenter Server は、仮想環境を管理するために重要です。 仮想マシンと ESXi ホストの一元管理を提供します。 失敗した場合、プロビジョニング、移行、仮想マシンの負荷分散、データセンターの自動化など、仮想インフラストラクチャの管理と制御が中断される可能性があります。 ただし、多くの場合、冗長な vCenter サーバーと高可用性構成があるため、すべての操作の即時停止が発生しない可能性があります。 その失敗により、大きな不便と潜在的なパフォーマンスの問題が引き続き発生する可能性があります |
| Hyper-V Server | デバイス | 高い | Hyper-V ハイパーバイザーは、インフラストラクチャ内で仮想マシンを実行および管理するために不可欠であり、作成と管理の中核となるプラットフォームとして機能します。 Hyper-V ホストが失敗すると、ホストされている仮想マシンが使用できなくなる可能性があり、ダウンタイムが発生し、ビジネス操作が中断される可能性があります。 さらに、パフォーマンスが大幅に低下し、運用上の課題が生じる可能性があります。 そのため、Hyper-V ホストの信頼性と安定性を確保することは、仮想環境でシームレスな操作を維持するために重要です。 |
ID
| 分類 | 資産の種類 | 既定の重要度レベル | 説明 |
|---|---|---|---|
| 特権ロールを持つ ID | ID | 高い | 次の ID (ユーザー、グループ、サービス プリンシパル、またはマネージド ID) には、重要なリソースを含む、サブスクリプション スコープで、組み込みまたはカスタム特権の Azure RBAC ロールが割り当てられています。 ロールには、Azure ロールの割り当てに対するアクセス許可、Azure ポリシーの変更、Run コマンドを使用した VM でのスクリプトの実行、ストレージ アカウントと keyvaults への読み取りアクセスなどが含まれます。 |
| アプリケーション管理者 | ID | 凌雲 | このロールの ID は、エンタープライズ アプリケーション、アプリケーション登録、アプリケーション プロキシ設定のすべての側面を作成および管理できます。 |
| アプリケーション開発者 | ID | 高い | このロールの ID は、[ユーザーがアプリケーションを登録できます] 設定とは無関係にアプリケーションの登録を作成できます。 |
| 認証管理者 | ID | 凌雲 | このロールの ID は、管理者以外のユーザーの認証方法 (パスワードを含む) を設定およびリセットできます。 |
| Backup Operators | ID | 凌雲 | このロールの ID は、それらのファイルを保護するアクセス許可に関係なく、コンピューター上のすべてのファイルをバックアップおよび復元できます。 バックアップオペレーターは、コンピューターにログオンしてシャットダウンしたり、ドメイン コントローラーに対してバックアップ操作と復元操作を実行したりすることもできます。 |
| サーバー演算子 | ID | 凌雲 | このロールの ID は、ドメイン コントローラーを管理できます。 サーバー オペレーター グループのメンバーは、対話形式でサーバーにサインインし、ネットワーク共有リソースの作成と削除、サービスの開始と停止、ファイルのバックアップと復元、コンピューターのハード ディスク ドライブのフォーマット、コンピューターのシャットダウンなどのアクションを実行できます。 |
| B2C IEF キーセット管理者 | ID | 高い | このロールの ID は、Identity Experience Framework (IEF) でフェデレーションと暗号化のシークレットを管理できます。 |
| クラウド アプリケーション管理者 | ID | 凌雲 | このロールの ID は、アプリプロキシを除くアプリ登録とエンタープライズ アプリのすべての側面を作成および管理できます。 |
| クラウド デバイス管理者 | ID | 高い | このロールの ID には、Microsoft Entra ID内のデバイスを管理するためのアクセスが制限されています。 Microsoft Entra IDのデバイスを有効、無効、削除し、Azure portalで bitLocker キー (存在する場合) Windows 10読み取ることができます。 |
| 条件付きアクセス管理者 | ID | 高い | このロールの ID は、条件付きアクセス設定Microsoft Entra管理できます。 |
| ディレクトリ同期アカウント | ID | 凌雲 | このロールの ID には、すべてのディレクトリ同期設定を管理する機能があります。 Microsoft Entra Connect サービスでのみ使用する必要があります。 |
| ディレクトリ製作者 | ID | 高い | このロールの ID は、基本的なディレクトリ情報の読み取りと書き込みを行うことができます。 ユーザー向けではなく、アプリケーションへのアクセスを許可する場合。 |
| ドメイン管理者 | ID | 凌雲 | このロールの ID は、ドメインを管理する権限を持ちます。 既定では、Domain Admins グループは、ドメイン コントローラーを含め、ドメインに参加しているすべてのコンピューターの Administrators グループのメンバーです。 |
| エンタープライズ管理者 | ID | 凌雲 | このロールの ID は、すべてのドメイン コントローラーを構成するための完全なアクセス権を持ちます。 このグループのメンバーは、すべての管理グループのメンバーシップを変更できます。 |
| グローバル管理者 | ID | 凌雲 | このロールの ID は、Microsoft Entra ID を使用するMicrosoft Entra IDおよび Microsoft サービスのすべての側面を管理できます。 |
| グローバル閲覧者 | ID | 高い | このロールの ID は、グローバル管理者が読み取ることができるすべての情報を読み取ることができますが、更新することはできません。 |
| ヘルプデスク管理者 | ID | 凌雲 | このロールの ID は、管理者以外とヘルプデスク管理者のパスワードをリセットできます。 |
| ハイブリッド ID 管理者 | ID | 凌雲 | このロールの ID は、Active Directory を管理して、クラウド プロビジョニング、Microsoft Entra Connect、パススルー認証 (PTA)、パスワード ハッシュ同期 (PHS)、シームレス シングル サインオン (シームレス SSO)、フェデレーション設定をMicrosoft Entraできます。 |
| Intune管理者 | ID | 凌雲 | このロールの ID は、Intune製品のすべての側面を管理できます。 |
| パートナー レベル 1 のサポート | ID | 凌雲 | このロールの ID は、管理者以外のユーザーのパスワードのリセット、アプリケーションの資格情報の更新、ユーザーの作成と削除、OAuth2 アクセス許可の作成を行うことができます。 このロールは非推奨となり、今後Microsoft Entra IDから削除される予定です。 使用しないでください。一般的な使用を目的としたものではありません。 |
| パートナー レベル 2 のサポート | ID | 凌雲 | このロールの ID は、すべてのユーザー (グローバル管理者を含む) のパスワードのリセット、アプリケーションの資格情報の更新、ユーザーの作成と削除、OAuth2 アクセス許可の作成を行うことができます。 このロールは非推奨となり、今後Microsoft Entra IDから削除される予定です。 使用しないでください。一般的な使用を目的としたものではありません。 |
| パスワード管理者 | ID | 凌雲 | このロールの ID は、管理者以外とパスワード管理者のパスワードをリセットできます。 |
| 特権認証管理者 | ID | 凌雲 | このロールの ID は、任意のユーザー (管理者または非管理者) の認証方法情報を表示、設定、リセットできます。 |
| 特権ロール管理者 | ID | 凌雲 | このロールの ID は、Microsoft Entra IDのロールの割り当てと、Privileged Identity Managementのすべての側面を管理できます。 |
| セキュリティ管理者 | ID | 高い | このロールの ID は、セキュリティ情報とレポートを読み取り、Microsoft Entra IDとOffice 365で構成を管理できます。 |
| セキュリティ オペレーター | ID | 高い | このロールの ID は、セキュリティ イベントを作成および管理できます。 |
| セキュリティ閲覧者 | ID | 高い | このロールの ID は、Microsoft Entra IDとOffice 365のセキュリティ情報とレポートを読み取ることができます。 |
| ユーザー管理者 | ID | 凌雲 | このロールの ID は、制限付き管理者のパスワードのリセットなど、ユーザーとグループのすべての側面を管理できます。 |
| Exchange 管理者 | ID | 高い | このロールの ID は、Exchange 製品のすべての側面を管理できます。 |
| SharePoint 管理者 | ID | 高い | このロールの ID は、SharePoint サービスのすべての側面を管理できます。 |
| コンプライアンス管理者 | ID | 高い | このロールの ID は、Microsoft Entra IDと Microsoft 365 のコンプライアンス構成とレポートを読み取り、管理できます。 |
| グループ管理者 | ID | 高い | このロールの ID は、名前付けポリシーや有効期限ポリシーなどのグループとグループ設定を作成/管理し、グループ アクティビティと監査レポートを表示できます。 |
| 外部 ID プロバイダー管理者 | ID | 凌雲 | このロールの ID は、直接フェデレーションで使用する ID プロバイダーを構成できます。 |
| ドメイン名管理者 | ID | 凌雲 | このロールの ID は、クラウドとオンプレミスのドメイン名を管理できます。 |
| Permissions Management管理者 | ID | 凌雲 | このロールの ID は、Microsoft Entra Permissions Management (EPM) のすべての側面を管理できます。 |
| 課金管理者 | ID | 高い | このロールの ID は、支払い情報の更新などの一般的な課金関連タスクを実行できます。 |
| ライセンス管理者 | ID | 高い | このロールの ID は、ユーザーとグループの製品ライセンスを管理できます。 |
| Teams 管理者 | ID | 高い | このロールの ID は、Microsoft Teams サービスを管理できます。 |
| ユーザー フロー管理者の外部 ID | ID | 高い | このロールの ID は、ユーザー フローのすべての側面を作成および管理できます。 |
| ユーザー フロー属性管理者の外部 ID | ID | 高い | このロールの ID は、すべてのユーザー フローで使用できる属性スキーマを作成および管理できます。 |
| B2C IEF ポリシー管理者 | ID | 高い | このロールの ID は、Identity Experience Framework (IEF) で信頼フレームワーク ポリシーを作成および管理できます。 |
| コンプライアンス データ管理者 | ID | 高い | このロールの ID は、コンプライアンス コンテンツを作成および管理できます。 |
| 認証ポリシー管理者 | ID | 高い | このロールの ID は、認証方法ポリシー、テナント全体の MFA 設定、パスワード保護ポリシー、検証可能な資格情報を作成および管理できます。 |
| ナレッジ管理者 | ID | 高い | このロールの ID は、ナレッジ、学習、およびその他のインテリジェントな機能を構成できます。 |
| ナレッジ マネージャー | ID | 高い | このロールの ID は、トピックと知識を整理、作成、管理、および促進できます。 |
| 属性定義管理者 | ID | 高い | このロールの ID は、カスタム セキュリティ属性の定義を定義および管理できます。 |
| 属性割り当て管理者 | ID | 高い | このロールの ID は、サポートされているMicrosoft Entra オブジェクトにカスタム セキュリティ属性キーと値を割り当てることができます。 |
| ID ガバナンス管理者 | ID | 高い | このロールの ID は、ID ガバナンス シナリオのMicrosoft Entra IDを使用してアクセスを管理できます。 |
| Cloud App Security管理者 | ID | 高い | このロールの ID は、Defender for Cloud Apps製品のすべての側面を管理できます。 |
| Windows 365 管理者 | ID | 高い | このロールの ID は、クラウド PC のすべての側面をプロビジョニングおよび管理できます。 |
| Yammer 管理者 | ID | 高い | このロールの ID は、Yammer サービスのすべての側面を管理できます。 |
| 認証機能拡張管理者 | ID | 高い | このロールの ID は、カスタム認証拡張機能を作成して管理することで、ユーザーのサインインとサインアップ エクスペリエンスをカスタマイズできます。 |
| ライフサイクル ワークフロー管理者 | ID | 高い | このロールの ID は、Microsoft Entra IDのライフサイクル ワークフローに関連付けられているワークフローとタスクのすべての側面を作成および管理します。 |
クラウド リソース
| 分類 | 資産の種類 | 既定の重要度レベル | 説明 |
|---|---|---|---|
| 機密データを含むデータベース | クラウド リソース | 高い | これは、機密データを含むデータ ストアです。 データの機密性は、シークレット、機密ドキュメント、個人を特定できる情報など、さまざまな場合があります。 |
| Confidential Azure Virtual Machine | クラウド リソース | 高い | この規則は、Azure 機密仮想マシンに適用されます。 機密 VM では、分離、プライバシー、暗号化が強化され、重要または機密性の高いデータとワークロードに使用されます。 |
| ロックされた Azure 仮想マシン | クラウド リソース | 中 | これは、ロックによって保護される仮想マシンです。 ロックは、削除や変更から資産を保護するために使用されます。 通常、管理者はロックを使用して環境内の重要なクラウド資産を保護し、誤った削除や未承認の変更から保護します。 |
| 高可用性とパフォーマンスを備えた Azure 仮想マシン | クラウド リソース | 低い | この規則は、Premium Azure ストレージを使用し、可用性セットで構成されている Azure 仮想マシンに適用されます。 Premium Storage は、運用ワークロードなどの高パフォーマンス要件を持つマシンに使用されます。 可用性セットは回復性を向上させ、高可用性を必要とするビジネス クリティカルな VM に対して多くの場合に示されます。 |
| 不変 Azure Storage | クラウド リソース | 中 | この規則は、不変性のサポートが有効になっている Azure ストレージ アカウントに適用されます。 不変性は、一度読み取られた多くの (WORM) 状態の書き込みデータを格納し、通常、ストレージ アカウントが変更から保護する必要がある重要なデータまたは機密データを保持していることを示します。 |
| 不変およびロックされた Azure Storage | クラウド リソース | 高い | この規則は、ロックされたポリシーで不変性のサポートが有効になっている Azure ストレージ アカウントに適用されます。 不変性は、一度読み取られた多くの (WORM) 書き込みでビジネス データを格納します。 ロックされたポリシーを使用してデータ保護が強化され、データを削除できないか、保持時間が短縮されます。 通常、これらの設定は、変更または削除から保護する必要がある重要なデータまたは機密データがストレージ アカウントに保持されていることを示します。 また、データ保護のコンプライアンス ポリシーにデータを合わせる必要がある場合もあります。 |
| 重要なユーザーがサインインしている Azure 仮想マシン | クラウド リソース | 高い | この規則は、Defender for Endpoint によって保護された仮想マシンに適用されます。ここで、重要度レベルが高いユーザーまたは非常に高い重要度のユーザーがサインインします。 サインインしているユーザーは、参加済みまたは登録済みのデバイス、アクティブなブラウザー セッション、またはその他の方法を使用できます。 |
| 多くの接続 ID を持つ Azure Key Vault | クラウド リソース | 高い | このルールは、他の Key Vault と比較して、多数の ID からアクセスできる Key Vault を識別します。 これは、多くの場合、運用サービスなどの重要なワークロードによってKey Vaultが使用されることを示します。 |
| ロックされたクラスター Azure Kubernetes Service | クラウド リソース | 低い | これは、ロックによって保護されるAzure Kubernetes Service クラスターです。 ロックは、削除や変更から資産を保護するために使用されます。 通常、管理者はロックを使用して環境内の重要なクラウド資産を保護し、誤った削除や未承認の変更から保護します。 |
| Premium レベル Azure Kubernetes Service クラスター | クラウド リソース | 高い | この規則は、Premium レベルのクラスター管理を使用Azure Kubernetes Serviceクラスターに適用されます。 Premium レベルは、高可用性と信頼性を必要とする運用環境またはミッション クリティカルなワークロードを実行する場合に推奨されます。 |
| 複数のノードを持つクラスターのAzure Kubernetes Service | クラウド リソース | 高い | この規則は、多数のノードを持つAzure Kubernetes Serviceクラスターに適用されます。 これは、多くの場合、クラスターが運用ワークロードなどの重要なワークロードに使用されることを示します。 |
| 複数のノードを持つ Azure Arc Kubernetes クラスター | クラウド リソース | 高い | このルールは、ノード数が多い Azure Arc Kubernetes クラスターに適用されます。 これは、多くの場合、クラスターが運用ワークロードなどの重要なワークロードに使用されることを示します。 |