<p><!--META { "title": "Microsoft 365 Defenderによる統合脅威検出アーキテクチャ", "primary_category": "クラウド>Microsoft 365", "secondary_categories": ["セキュリティ", "脅威検出", "SIEM"], "tags": ["Microsoft Defender XDR", "Defender for Endpoint", "Defender for Identity", "Defender for Cloud Apps", "Entra ID", "RBAC", "KQL"], "summary": "Microsoft 365 Defenderを活用した統合的な脅威検出アーキテクチャ、設定、運用監視、セキュリティ、コスト最適化について解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Microsoft 365 Defenderによる統合脅威検出アーキテクチャを徹底解説。設定から運用、セキュリティ、コストまで網羅。Entra ID連携やRBAC設定も具体的に。","hashtags":["#M365Defender","#CloudSecurity","#ThreatDetection"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-365-defender-features?view=o365-worldwide", "https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-365-defender-licensing?view=o365-worldwide", "https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/rbac?view=o365-worldwide"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft 365 Defenderによる統合脅威検出アーキテクチャ</h1> <p>近年、サイバー攻撃の高度化と巧妙化が進む中で、組織は複雑な脅威環境に直面しています。Microsoft 365 Defender（現在はMicrosoft Defender XDRに改称）は、このような脅威に対抗するために、Microsoftのセキュリティポートフォリオを統合し、エンドポイント、ID、電子メールとコラボレーション、クラウドアプリケーション全体で統合された保護、検出、調査、対応を提供する強力なソリューションです。本稿では、Microsoft Defender XDRを活用した統合脅威検出アーキテクチャ、その設定手順、運用監視、セキュリティ、コスト最適化、そしてよくある落とし穴とその対策について、クラウドアーキテクトの視点から詳細に解説します。</p> <h2 class="wp-block-heading">アーキテクチャ</h2> <p>Microsoft Defender XDRは、複数のMicrosoft Defenderセキュリティサービスを統合し、単一のセキュリティオペレーションエクスペリエンスを提供します。これにより、セキュリティチームは、攻撃を組織全体で停止し、影響を自動的に修復するのに役立ちます[1]。</p> <h3 class="wp-block-heading">Microsoft Defender XDRの概要と主要コンポーネント</h3> <p>Microsoft Defender XDRは、以下の主要なDefender製品群からの信号を相互に関連付け、統合されたインシデントとアラートとして提供します。</p> <ul class="wp-block-list"> <li><p><strong>Microsoft Defender for Endpoint (MDE)</strong>: エンドポイント（ワークステーション、サーバー、モバイルデバイス）向けのEDR (Endpoint Detection and Response) 機能を提供し、高度な脅威防御、ポスト侵害検出、自動調査、対応を実現します[7]。</p></li> <li><p><strong>Microsoft Defender for Identity (MDI)</strong>: オンプレミスおよびクラウドのActive Directoryからの信号を監視し、資格情報の盗難、パスザハッシュ、ゴールデンチケット攻撃などのIDベースの高度な脅威を検出します[6]。</p></li> <li><p><strong>Microsoft Defender for Office 365 (MDO)</strong>: 電子メール、SharePoint、OneDrive、Microsoft Teamsにおけるフィッシング、マルウェア、スパムなどの脅威から組織を保護します。</p></li> <li><p><strong>Microsoft Defender for Cloud Apps (MDCA)</strong>: クラウドアプリケーションの可視性、データセキュリティ、脅威防御、コンプライアンスを実現します。シャドウIT検出、条件付きアクセスアプリ制御、APIコネクタによる保護を提供します[5]。</p></li> </ul> <p>これらのコンポーネントが連携することで、組織内の様々なレイヤーから収集された信号がMicrosoft Defender XDRに集約され、より広範な攻撃キャンペーンを早期に検出し、自動で修復する能力が強化されます。</p> <h3 class="wp-block-heading">統合脅威検出のフロー</h3> <p>Microsoft Defender XDRの統合脅威検出フローは、以下のMermaidフローチャートで視覚的に表現できます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["ユーザー"] --> |操作/活動| B("デバイス/PC/サーバー") A --> |ログイン/アクセス| C("ID/Active Directory") A --> |メール/ファイル| D("Office 365") A --> |クラウドサービス利用| E("クラウドアプリ") B --> |信号収集(EDR)| F{"Microsoft Defender for Endpoint"} C --> |信号収集(ADセンサー)| G{"Microsoft Defender for Identity"} D --> |信号収集(メールフロー)| H{"Microsoft Defender for Office 365"} E --> |信号収集(API/ログ)| I{"Microsoft Defender for Cloud Apps"} F --> |脅威データ転送| J["Microsoft Defender XDR"] G --> |脅威データ転送| J H --> |脅威データ転送| J I --> |脅威データ転送| J J --> |脅威検出/相関| K["インシデントとアラート"] K --> |自動調査/修復| L("影響緩和") K --> |通知/可視化| M["Microsoft Defender XDR ポータル"] M --> |調査/対応| N["SOCチーム/セキュリティアナリスト"] N --> |対応アクション| A N --> |対応アクション| B N --> |対応アクション| C N --> |対応アクション| D N --> |対応アクション| E </pre></div> <p>このフローでは、ユーザーの活動がエンドポイント、ID、Office 365、クラウドアプリにわたって行われ、それぞれのDefenderコンポーネントが信号を収集します。これらの信号はMicrosoft Defender XDRに集約され、AIと機械学習によって相関分析が行われ、単一のアラートでは見過ごされがちな複雑な脅威がインシデントとして検出されます。検出されたインシデントは、セキュリティチームによる詳細な調査と対応の対象となります。</p> <h2 class="wp-block-heading">設定手順</h2> <h3 class="wp-block-heading">前提条件とライセンス</h3> <p>Microsoft Defender XDRを利用するには、適切なライセンスが必要です。通常、Microsoft 365 E5またはMicrosoft 365 E5 Securityのサブスクリプションに含まれます。個別のDefenderコンポーネント（例: Defender for Endpoint Plan 1/2）も、Microsoft 365 Business PremiumやEnterprise Mobility + Security E5などのライセンスを通じて利用可能です[2]。 初期設定の前に、これらのライセンスがテナントに適用されていることを確認してください。</p> <h3 class="wp-block-heading">Microsoft Defender XDRポータルの初期設定</h3> <ol class="wp-block-list"> <li><p><strong>アクセス</strong>: Microsoft 365 Defenderポータル (security.microsoft.com) にグローバル管理者またはセキュリティ管理者ロールを持つアカウントでアクセスします。</p></li> <li><p><strong>有効化</strong>: 各Defenderコンポーネントは、ポータル内で機能を有効化する必要があります。例えば、Defender for Endpointの場合は、デバイスオンボーディングを設定します。</p></li> <li><p><strong>データ保存地域の選択</strong>: 組織のデータレジデンシー要件に基づき、ログおよびアラートデータの保存地域を設定します。</p></li> </ol> <h3 class="wp-block-heading">Entra IDとの連携とRBAC設定</h3> <p>Microsoft Defender XDRのロールベースアクセス制御 (RBAC) は、Microsoft Entra ID（旧Azure AD）のセキュリティグループと連携します[3]。これにより、セキュリティ運用チームの各メンバーに最小限の権限を付与し、職務の分離を徹底できます。</p> <p><strong>Entra IDセキュリティグループの作成とM365 Defenderポータルでのロール割り当ての例:</strong></p> <p>以下のPowerShellスクリプトは、Microsoft Entra IDで新しいセキュリティグループを作成し、そのグループをMicrosoft Defender XDRのRBAC設定で利用する準備をするものです。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 事前準備: Microsoft Graph PowerShell SDKのインストール # Install-Module Microsoft.Graph -Scope CurrentUser -Force # Connect-MgGraph -Scopes "Group.ReadWrite.All", "RoleManagement.ReadWrite.Directory" # 1. M365 Defenderポータルアクセス用のセキュリティグループを作成 $securityGroupName = "M365Defender-SecurityOperators" Write-Host "セキュリティグループ '$($securityGroupName)' を作成中..." try { # グループの表示名とメールニックネームを設定 $groupParams = @{ DisplayName = $securityGroupName MailEnabled = $false # メールアドレスは不要なためfalse SecurityEnabled = $true # セキュリティグループとして作成 MailNickname = ($securityGroupName -replace '\s','-').ToLower() } $newGroup = New-MgGroup -BodyParameter $groupParams Write-Host "セキュリティグループ '$($newGroup.DisplayName)' (ID: $($newGroup.Id)) を正常に作成しました。" # オプション: このグループにEntra IDの組み込みロール (例: セキュリティ閲覧者) を割り当てる場合 # これはM365 Defenderポータル内の役割ではなく、Entra ID管理センターでの閲覧権限などに影響します。 Write-Host "オプション: グループにEntra IDの 'Security Reader' ロールを割り当て中..." $roleDefinition = Get-MgDirectoryRoleDefinition -Filter "DisplayName eq 'Security Reader'" if ($roleDefinition) { $roleAssignmentParams = @{ PrincipalId = $newGroup.Id RoleDefinitionId = $roleDefinition.Id DirectoryScopeId = "/" # テナント全体へのスコープ } New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $roleAssignmentParams Write-Host "グループ '$($newGroup.DisplayName)' に Entra IDの 'Security Reader' ロールを割り当てました。" } else { Write-Warning "Entra IDの 'Security Reader' ロールが見つかりませんでした。スキップします。" } } catch { Write-Error "セキュリティグループの作成またはロール割り当て中にエラーが発生しました: $($_.Exception.Message)" } # 次のステップ: # 1. 作成したセキュリティグループ ($newGroup.Id) にM365 Defenderの運用メンバーを追加します。 # 2. Microsoft 365 Defenderポータル (security.microsoft.com) にアクセスします。 # 3. [設定] > [アクセス許可] > [ロール] に移動し、新しいロールを作成するか、既存のロールを編集します。 # 4. ロールに適切なアクセス許可 (例: ライブレスポンスの実行、インシデント管理など) を設定します。 # 5. [ユーザーとグループ] セクションで、先ほど作成したセキュリティグループ ($securityGroupName) を追加し、ロールを割り当てます。 # これにより、このセキュリティグループのメンバーは、M365 Defenderポータル内で指定された権限のみを行使できるようになります。 </pre> </div> <p><strong>コード解説</strong>:</p> <ul class="wp-block-list"> <li><p><strong>前提条件</strong>: <code>Microsoft.Graph</code> PowerShellモジュールのインストールが必要です。</p></li> <li><p><strong>入力</strong>: <code>$securityGroupName</code> に作成したいセキュリティグループ名を指定します。</p></li> <li><p><strong>処理</strong>: <code>New-MgGroup</code> コマンドレットを使用して、Entra IDにセキュリティグループを作成します。オプションとして、<code>New-MgRoleManagementDirectoryRoleAssignment</code> を使用して、作成したグループにEntra IDの組み込みロール（この例では「Security Reader」）を割り当てます。</p></li> <li><p><strong>出力</strong>: 作成されたセキュリティグループの情報が出力されます。</p></li> <li><p><strong>留意事項</strong>: M365 Defenderポータル内のカスタムロールや組み込みロールへのセキュリティグループの割り当ては、ポータルUIを通じて行うのが一般的です。上記スクリプトは、その前提となるEntra IDセキュリティグループの作成と、Entra IDレベルでのロール割り当ての例を示しています。</p></li> </ul> <h3 class="wp-block-heading">各Defenderコンポーネントの有効化とオンボーディング</h3> <p>各Defenderコンポーネントは、それぞれの管理ページまたはMicrosoft Defender XDRポータルから有効化および設定します。</p> <ul class="wp-block-list"> <li><p><strong>Defender for Endpoint</strong>: デバイスのオンボーディングは、スクリプト（PowerShell, Bashなど）を配布するか、Microsoft Intuneやグループポリシーと連携して行います。オンボーディング後、EDR機能が有効化されます[7]。</p></li> <li><p><strong>Defender for Identity</strong>: ドメインコントローラーにMDIセンサーをデプロイし、環境からのトラフィックを監視できるように設定します[6]。</p></li> <li><p><strong>Defender for Office 365</strong>: 基本的に自動で有効化されますが、フィッシング対策、安全な添付ファイル、安全なリンクなどのポリシーを調整します。</p></li> <li><p><strong>Defender for Cloud Apps</strong>: APIコネクタを介してクラウドアプリケーションを接続し、シャドウIT検出やポリシーを設定します[5]。</p></li> </ul> <h2 class="wp-block-heading">運用監視</h2> <h3 class="wp-block-heading">インシデント管理と自動調査・修復</h3> <p>Microsoft Defender XDRは、複数のソースからのアラートを自動的に相関させ、単一のインシデントとして集約します[4]。セキュリティチームはインシデントキューで優先順位付けを行い、自動調査と修復機能を利用して、脅威への対応を効率化できます。自動修復は、検疫、ファイルの削除、デバイスのネットワークからの隔離など、事前定義されたアクションを実行します。</p> <h3 class="wp-block-heading">高度なハンティング（Advanced Hunting）</h3> <p>KQL (Kusto Query Language) を使用した高度なハンティング機能は、収集された生データに対してカスタムクエリを実行し、特定の脅威パターンや異常な振る舞いを能動的に探索するために利用されます。これにより、ゼロデイ攻撃や標的型攻撃など、既存のルールでは検出が困難な脅威を発見できる可能性があります。</p> <h3 class="wp-block-heading">ログと可観測性</h3> <p>Microsoft Defender XDRは、すべてのアラートとインシデント、および各Defenderコンポーネントからの詳細なアクティビティログを保持します。これらのログはMicrosoft SentinelやAzure Monitorと連携して、長期的な保存、分析、カスタムダッシュボード作成に利用できます。これにより、監査証跡の確保と包括的なセキュリティ可観測性を実現します。</p> <h3 class="wp-block-heading">SLAとDR戦略</h3> <p>Microsoft Defender XDRはSaaSサービスであるため、基盤インフラのSLAはMicrosoftが保証します。データの可用性とレジリエンスは、Microsoftのグローバルインフラによって提供されます。セキュリティ運用側としては、インシデント対応計画 (IRP) の策定と、定期的な訓練を通じて、SLA内で脅威に対応できる体制を維持することが重要です。</p> <h2 class="wp-block-heading">セキュリティ</h2> <h3 class="wp-block-heading">アイデンティティと権限管理</h3> <p>Microsoft Defender XDR環境へのアクセスは、Microsoft Entra IDの強力な認証機能（多要素認証 (MFA) や条件付きアクセス (CA)）によって保護されるべきです。特に、機密性の高いセキュリティ操作を行うアカウントには、必ずMFAを要求し、信頼された場所からのアクセスのみを許可するなどのCAポリシーを適用することが推奨されます。ロールベースのアクセス制御 (RBAC) により、最小特権の原則を徹底し、Entra IDの組み込みロールやDefender XDRのカスタムロールを適切に割り当てます[3]。</p> <h3 class="wp-block-heading">データプライバシーとコンプライアンス</h3> <p>Microsoft Defender XDRは、GDPR、ISO 27001、SOC 2などの主要なコンプライアンス標準に準拠しています。データの収集、処理、保存は、Microsoftの信頼されたクラウド原則に基づき行われます。組織は、利用規約、データ保護条項、およびGDPR要件を理解し、自身のコンプライアンス義務を果たす必要があります。</p> <h2 class="wp-block-heading">コスト</h2> <h3 class="wp-block-heading">ライセンス体系と最適化</h3> <p>Microsoft Defender XDRの主要なライセンスは、Microsoft 365 E5またはMicrosoft 365 E5 Securityです。これらのスイートライセンスは、Defender for Endpoint, Identity, Office 365, Cloud Appsを含むフル機能をカバーします[2]。 コスト最適化の観点からは、組織の規模、必要な機能、およびユーザー数に基づいて適切なライセンスを選択することが重要です。全てのユーザーにE5ライセンスが必要ない場合、一部のユーザーに個別のDefenderコンポーネントライセンス (例: Defender for Endpoint Plan 2) を割り当てることも可能です。</p> <h3 class="wp-block-heading">コスト試算の考慮事項</h3> <ul class="wp-block-list"> <li><p><strong>ユーザー数/デバイス数</strong>: ライセンスコストはユーザーまたはデバイス数に基づきます。</p></li> <li><p><strong>必要な機能</strong>: E5スイートライセンスが不要な場合、必要なDefenderコンポーネントのみを個別に購入する方が安価な場合があります。</p></li> <li><p><strong>他のMicrosoftセキュリティ製品との連携</strong>: Microsoft SentinelのようなSIEM/SOARソリューションと連携する場合、Sentinel側の取り込みデータ量に応じたコストが発生します。</p></li> </ul> <p>Microsoft Defender XDRはSaaSであるため、一般的なクラウドインフラのような「リザーブドインスタンス」や「スケジューリングによるコスト削減」といった概念は直接適用されませんが、適切なライセンス計画によりコストを最適化することが可能です。ボリュームライセンス契約やエンタープライズアグリーメントを利用することで、単価を抑えることも検討できます。</p> <h2 class="wp-block-heading">よくある落とし穴と対策</h2> <h3 class="wp-block-heading">誤検知とチューニング</h3> <p>高機能な脅威検出システムは、時に誤検知（False Positive）を生成することがあります。誤検知が多いと、セキュリティチームは「アラート疲れ」に陥り、重要なアラートを見逃すリスクが高まります。</p> <ul class="wp-block-list"> <li><strong>対策</strong>: 検出ルールやポリシーの定期的な見直しとチューニングが不可欠です。特定のアラートを抑制したり、信頼できるアプリケーションやプロセスを許可リストに追加したりすることで、誤検知を減らすことができます。</li> </ul> <h3 class="wp-block-heading">アラート疲れ</h3> <p>大量のアラートは、セキュリティアナリストの負担を増加させ、効率を低下させます。</p> <ul class="wp-block-list"> <li><strong>対策</strong>: Microsoft Defender XDRのインシデント集約機能を最大限に活用し、個々のアラートではなくインシデントレベルで対応します。自動調査と修復、KQLクエリによるアラートの優先順位付け、Microsoft SentinelなどのSOAR機能との連携により、対応を自動化・効率化します。</li> </ul> <h3 class="wp-block-heading">レガシーシステムとの連携</h3> <p>オンプレミスのレガシーシステムや非Microsoft環境における脅威検出は、M365 Defenderの守備範囲外となる場合があります。</p> <ul class="wp-block-list"> <li><strong>対策</strong>: Microsoft Defender for ServersやMicrosoft Defender for Cloudなどの追加サービスを導入し、サーバーやクラウドワークロードの保護を強化します。また、Microsoft Sentinelと連携することで、M365 Defenderでカバーしきれないログソースも統合的に管理できます。</li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>Microsoft 365 Defender (Microsoft Defender XDR) は、エンドポイント、ID、メールとコラボレーション、クラウドアプリケーションにわたる統合された脅威検出と対応を提供する、現代のサイバーセキュリティ戦略において不可欠なプラットフォームです。そのアーキテクチャは、各Defenderコンポーネントからの信号を統合し、AIと機械学習を活用して高度な脅威を自動的に検出し、対応する能力を備えています。</p> <p>本稿で解説したように、Entra IDとの連携によるRBACの確立、KQLを用いた高度なハンティング、自動調査と修復の活用は、セキュリティ運用の効率と効果を大幅に向上させます。また、適切なライセンス選定と継続的なチューニング、そしてセキュリティチームの専門知識の向上が、M365 Defenderを最大限に活用し、組織をサイバー脅威から守る鍵となります。</p> <hr/> <p><strong>参考文献:</strong> [1] Microsoft. (2024年5月8日). Microsoft Defender XDR の機能とサービス. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-365-defender-features?view=o365-worldwide">https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-365-defender-features?view=o365-worldwide</a> [2] Microsoft. (2024年4月22日). Microsoft Defender XDR のライセンス要件. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-365-defender-licensing?view=o365-worldwide">https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-365-defender-licensing?view=o365-worldwide</a> [3] Microsoft. (2024年3月18日). Microsoft Defender XDR のロールベースのアクセス制御 (RBAC). Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/rbac?view=o365-worldwide">https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/rbac?view=o365-worldwide</a> [4] Microsoft. (2024年5月8日). Microsoft Defender XDR でのインシデントとアラートの管理. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/investigate-incidents?view=o365-worldwide">https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/investigate-incidents?view=o365-worldwide</a> [5] Microsoft. (2024年4月11日). Microsoft Defender for Cloud Apps の概要. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/defender-cloud-apps/what-is-defender-for-cloud-apps">https://learn.microsoft.com/ja-jp/defender-cloud-apps/what-is-defender-for-cloud-apps</a> [6] Microsoft. (2024年3月28日). Microsoft Defender for Identity の概要. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/defender-for-identity/what-is">https://learn.microsoft.com/ja-jp/defender-for-identity/what-is</a> [7] Microsoft. (2024年4月29日). Microsoft Defender for Endpoint の概要. Microsoft Learn. <a href="https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide">https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide</a></p>

graph TD
    A["ユーザー"] --> |操作/活動| B("デバイス/PC/サーバー")
    A --> |ログイン/アクセス| C("ID/Active Directory")
    A --> |メール/ファイル| D("Office 365")
    A --> |クラウドサービス利用| E("クラウドアプリ")

    B --> |信号収集(EDR)| F{"Microsoft Defender for Endpoint"}
    C --> |信号収集(ADセンサー)| G{"Microsoft Defender for Identity"}
    D --> |信号収集(メールフロー)| H{"Microsoft Defender for Office 365"}
    E --> |信号収集(API/ログ)| I{"Microsoft Defender for Cloud Apps"}

    F --> |脅威データ転送| J["Microsoft Defender XDR"]
    G --> |脅威データ転送| J
    H --> |脅威データ転送| J
    I --> |脅威データ転送| J

    J --> |脅威検出/相関| K["インシデントとアラート"]
    K --> |自動調査/修復| L("影響緩和")
    K --> |通知/可視化| M["Microsoft Defender XDR ポータル"]
    M --> |調査/対応| N["SOCチーム/セキュリティアナリスト"]

    N --> |対応アクション| A
    N --> |対応アクション| B
    N --> |対応アクション| C
    N --> |対応アクション| D
    N --> |対応アクション| E

# 事前準備: Microsoft Graph PowerShell SDKのインストール


# Install-Module Microsoft.Graph -Scope CurrentUser -Force


# Connect-MgGraph -Scopes "Group.ReadWrite.All", "RoleManagement.ReadWrite.Directory"

# 1. M365 Defenderポータルアクセス用のセキュリティグループを作成

$securityGroupName = "M365Defender-SecurityOperators"
Write-Host "セキュリティグループ '$($securityGroupName)' を作成中..."

try {

    # グループの表示名とメールニックネームを設定

    $groupParams = @{
        DisplayName = $securityGroupName
        MailEnabled = $false # メールアドレスは不要なためfalse
        SecurityEnabled = $true # セキュリティグループとして作成
        MailNickname = ($securityGroupName -replace '\s','-').ToLower()
    }
    $newGroup = New-MgGroup -BodyParameter $groupParams
    Write-Host "セキュリティグループ '$($newGroup.DisplayName)' (ID: $($newGroup.Id)) を正常に作成しました。"

    # オプション: このグループにEntra IDの組み込みロール (例: セキュリティ閲覧者) を割り当てる場合


    # これはM365 Defenderポータル内の役割ではなく、Entra ID管理センターでの閲覧権限などに影響します。

    Write-Host "オプション: グループにEntra IDの 'Security Reader' ロールを割り当て中..."
    $roleDefinition = Get-MgDirectoryRoleDefinition -Filter "DisplayName eq 'Security Reader'"
    if ($roleDefinition) {
        $roleAssignmentParams = @{
            PrincipalId = $newGroup.Id
            RoleDefinitionId = $roleDefinition.Id
            DirectoryScopeId = "/" # テナント全体へのスコープ
        }
        New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $roleAssignmentParams
        Write-Host "グループ '$($newGroup.DisplayName)' に Entra IDの 'Security Reader' ロールを割り当てました。"
    } else {
        Write-Warning "Entra IDの 'Security Reader' ロールが見つかりませんでした。スキップします。"
    }

} catch {
    Write-Error "セキュリティグループの作成またはロール割り当て中にエラーが発生しました: $($_.Exception.Message)"
}

# 次のステップ:


# 1. 作成したセキュリティグループ ($newGroup.Id) にM365 Defenderの運用メンバーを追加します。


# 2. Microsoft 365 Defenderポータル (security.microsoft.com) にアクセスします。


# 3. [設定] > [アクセス許可] > [ロール] に移動し、新しいロールを作成するか、既存のロールを編集します。


# 4. ロールに適切なアクセス許可 (例: ライブレスポンスの実行、インシデント管理など) を設定します。


# 5. [ユーザーとグループ] セクションで、先ほど作成したセキュリティグループ ($securityGroupName) を追加し、ロールを割り当てます。


# これにより、このセキュリティグループのメンバーは、M365 Defenderポータル内で指定された権限のみを行使できるようになります。