【2025年版】Microsoft Defender XDR/Sentinelのマルチテナント管理まとめ

Microsoft Defender, Microsoft Sentinel

【2025年版】Microsoft Defender XDR/Sentinelのマルチテナント管理まとめ

Microsoft Defender XDRやMicrosoft Sentinelを運用管理されている方に伺いたいです。

あなたは1つのテナントだけを管理していますか?

この質問の答えは人によって異なりますが、おそらく多くの方が複数のテナントで運用されているのではないかと思います。そこで今日は2025年時点でのMicrosoft Defender XDRやMicrosoft Sentinelのマルチテナント管理・統合管理手法について、まとめてみたいと思います。

複数のMicrosoft Defender XDRを管理する

Microsoft Defender XDRはMicrosoft 365 E5を契約したテナントに紐づいて管理します。そのため、複数のMicrosoft Defender XDRの管理環境があるということは、その会社では複数のテナントでMicrosoft Defender XDRを管理しているということになります。
これまではそれぞれのテナントのMicrosoft Defender管理センターにサインインして管理していました。しかしマルチテナント管理と呼ばれる機能が新しく用意されたため、いちいちサインインし直さなくても、[テナントの切り替え]を利用してそれぞれのテナントに行き来することができるようになりました。

また、両方のテナントの情報をまとめて参照したい場合は上の画面から [マルチテナント管理]というメニューを選択すれば、

image

2つのテナントのインシデント情報をまとめて参照できたり、

どちらかのテナントに登録されたデバイス情報をまとめて参照できたりします。

これを利用すれば自分の会社で複数のテナントを管理しなきゃならないような時に便利ですし、セキュリティベンダーさんであれば、お預かりしているお客様のテナントを簡単に切り替えて利用したりすることができます。

マルチテナントの設定方法は最初に登場した上の画面から [マルチテナント管理]画面から [マルチテナント管理] – [設定] からテナントを追加するだけ。

image

ただし、この設定ができるためにはAテナントのセキュリティ管理者がBテナントのセキュリティ管理者でもなければなりません。AテナントのユーザーのゲストユーザーをBテナントに作成し、そのユーザーをセキュリティ管理者にすれば、ひとりのユーザーが両方のテナントを管理できるようになります。

learn.microsoft.com
マルチテナント管理Microsoft Defender設定する - Unified security operations
https://learn.microsoft.com/ja-jp/unified-secops/mto-requirements
Defender ポータルでMicrosoft Defender XDRとMicrosoft Sentinelのマルチテナント管理を開始するために必要な手順について説明します。

複数のMicrosoft Sentinelを管理する

Microsoft Sentinelはワークスペースという単位で管理しますが、その作成は (現時点では) Microsoft Azureから行います。
Microsoft Sentinelを作成する場合、テナント/サブスクリプション/リソースグループを指定してワークスペースを作成します。複数のワークスペースを作成した時、それが同じリソースグループ、または同じサブスクリプション、または同じテナントであれば、サブスクリプションまたはリソースグループでロール割り当てをすればアクセスできるようになります。一方、異なるテナントにそれぞれSentinelワークスペースを作成した場合、単なるロール割り当てでアクセス許可割り当てができず、それぞれのテナントにサインインし直さなくてはなりません。
そこでAzure Lighthouseの出番になります。Azure Lighthouseは異なるテナントに作られたSentinelワークスペースを1か所からまとめて管理できるようにする方法で、自社で管理しているSentinelワークスペースが複数テナントにまたがっていたり、お預かりしているお客様の会社のSentinelワークスペースを管理する必要があったりするときに活用します。

Azure Lighthouseの設定方法については公式をはじめ、既に色々なところで解説をしているのでここでは割愛します。

2026年以降の複数テナントの管理様式

2026年のどこかのタイミングでMicrosoft SentinelはMicrosoft Defender 管理センターから管理することが発表されていて、Microsoft AzureからSentinelを管理する方法は恐らくなくなるんだと思います。そうなると今からAzure Lighthouseを利用するのではなく、Microsoft Defender管理センターを利用したマルチテナント管理の方法に運用を寄せていくべきと思います。
Microsoft Sentinelの管理をMicrosoft Defender管理センターから行う方法自体は既にMicrosoft Defender管理センターの[設定] – [Microsoft Sentinel]からSentinelワークスペースを接続することで管理ができるようになっています。

これを利用してMicrosoft SentinelとMicrosoft Defender管理センターを接続し、さらにMicrosoft Defender XDRをマルチテナント管理にすれば1か所から自テナントのXDRとSentinel、さらに別テナントのXDRとSentinelが管理できるようになります。

マルチテナント管理の参考になれば幸いです。

Suguru KUNII