We’ve changed the permissions mechanism to access Email & collaboration schema in Advanced Hunting for Microsoft Defender for Office 365 customers, to align with Threat Explorer.

[When this will happen:]

We will begin rolling out in early May 2024 and expect to complete by late May 2024.

[How this will affect your organization:]

Impacted users:

Security teams that are using Defender XDR Email & collaboration schema in Advanced Hunting (security.microsoft.com/v2/advanced-hunting)

• Users assigned to Exchange Online Protection role groups View-only Manage alerts, Manage alerts, View-only audit logs, Audit logs, and Organization configuration. These role groups are configured in the Defender portal, under Permissions / Email & collaboration Roles / Roles, or in the Purview compliance portal under Roles and Scopes/Permissions.
• Users assigned the following permissions using Defender XDR Unified RBAC for Microsoft Defender for Office 365:
  • Security operations / Security data basics (read), without Security operations / Raw data / Email & collaboration metadata (read)).

Previously, these roles granted access to Microsoft Defender for Office 365 Alerts and Incidents, as well as Email & collaboration schema in Advanced Hunting.

[What you need to do to prepare:]

After rolling out this change, these roles will continue to grant access to Microsoft Defender for Office 365 Alerts and Incidents, but not Email & collaboration schema in Advanced Hunting. 

If you are willing to continue and grant your teams access to Email & collaboration schema in Advanced Hunting, please assign them one of the following permissions, same as required to access Threat Explorer:

• If Defender XDR Unified RBAC is active for Email & collaboration: please assign:
  Security operations / Raw data / Email & collaboration metadata (read) permission.
• If Defender XDR Unified RBAC is not active for Email & collaboration, please assign the following Email & collaboration permissions in the Defender portal:
  Security Reader, Security Operator, Security Administrator, Exchange Administrator, Global Reader, View-Only Recipients, Organization Management.

Notes:

• This change does not impact access to Threat Explorer
• Global Entra ID roles are not impacted by this change

Please review the following resources to learn more:

• For additional information on Advanced Hunting permissions, see Custom roles for role-based access control | Microsoft Learn
• For additional information on Threat Explorer permissions, see About Threat Explorer and Real-time detections in Microsoft Defender for Office 365 | Microsoft Learn

脅威エクスプローラーに合わせて、Microsoft Defender for Office 365 のお客様向けの高度なハンティングで電子メール & コラボレーション スキーマにアクセスするためのアクセス許可メカニズムを変更しました。

[これがいつ起こるか:]

2024 年 5 月上旬にロールアウトを開始し、2024 年 5 月下旬までに完了する予定です。

[これが組織に及ぼす影響:]

影響を受けるユーザー:

高度なハンティング (security.microsoft.com/v2/advanced-hunting) で Defender XDR 電子メール & コラボレーション スキーマを使用しているセキュリティ チーム

• Exchange Online Protection 役割グループの [表示のみの管理] 、 [アラートの管理] 、 [表示のみの監査ログ] 、 [監査ログ] 、 [組織の構成] に割り当てられているユーザー。 これらの役割グループは、Defender ポータルの [アクセス許可] / [電子メール & コラボレーション ロール] / [ロール] の下、または Purview コンプライアンス ポータルの [ロールとスコープ/アクセス許可] で構成されます。
• Microsoft Defender for Office 365のDefender XDR 統合 RBAC を使用して次のアクセス許可が割り当てられたユーザーには、次のアクセス許可が割り当てられました。
  • セキュリティ運用/セキュリティデータの基本(読み取り)、セキュリティ操作/生データ/電子メールとコラボレーションメタデータ(読み取り)なし)。

以前は、これらのロールは、Microsoft Defender for Office 365アラートとインシデント、および高度なハンティングの電子メール & コラボレーション スキーマへのアクセスを許可していました。

[準備に必要なこと:]

この変更をロールアウトした後、これらのロールは引き続きMicrosoft Defender for Office 365アラートとインシデントへのアクセスを許可しますが、高度なハンティングの電子メール & コラボレーション スキーマは許可しません。 

続行して、Advanced Hunting の電子メールとコラボレーション スキーマへのアクセス権をチームに付与する場合は、脅威エクスプローラーへのアクセスに必要なのと同じ、次のいずれかのアクセス許可をチームに割り当ててください。

• Defender XDR Unified RBAC が電子メールとコラボレーションに対してアクティブな場合: 以下を割り当ててください。
  セキュリティ操作 / 生データ / 電子メールとコラボレーションのメタデータ (読み取り) アクセス許可。
• Defender XDR Unified RBAC が電子メールとコラボレーションに対してアクティブでない場合は、Defender ポータルで次の電子メールとコラボレーションのアクセス許可を割り当ててください。
  セキュリティ閲覧者、セキュリティ オペレーター、セキュリティ管理者、Exchange 管理者、グローバル閲覧者、表示のみの受信者、組織の管理。

筆記：

• この変更は、脅威エクスプローラーへのアクセスには影響しません
• グローバル Entra ID ロールは、この変更の影響を受けません

詳細については、次のリソースを確認してください。

• 高度なハンティングのアクセス許可の詳細については、「 ロールベースのアクセス制御のカスタム ロール |Microsoft Learn (英語)
• 脅威エクスプローラーのアクセス許可の詳細については、「 脅威エクスプローラーについて」および「Microsoft Defender for Office 365でのリアルタイム検出」を参照してください。Microsoft Learn (英語)