Microsoft Cloud App Securityの名称変更は？

メイン コンテンツにスキップ

このブラウザーはサポートされなくなりました。

Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。

管理者アクセスを管理する

• [アーティクル]
• 11/23/2022

この記事の内容

注意

• Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。 今後数週間以内に、こちらと関連ページのスクリーンショットと手順を更新します。 変更の詳細については、こちらの発表を参照してください。 最近の Microsoft セキュリティ サービスの名称変更に関する詳細については、Microsoft Ignite のセキュリティに関するブログを参照してください。

• Microsoft Defender for Cloud Apps は Microsoft 365 Defender に統合されました。 セキュリティ管理者は、そのセキュリティ タスクを Microsoft 365 Defender ポータルで一元的に行うことができます。 これによってワークフローが単純化され、他の Microsoft 365 Defender サービスの機能も追加されます。 Microsoft 365 Defender は、Microsoft の ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視、管理するための拠点となります。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

Microsoft Defender for Cloud Apps では、ロールベースのアクセス制御がサポートされます。 この記事では、管理者用に Defender for Cloud Apps ポータルへのアクセスを設定する方法について説明します。 管理者の役割の割り当てに関する詳細については、Azure Active Directory (Azure AD) および Office 365 に関する記事を参照してください。

注意

• Office 365 と Azure AD のロールは、Defender for Cloud Apps の [管理者のアクセス権管理] ページには表示されません。 Office 365 または Azure Active Directory でロールを割り当てるには、そのサービスに関連する RBAC 設定にアクセスします。
• ユーザーのディレクトリ レベルの非アクティブ タイムアウト設定を判断するために、Defender for Cloud Apps には Azure Active Directory が使用されています。 Azure Active Directory でユーザーが非アクティブ時にサインアウトしないように構成されている場合、同じ設定が Defender for Cloud Apps にも適用されます。

既定では、Office 365 と Azure AD の次の管理者ロールで Defender for Cloud Apps にアクセスできます。

• 全体管理者、セキュリティ管理者: フル アクセスの権限を持つ管理者には、Defender for Cloud Apps での完全なアクセス許可があります。 これらでは、管理者の追加、ポリシーと設定の追加、ログのアップロード、ガバナンス アクションの実行、SIEM エージェントへのアクセスと管理を行うことができます。

• Cloud App Security 管理者: Defender for Cloud Apps でフル アクセスとアクセス許可を許可します。 このロールは、Azure AD グローバル管理者ロールなどのアクセス許可を Defender for Cloud Apps に付与します。 ただし、このロールのスコープは Defender for Cloud Apps であり、他の Microsoft セキュリティ製品に対する完全なアクセス許可は付与されません。

• コンプライアンス管理者:読み取り専用アクセス許可を持ち、アラートを管理できます。 クラウド プラットフォームのセキュリティに関する推奨事項にはアクセスできません。 ファイル ポリシーの作成と変更、ファイル ガバナンス アクションの許可、データ管理でのすべての組み込みレポートの表示を行うことができます。

• コンプライアンス データ管理者:読み取り専用アクセス許可を持ち、ファイル ポリシーの作成と変更、ファイル ガバナンス アクションの許可、すべての検出レポートの表示を行うことができます。 クラウド プラットフォームのセキュリティに関する推奨事項にはアクセスできません。

注意

2022 年 8 月 28 日以降、Azure AD セキュリティ閲覧者ロールが割り当てられているユーザーは、Microsoft Defender for Cloud Apps アラートを管理できなくなります。 この変更は、今後数週間にわたってすべてのお客様に段階的にロールアウトされます。 引き続きアラートを管理するには、このユーザー ロールを Azure AD セキュリティ オペレーターに更新する必要があります。

• セキュリティ オペレーター: 読み取り専用アクセス許可を持ち、アラートを管理できます。 これらの管理者は、以下のアクションの実行が制限されています。

  • ポリシーを作成する、または既存のポリシーを編集および変更する
  • ガバナンス アクションを実行する
  • 探索ログをアップロードする
  • サードパーティのアプリの禁止または承認
  • IP アドレス範囲設定ページへのアクセスと表示
  • すべてのシステム設定ページへのアクセスと表示
  • 検出設定へのアクセスと表示
  • アプリ コネクタ ページへのアクセスと表示
  • ガバナンス ログへのアクセスと表示
  • [スナップショット レポートの管理] ページへのアクセスと表示
  • SIEM エージェントへのアクセスと表示

• セキュリティ閲覧者: 読み取り専用アクセス許可を持ちます。 これらの管理者は、以下のアクションの実行が制限されています。

  • ポリシーを作成する、または既存のポリシーを編集および変更する
  • ガバナンス アクションを実行する
  • 探索ログをアップロードする
  • サードパーティのアプリの禁止または承認
  • IP アドレス範囲設定ページへのアクセスと表示
  • すべてのシステム設定ページへのアクセスと表示
  • 検出設定へのアクセスと表示
  • アプリ コネクタ ページへのアクセスと表示
  • ガバナンス ログへのアクセスと表示
  • [スナップショット レポートの管理] ページへのアクセスと表示
  • SIEM エージェントへのアクセスと表示

• グローバル閲覧者: Defender for Cloud Apps のすべての部分に対する完全な読み取り専用アクセス権を持ちます。 設定を変更したり、アクションを実行したりすることはできません。

ロールとアクセス許可

Defender for Cloud Apps の組み込み管理者ロール

Defender for Cloud Apps ポータル内で、次の特定の管理者ロールを構成できます。

• グローバル管理者: Azure AD グローバル管理者ロールと同様にフル アクセスを持ちますが、Defender for Cloud Apps に対してのみです。

• コンプライアンス管理者: Azure AD コンプライアンス管理者ロールと同じアクセス許可を付与しますが、Defender for Cloud Apps に対してのみです。

• セキュリティ閲覧者: Azure AD セキュリティ閲覧者ロールと同じアクセス許可を付与しますが、Defender for Cloud Apps に対してのみです。

• セキュリティ オペレーター: Azure AD セキュリティ オペレーター ロールと同じアクセス許可を付与しますが、Defender for Cloud Apps に対してのみです。

• アプリ/インスタンスの管理者: 選ばれた特定のアプリまたはアプリのインスタンスのみを扱う Defender for Cloud Apps でのすべてのデータに対する完全なアクセス許可または読み取り専用アクセス許可を持ちます。 たとえば、Box European インスタンスに対する管理者アクセス許可をユーザーに付与します。 その管理者は、ファイル、アクティビティ、ポリシー、アラートのいずれでも、Box European インスタンスに関連するデータのみを表示できます。

  • アクティビティ ページ - 特定のアプリに関するアクティビティのみ
  • アラート - 特定のアプリに関連するアラートのみ
  • ポリシー - すべてのポリシーを表示できます。完全なアクセス許可を割り当てられている場合は、そのアプリおよびインスタンスのみを扱うポリシーだけを編集または作成できます。
  • アカウント ページ - 特定のアプリおよびインスタンスのアカウントのみ
  • アプリのアクセス許可 - 特定のアプリおよびインスタンスに対するアクセス許可のみ
  • ファイル ページ - 特定のアプリおよびインスタンスからのファイルのみ
  • アプリの条件付きアクセス制御 - アクセス許可なし
  • Cloud Discovery アクティビティ - アクセス許可なし
  • セキュリティ拡張機能 - ユーザー アクセス許可を持つ API トークンに対するアクセス許可のみ
  • ガバナンス アクション - 特定のアプリおよびインスタンスに対するもののみ
  • クラウド プラットフォームのセキュリティに関する推奨事項 - アクセス許可なし

• ユーザー グループ管理者: 割り当てられた特定のグループのみを扱う Defender for Cloud Apps でのすべてのデータに対する完全なアクセス許可または読み取り専用アクセス許可を持ちます。 たとえば、グループ "Germany - all users" に対する管理者アクセス許可をユーザーに割り当てた場合、管理者は Defender for Cloud Apps でそのユーザー グループのみの情報を表示および編集できます。 ユーザー グループ管理者には、次のアクセス権があります。

  • アクティビティ ページ - そのグループのユーザーに関するアクティビティのみ

  • アラート - そのグループのユーザーに関連するアラートのみ

  • ポリシー - すべてのポリシーを表示できます。完全なアクセス許可を割り当てられている場合は、そのグループのユーザーのみを扱うポリシーだけを編集または作成できます

  • アカウント ページ - そのグループの特定のユーザーのアカウントのみ

  • アプリのアクセス許可 - アクセス許可なし

  • ファイル ページ - アクセス許可なし

  • アプリの条件付きアクセス制御 - アクセス許可なし

  • Cloud Discovery アクティビティ - アクセス許可なし

  • セキュリティ拡張機能 - そのグループのユーザーの API トークンに対するアクセス許可のみ

  • ガバナンス アクション - そのグループの特定のユーザーに対するもののみ

  • クラウド プラットフォームのセキュリティに関する推奨事項 - アクセス許可なし

    注意

    • グループをユーザー グループ管理者に割り当てるには、まず、接続されているアプリからユーザー グループをインポートする必要があります。
    • ユーザー グループ管理者のアクセス許可は、インポートされた Azure AD グループにのみ割り当てることができます。

• Cloud Discovery のグローバル管理者:Cloud Discovery のすべての設定とデータを表示および編集するアクセス許可があります。 Discovery のグローバル管理者には、次のアクセス権があります。

  • Settings
    • システム設定 - 表示のみ
    • Cloud Discovery の設定 - すべての表示と編集 (匿名化アクセス許可は、ロールの割り当ての間に許可されたかどうかによります)
  • Cloud Discovery アクティビティ - 完全なアクセス許可
  • アラート - 関連する Cloud Discovery レポートに関連するアラートのみを表示および管理する
  • ポリシー - すべてのポリシーを表示でき、Cloud Discovery のポリシーのみを編集または作成できます
  • アクティビティ ページ - アクセス許可なし
  • アカウント ページ - アクセス許可なし
  • アプリのアクセス許可 - アクセス許可なし
  • ファイル ページ - アクセス許可なし
  • アプリの条件付きアクセス制御 - アクセス許可なし
  • セキュリティ拡張機能 - 独自の API トークンの作成と削除
  • ガバナンス アクション - Cloud Discovery 関連のアクションのみ
  • クラウド プラットフォームのセキュリティに関する推奨事項 - アクセス許可なし
  • IP 範囲 - アクセス許可なし

• Cloud Discovery エグゼクティブ レポート

  • Settings
    • システム設定 - 表示のみ
    • Cloud Discovery の設定 - すべての表示と編集 (匿名化アクセス許可は、ロールの割り当ての間に許可されたかどうかによります)
  • Cloud Discovery アクティビティ - アクセス許可なし
  • アラート – 関連する Cloud Discovery レポートに関連するアラートのみを表示する
  • ポリシー - すべてのポリシーを表示でき、アプリケーション (タグ付け、承認、承認なし) を管理することなく、Cloud Discovery ポリシーのみを作成できます。
  • アクティビティ ページ - アクセス許可なし
  • アカウント ページ - アクセス許可なし
  • アプリのアクセス許可 - アクセス許可なし
  • ファイル ページ - アクセス許可なし
  • アプリの条件付きアクセス制御 - アクセス許可なし
  • セキュリティ拡張機能 - 独自の API トークンの作成と削除
  • ガバナンス アクション – 関連する Cloud Discovery レポートに関連するアクションのみを表示する
  • クラウド プラットフォームのセキュリティに関する推奨事項 - アクセス許可なし
  • IP 範囲 - アクセス許可なし

注意

組み込みの Defender for Cloud Apps 管理者ロールでは、Defender for Cloud Apps へのアクセス許可のみが提供されます。

管理者アクセス許可をオーバーライドする

Azure AD または Office 365 からの管理者のアクセス許可をオーバーライドする場合は、Defender for Cloud Apps にユーザーを手動で追加し、ユーザーにアクセス許可を割り当てることによって行うことができます。 たとえば、Azure AD のセキュリティ閲覧者である Stephanie に、Defender for Cloud Apps でのフル アクセスを割り当てる場合は、彼女を手動で Defender for Cloud Apps に追加し、フル アクセスを割り当ててロールをオーバーライドし、Defender for Cloud Apps での必要なアクセス許可を付与します。 フル アクセス (グローバル管理者、セキュリティ管理者、Cloud App Security 管理者) を付与する Azure AD ロールをオーバーライドすることはできない点に注意してください。

管理者をさらに追加する

ユーザーを Azure AD の管理者ロールに追加することなく、Defender for Cloud Apps にさらに管理者を追加できます。 管理者をさらに追加するには、次の手順のようにします。

重要

• 「管理者アクセスを管理する」ページには、グローバル管理者グループ、セキュリティ管理者グループ、コンプライアンス管理者グループ、コンプライアンス データ管理者グループ、セキュリティ オペレーター グループ、セキュリティ閲覧者グループ、グローバル閲覧者グループのメンバーがアクセスできます。
• Azure AD のグローバル管理者とセキュリティ管理者のみが、「管理者アクセスを管理する」ページを編集し、Defender for Cloud Apps へのアクセス権を他のユーザーに与えることができます。

1. 設定歯車

   
   を選び、[管理者のアクセス権管理] をクリックします。

2. Defender for Cloud Apps へのアクセス権を持つ管理者を追加するには、プラス記号のアイコンを選びます。 組織内からのユーザーのメール アドレスを指定します。

   注意

   Defender for Cloud Apps ポータルの管理者として外部のマネージド セキュリティ サービス プロバイダー (MSSP) を追加する場合は、まず組織にゲストとして招待するようにしてください。

   

3. 次に、ドロップダウンを選択して、管理者が持つロールの種類 (グローバル管理者、セキュリティ閲覧者、コンプライアンス管理者、アプリ/インスタンスの管理者、ユーザー グループの管理者、Cloud Discovery のグローバル管理者、または Cloud Discovery のレポート管理者) を設定します。アプリ/インスタンスの管理者を選択する場合は、管理者がアクセス許可を持つ対象のアプリとインスタンスを選択します。

   注意

   アクセス権が制限されている管理者は、制限付きページへのアクセスまたは制限されたアクションの実行を試みると、ページへのアクセスまたはアクションの実行を許可されていないというエラーを受け取ります。

4. [管理者の追加] を選択します。

外部の管理者を招待する

Defender for Cloud Apps を使用すると、外部の管理者 (MSSP) を組織の (MSSP カスタマー) Defender for Cloud Apps ポータルの管理者として招待することができます。 MSSP を追加するには、MSSP テナントで Defender for Cloud Apps を有効にしてから、MSSP カスタマーの Azure portal で Azure AD B2B コラボレーション ユーザーとして追加します。 追加したら、MSSP を管理者として構成し、Defender for Cloud Apps で使用可能な任意のロールを割り当てることができます。

MSSP カスタマーの Defender for Cloud Apps ポータルに MSSP を追加するには

1. 「ゲスト ユーザーをディレクトリに追加する」の手順に従い、MSSP をゲストとして MSSP カスタマー ディレクトリに追加します。
2. 「管理者をさらに追加する」の手順に従い、MSSP を追加し、MSSP カスタマー Defender for Cloud Apps ポータルで管理者の役割を割り当てます。 ゲストとして MSSP カスタマー ディレクトリに追加したときに使用したのと同じ外部のメール アドレスを指定します。

MSSP カスタマー Defender for Cloud Apps ポータルへの MSSP のアクセス

既定では、MSSP は次の URL を使用して Defender for Cloud Apps テナントにアクセスします: https://portal.cloudappsecurity.com。

ただし、MSSP は、次の形式のテナント固有の URL を使用して、MSSP カスタマー Defender for Cloud Apps ポータルにアクセスする必要があります: https://portal.cloudappsecurity.com?tid=customer_tenant_id。

MSSP は、次の手順に従って、MSSP カスタマー ポータルのテナント ID を取得し、その ID を使用してテナント固有の URL にアクセスできます。

1. MSSP として、資格情報を使用して Azure AD にサインインします。

2. ディレクトリを MSSP カスタマーのテナントに切り替えます。

3. [Azure Active Directory]>[プロパティ] の順に選択します。 [テナント ID] フィールドに MSSP カスタマーのテナント ID が表示されます。

4. 次の URL の customer_tenant_id 値を置き換えて、MSSP カスタマー ポータルにアクセスします: https://portal.cloudappsecurity.com?tid=customer_tenant_id。

管理者アクティビティの監査

Defender for Cloud Apps では、管理者のサインイン アクティビティのログと、調査の一部として実行された特定のユーザーまたはアラートの表示の監査を、エクスポートすることができます。

ログをエクスポートするには、次の手順のようにします。

1. [管理者のアクセス権管理] ページで、 [管理者のアクティビティをエクスポート] を選択します。

2. 必要な時間範囲を指定します。

3. [エクスポート] を選択します。

次のステップ

Microsoft Defender for Cloudの名称変更は？

Microsoft Defender for Cloud Appsの機能は？

Cloud App Securityの仕組みは？

MCASの変更は？