Microsoft Defender for Endpoint(旧 Defender ATP)のロールベールアクセス制御(RBAC)についてお話していきます。

今回の個人的に重要なポイントは、下記の2点だけです!

  • RBAC の利用を開始すると、セキュリティ閲覧者やグローバル閲覧者などの閲覧権限のユーザーは、ポータルへのアクセス権を失う
  • デバイス グループに、Azure AD ユーザー グループを割り当てるまでは、すべての RBAC ロール付与のユーザーがアクセス可能

1.RBAC を利用するメリット

RBAC を利用すると、ポータルへのアクセスを詳細に制限することができます。大きいメリットとして、下記の2つが挙げられます。

  • 実行可能なアクションを制限して、ユーザーにロールを付与できます
    (例:表示のみの権限を付与)
  • 管理対象のデバイスを制限して、ユーザーにロールを付与できます
    (例:ローカルの管理者に、該当地域のデバイスのみの管理を依頼)

2.ロールの作成・割り当て

セキュリティ管理者またはグローバル管理者にて、Microsoft Defender Security Center にアクセスして実施します。

ロール利用の開始

初めてロールの利用を開始する際に、一度のみ実施します。
この操作を実施すると、Azure AD ロールにより閲覧権限を付与されているユーザー(セキュリティ閲覧者 等)は、ポータルへのアクセス権を失います。必要に応じて、Defender for Endpoint の RBAC を利用して、閲覧権限を割り当ててください。

①.[Setting]>[Roles]を開きます。

②.[Turn on roles]をクリックします。

ロールの作成

①.[Setting]>[Roles]を開きます。

②.[Add item]をクリックします。

③.ロールを設定します。

項目内容
Role nameロールの名称を入力します。
Descriptionロールの説明を入力します。
Permissions付与するアクセス許可にチェックを入れます。
※アクセス許可については、役割ベースのアクセス制御の役割を作成および管理する – アクセス許可オプションをご参照ください。

ロールの割り当て

①.[Setting]>[Roles]を開き、割り当てを行うロールを選択します。

②.「Assigned user groups」タブを開きます。

③.割り当てるグループにチェックを入れて、「Add selected groups」をクリックします。

3.デバイス グループの作成と制御

デバイス グループに対して、Azure AD ユーザー グループを割り当てることにより、閲覧やアクションの実行をできるユーザーを制限します。

また、各デバイス グループに対して、異なる自動修復レベルを構成することができます。

デバイス グループの作成

①.[Setting]>[Device groups]を開きます。

②.[Add device group]をクリックします。

③.「General」タブで、デバイス グループの基本情報を入力します。

項目内容
Device group nameデバイス グループの名称を入力します。
Automation level自動修復のレベルを選択します。
※自動修復については、自動調査および修復機能の自動化レベル – オートメーションのレベルをご参照ください。
Descriptionデバイス グループの説明を入力します。

④.「Device」タブで、グループに属するデバイスを決定するためのルールを入力します。
※「Preview devices」タブで、ルールに一致したデバイスを確認することができます。

デバイス グループに対して、Azure AD ユーザ グループを割り当てる

ユーザー グループを割り当てることにより、そのデバイスグループにアクセスできる RBAC のロールを割り当てられているユーザーを制限します。デバイスグループにユーザーグループを割り当てるまで、そのデバイスグループには、RBAC のロールを割り当てられているユーザー全員がアクセス可能です。

①.[Setting]>[Device groups]を開いて、割り当てを行うデバイス グループを選択します。

②.「User access」タブを開きます。

③.割り当てるグループにチェックを入れて、「Add selected groups」をクリックします。