必要なロールと権限

Email Securityは、すべてのユーザを保護し、すべての脅威を修復するために、これらのロールと権限を必要とします。

必要な権限

Email Securityには、Microsoftから以下の権限が必要です。

- これらの権限の一部は重複しているように見え、同じ機能を共有しています。これは、これらが異なるシナリオで使用され、ときには相互のバックアップとしても使用される、異なるMicrosoft APIセットに対する権限であるためです。

Microsoft 365に必要な権限

クレーム値

Email Securityによって実行される機能

グループを作成する

Group.Create

保護の設定の一環として、オンボーディング中にグループを作成します。

Exchange をアプリケーションとして管理

Exchange.ManageAsApp

Check Pointアプリケーションに代わって、Exchange要素に対してPowerShellコマンドを実行するために使用されます。

すべてのユーザ' のIDを管理する

User.ManageIdentities.All

侵害されたアカウントをブロックするために使用されます。

組織のアクティビティデータを読み取る

ActivityFeed.Read

以下のために使用されます。

  • ログインアクティビティを表示し、侵害されたアカウント(異常)を検出するために、ユーザのログインイベント、Microsoft Defenderイベントなどを取得します。

  • 各メールに表示するためのMicrosoftの検出情報を取得します。

すべての監査ログデータを読み取る

AuditLog.Read.All

侵害されたアカウント(異常)を検出するために、ログインイベントの事後監査に使用されます。

すべてのアプリケーションを読み取る

Application.Read.All

  • アプリケーションのオンボーディングおよびオフボーディングに必要なアプリケーション パラメータを読み取るために使用されます。

すべてのディレクトリRBAC設定を読み取る

RoleManagement.Read.Directory

ユーザとそのロールを収集し、ポリシーの適用範囲を設定し、それらを適用し、ユーザ固有のレポートを生成するために使用されます。

すべてのディレクトリRBAC設定を読み書きする

RoleManagement.ReadWrite.Directory

以下のために使用されます。

  • Read all directory RBAC settings に加えて、オンボーディング中にCheck Pointアプリケーションにロールを割り当て、PowerShellコマンドを実行できるようにします。

すべての非表示メンバーシップを読み取る

Member.Read.Hidden

ポリシーの割り当て、ポリシーの適用、およびユーザベースのレポートをサポートするために、非表示のグループメンバを収集するために使用されます。

すべてのグループを読み取る

Group.Read.All

ユーザにポリシーを適切に割り当てるため、ユーザをグループにマッピングするために使用されます。

すべてのメールボックス内の連絡先を読み取る

Contacts.Read

連絡先を保護し、ユーザに対するポリシーの適用範囲を設定するために使用されます。

すべてのメールボックス内の予定表を読み書きする

Calendars.ReadWrite

悪意のあるメールによって追加された予定表の招待を削除するために使用されます。

ドメインを読み取る

Domain.Read.All

保護対象ドメインを収集する目的:

  • ドメインを保護する。

  • 検査をスキップし、他のドメインからのメールがMicrosoftに返送されるのを回避する。

  • これらのドメインに対してDMARC管理を許可する。

  • Security Awareness Trainingのエンドユーザのユーザエクスペリエンスにブランディングを自動的に適用する。

ドメインを読み書きする

Domain.ReadWrite.All

Read Domains に加えて、オンボーディング中にCheck Pointサブドメインを作成し、その証明書を使用してメールをMicrosoftに返送します。

すべてのユーザ'の完全なプロファイルを読み取る

User.Read.All

保護およびポリシースコープ設定の目的ですべてのユーザを収集するために使用されます。

すべてのユーザメールボックス設定を読み書きする

MailboxSettings.ReadWrite

以下のために使用されます。

  • 侵害されたアカウントを検出するためにメールボックスルールを読み取る。

  • Greymailワークフローの一環としてメールボックスルールを追加する。

すべてのメールボックス内のメールを読み書きする

Mail.ReadWrite

以下のために使用されます。

  • 配信後にメールが隔離または変更される、Detect and Remediateポリシールールの適用。

  • 管理者が、すでにユーザのメールボックス内にあるメールを隔離できるようにすること。

  • 管理者がメールをユーザのメールボックスに復元できるようにすること。

  • Learning Mode の一環として通信パターンのベースラインを作成すること。

すべてのメールボックスへのフルアクセスで Exchange Web Services を使用する

full_access_as_app

エンドユーザメールボックスに通知を送信し、隔離されたメールをエンドユーザメールボックスに復元するために使用されます。

任意のユーザとしてメールを送信する

Mail.Send

Microsoft が他の配信方法をサポートしていないシナリオで、エンドユーザに通知を送信するために使用されます。

すべてのグループメンバーシップを読み書きする

GroupMember.ReadWrite.All

Read all groups に加えて、インラインで保護されるユーザを変更すると、Email Security によって作成されたグループが、新しいインラインユーザを含むように自動的に調整されます。

組織のすべての公開ラベルおよびラベルポリシーを読み取る

InformationProtectionPolicy.Read.All

Microsoft Sensitivity Labelsを読み取り、Check Point DLPポリシーの一部として使用します。

割り当てられた権限の削減

オンボーディングが完了し、学習モードが終了した後、次の権限をCheck Pointapplication:

権限

クレーム値

すべてのディレクトリRBAC設定を読み書きする

RoleManagement.ReadWrite.Directory

ドメインを読み書きする

Domain.ReadWrite.All

- これらのアプリケーション(Read domains および Read all directory RBAC settings)に対応する読み取り専用権限は削除しないでください。

Email Security が 2026 年 3 月より前にオンボーディングされ、再認可していない場合、アプリケーションには引き続き AD Graph API 権限(Directory.ReadWrite.All)が含まれている可能性があります。この権限は現在は不要であり、削除できます。

必要なアプリケーションロール

Email Security は、オンボーディング中にこれらのロールを必要とします。

  • Exchange Administrator

  • Privileged Authentication Administrator

Exchange Administrator

Email Security は、PowerShell コマンドの実行を含む複数の方法で、これらのタスクを実行するために Exchange Administrator ロールを使用します。

オンボーディング時に、Email Security は Exchange Administrator ロールを引き受けます。オンボーディングを正常に完了させるため、Exchange Administrator ロールに割り当てられたデフォルト権限を変更しないでください。

- Exchange RBAC role groups のデフォルト権限、または Microsoft Entra ID role permissions ロールに割り当てられた Exchange Administrator を変更した場合、システムはオンボーディングをサポートせず、失敗する可能性があります。

  • 初期オンボーディング - を設定するにはメール フロー ルール(トランスポート ルール),コネクタ、および構成された DLP、脅威検出、Click-Time Protection ポリシーを適用するために必要な、受信、内部、および送信メールフロー向けの追加要素。詳細:自動モードのオンボーディング - Microsoft 365 フットプリント.

  • Unified Quarantine - Microsoft によって隔離されたメールに関する情報をフィルタリングし、必要に応じて Microsoft の隔離からそれらを復元します。

  • Track Microsoft Spam Policy - Microsoft が各メールに対して何を行ったはずかを判断するために、Email Security は構成済みの Microsoft ポリシーの更新を各スパム信頼レベル (SCL).

  • Microsoft 暗号化との統合 - Email is allowed. Encrypted by Microsoft ワークフローで DLP ポリシー ルールをサポートするために、Microsoft 暗号化との統合を有効にします。詳細:送信メールのDLPポリシー.

  • 自動メンテナンス - トラブルシューティング機能を強化し、インフラストラクチャの拡張をサポートするためです。

  • 今後の新機能をサポートするためです。

特権認証管理者

Email Security は、侵害されたと検出されたユーザをブロックし、そのパスワードをリセットするために Privileged Authentication Administrator ロールを使用します。参照: 侵害されたアカウントの修復.

割り当てられた Microsoft アプリケーション ロールの削減

  • Email Security は、侵害されたと検出されたアカウントをブロックするために Privileged Authentication Administrator ロールを使用します。このロールにより、Global Administrator である場合でも、侵害されたすべてのアカウントをブロックできます。詳細:侵害されたアカウントの修復.

  • 正常にOffice 365 Mailのアクティブ化、管理者は Privileged Authentication Administrator ロールを this Microsoft article で説明されているいずれかのロールに削減できます。

  • それを実行すると、Email Security がブロックできるのは、選択したロールがそのパスワードをリセットできる侵害済みアカウントのみになります(this Microsoft article を参照)。

    :

    • アプリケーション ロールを削減する場合は、まず権限の低いロールを適用し(this Microsoft article を参照)、その後でより高い権限のロールを削除してください(this Microsoft article を参照)。

    • 2024 年 12 月 09 日より前に Email Security を Office 365 Mail に接続している場合、アプリケーションに Global Administrator ロールが割り当てられている可能性があります。このロールは、手動で Exchange AdministratorPrivileged Authentication Administrator、またはそれより権限の低いロールに削減できます。

割り当てられた Microsoft アプリケーション ロールを削減する手順:

  1. 新しいロールをCheck Pointアプリケーションに追加します。

  2. 新しいロールが正しく反映されるよう、30 分待ちます。

  3. 古いロールをCheck Pointアプリケーションから削除します。

Microsoft 365 Mail - ユーザの承認

Office 365 Mail 保護を有効化する作業の一環として、アプリケーションに必要な権限を承認するには、Privileged Role Administrator ロール以上を持つユーザが必要です。