Microsoft Sentinel統合が7月に迫る Defenderポータル移行で変わること

SIEMとXDRを別々のポータルで運用していた時代が終わろうとしています。Microsoftは、Microsoft SentinelのワークスペースをAzureポータルからMicrosoft Defenderポータルへ統合する移行を進めており、2026年7月1日から自動リダイレクトが始まります。

この記事でわかること

• Defenderポータル統合で何が変わるのか
• 移行の期限とスケジュール
• 事前に確認すべき設定項目
• 自動化ルールやプレイブックへの影響

Defenderポータルへの統合とは

https://learn.microsoft.com/en-us/azure/sentinel/move-to-defender

Microsoft Sentinelは、これまでAzureポータル上で独立して動作するSIEM（Security Information and Event Management）でした。一方、Microsoft Defender XDRはエンドポイント・ID・メール・クラウドアプリの脅威検知を担うXDR（Extended Detection and Response）プラットフォームです。

今回の統合により、この2つがDefenderポータル上で1つの画面に統合されます。インシデントキューの統一、クロスドメインの脅威ハンティング、AI支援による検知が単一のポータルから操作できるようになります。

重要なのは、これが「データ移行」ではない点です。Log Analyticsのバックエンドは変更されません。データの取り込みパイプラインもスキーマもそのままで、変わるのはフロントエンドの操作画面です。

移行の期限は2026年7月1日

2026年7月1日以降、AzureポータルでMicrosoft Sentinelにアクセスすると、Defenderポータルへ自動的にリダイレクトされます。つまり、6月末までに移行作業を完了しておく必要があります。

新規のワークスペースを作成した場合は、サブスクリプションのOwnerまたはUser Access Administrator権限があれば、自動的にDefenderポータルにオンボーディングされます。既存のワークスペースを持つ組織は、手動でオンボーディング作業を行います。

オンボーディング自体は数クリックで完了します。大がかりなデータ移行は不要で、追加費用もかかりません。非E5ライセンスの顧客でも、従来どおりSentinelの従量課金のみで利用を続けられます。

事前に確認すべき3つの設定

RBACの権限設計

Defenderポータルでは、Unified RBAC（URBAC）という統合的なロール管理が導入されています。オンボーディング時にMicrosoft Sentinel Contributorロールが自動的に割り当てられますが、既存のカスタムロールを使用している場合は、Defenderポータル側の権限マッピングを確認する必要があります。

データコネクタの表示変更

Defender製品（Defender for Endpoint、Defender for Identity、Defender for Cloud Appsなど）のデータコネクタは、Defenderポータルの「データコネクタ」ページには表示されなくなります。これらはDefender XDRコネクタに統合されるためです。コネクタ自体は引き続き動作しますが、管理画面上の見え方が変わります。

データストレージとプライバシーポリシー

AzureポータルではMicrosoft Sentinelのデータポリシーが適用されていましたが、Defenderポータルに移行するとMicrosoft Defender XDRのデータポリシーが適用されます。BCDR（事業継続・災害復旧）の方式も異なり、Defenderポータルでは自動化されたBCDRが提供されます。コンプライアンス要件が厳しい組織は、事前にポリシーの差分を確認してください。

自動化ルールとプレイブックへの影響

既存の自動化ルールやプレイブック（Azure Logic Appsベース）は引き続き動作しますが、いくつかの挙動変更があります。

まず、アラートのグルーピングとインシデントのマージは、Defender XDRの相関エンジンが一元的に制御するようになります。Analytics Ruleのアラートグルーピング設定は画面上に残りますが、最終的なインシデント生成はDefenderのエンジンが担います。

次に、Fusionアナリティクスルールは無効化されます。多段攻撃の検知はDefender XDRのインシデント相関機能に置き換わるため、検知能力が失われるわけではありません。

注意が必要なのは、インシデントの作成からAutomation Ruleの実行まで最大10分のタイムラグが発生する点です。Defenderポータルでインシデントが生成された後、Microsoft Sentinelに転送されてからルールが実行されるためです。リアルタイム性が求められる運用では、この遅延を考慮した設計が必要です。

また、既存のAutomation Ruleでインシデントの「Description」フィールドを条件に使っている場合、Defenderポータルではこのフィールドが提供されなくなります。ServiceNowなどの外部チケットシステムと連携している場合にも影響が出る可能性があるため、事前の確認が必要です。

まとめ：期限までにやるべきこと

移行の期限は2026年7月1日です。残り2か月を切った今、最低限やっておくべきことは3つです。

1つ目は、RBACの権限マッピング確認です。URBACへの移行で既存のカスタムロールが意図どおり動くか検証します。2つ目は、Automation Ruleとプレイブックの棚卸しです。Descriptionフィールドやインシデントタイトルを条件にしているルールがないか洗い出します。3つ目は、データポリシーの差分確認です。コンプライアンス部門と連携し、Defender XDRのポリシーが自社の要件を満たすか確認します。

オンボーディング自体は数クリックで終わりますが、周辺の設定確認を怠ると、移行後にインシデント対応のワークフローが想定どおり動かないリスクがあります。公式の移行ガイド（参考）を参照しながら、計画的に進めてください。