条件付きアクセスの最適化エージェントの設定

条件付きアクセスの最適化エージェントは、ギャップ、重複、例外の条件付きアクセス ポリシーを分析することで、組織のセキュリティ体制を改善するのに役立ちます。 条件付きアクセスは、組織のZero Trust戦略の中心的なコンポーネントになるため、組織固有のニーズを満たすようにエージェントの機能を構成できる必要があります。

この記事で説明するエージェント設定では、トリガー、通知、スコープなどの標準的なオプションについて説明します。 ただし、この設定には、カスタム手順、Intune 統合、アクセス許可などの高度なオプションも含まれています。

Important

条件付きアクセス最適化エージェントでの ServiceNow 統合、ファイル アップロード機能、およびアクティビティ ベースの実行は、現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoftは、ここに記載されている情報に関して、明示または黙示を問わず、いかなる保証も行いません。

エージェント設定を構成する方法

Microsoft Entra admin centerの 2 つの場所から設定にアクセスできます。

  • Agents>Conditional Access Optimization Agent>Settingsから設定します。
  • 条件付きアクセスから>ポリシーの概要設定の下にある >] カードを選択します

条件付きアクセスの最適化エージェント設定のトリガー オプションのスクリーンショット。

左側のメニューからカテゴリを選択して、すべての設定を参照してください。 変更を行った後、ページの下部にある [保存 ] ボタンを選択します。

トリガー

エージェントは、最初に構成された日時に基づいて、24 時間ごとに実行するように構成されます。 エージェントはいつでも手動で実行できます。

エージェントは、毎日スケジュールされた実行に加えて、有効になっているポリシーに変更が加えられたときに実行をトリガーできます。 アクティビティ ベースの実行では、毎日スケジュールされた実行は置き換えられません。 過剰な実行を防ぐために、アクティビティ ベースのトリガーは 6 時間に 1 回まで発生しません。

  • 条件付きアクセスの最適化エージェントを有効にしていない場合、アクティビティ ベースの実行は既定で有効になり、エージェント設定でオフにすることができます。
  • 条件付きアクセスの最適化エージェントがテナントで既に実行されている場合、アクティビティ ベースの実行はオプトインされ、エージェント設定で有効にすることができます。

スケジュールされた実行

エージェントは、最初に構成された日時に基づいて、24 時間ごとに自動的に実行されるように構成されます。 エージェントはいつでも手動で実行することもできます。

アクティビティ ベースの実行 (プレビュー)

エージェントは、毎日スケジュールされた実行に加えて、条件付きアクセス ポリシーの変更に基づいて実行をトリガーできます。 アクティビティベースの実行は、エージェントが次の毎日の実行を待つのではなく、環境の変化に早く対応できるように設計されています。

条件付きアクセス ポリシーに対する次の変更により、アクティビティ ベースの実行がトリガーされます。

  • 既存の有効なポリシーが変更されます。
  • ポリシーの状態は、 オフレポート専用 などの他の状態から オンに変更されます。
  • 状態が [オン] に設定された新しいポリシーが作成されます。

エージェントは、5 分ごとにこれらの変更を確認します。 適格な変更が検出されると、エージェントは実行を開始します。 頻繁な変更の期間中に過剰な実行を防ぐために、エージェントはアクティビティ ベースの実行間に 4 時間のクールダウンを適用します。 例えば次が挙げられます。

時間 イベント エージェント アクション
0分 有効なポリシーが変更されました。 アクションはまだありません。
5分 エージェントが変更を検出します。 エージェントが実行されます。
Minute 6 別の有効なポリシーが変更されました。 アクションはまだありません。
10分目 エージェントが変更を検出します。 クールダウンがアクティブです。 実行なし。
12分 別の有効なポリシーが変更されました。 アクションはまだありません。
15分 エージェントが変更を検出します。 クールダウンがアクティブです。 実行なし。
第4時間 クールダウンの有効期限が切れます。 エージェントが実行されます。

アクティビティ ベースの実行では、毎日スケジュールされた実行は置き換えられません。 有効にすると、アクティビティ ベースの実行の数に関係なく、毎日の実行が常に実行されます。

  • 新しいテナント: アクティビティ ベースの実行は、既定で有効になっています。 エージェント設定でオフにすることができます。
  • 既存のテナント: アクティビティ ベースの実行はオプトインされます。 エージェント設定で有効にすることができます。

能力

機能カテゴリには、確認する必要がある重要な設定が含まれています。

  • Microsoft Entra 監視するオブジェクト: ポリシーの提案を行うときにエージェントが監視する対象を指定するには、チェック ボックスを使用します。 既定では、エージェントは、過去 24 時間にわたってテナント内の新しいユーザーとアプリケーションの両方を検索します。
  • エージェントの機能: 既定では、条件付きアクセスの最適化エージェントは、レポート専用モードであっても 、新しいポリシーを作成できません。 エージェントがユーザーに代わってレポートのみのポリシーを作成できるように、この設定を変更できます。
    • この設定を有効にすると、管理者は、新しいレポート専用ポリシーを有効にする前に承認する必要があります。 ポリシーへの影響を確認したら、エージェント エクスペリエンスまたは条件付きアクセスから直接ポリシーを有効にすることができます。
    • この設定を無効にしても、提案、分析情報、ポリシーの詳細が表示されますが、レポート専用モードで作成する前に、ポリシーを手動で承認する必要があります。
  • 段階的ロールアウト: エージェントがレポート専用モードで新しいポリシーを作成し、そのポリシーが段階的なロールアウトの条件を満たしている場合、ポリシーは段階的にロールアウトされるため、新しいポリシーの効果を監視できます。 段階的ロールアウトは既定でオンになっています。 詳細については、「 条件付きアクセスの最適化エージェントの段階的ロールアウト」を参照してください。

条件付きアクセスの最適化エージェントの機能設定のスクリーンショット。

Notifications

条件付きアクセスの最適化エージェントは、Microsoft Teamsを介して一連の受信者に通知を送信できます。 Microsoft Teamsの Conditional Access エージェント アプリを使用すると、受信者は、エージェントが新しい提案を表示したときに Teams チャットで直接通知を受け取ります。

エージェント アプリをMicrosoft Teamsに追加するには:

  1. Microsoft Teamsで、左側のナビゲーション メニューから Apps を選択し、Conditional Access エージェントを検索して選択します。

    Teams の [条件付きアクセス アプリ] ボタンのスクリーンショット。

  2. [ 追加 ] ボタンを選択し、[ 開く ] ボタンを選択してアプリを開きます。

  3. アプリへのアクセスを容易にするには、左側のナビゲーション メニューでアプリ アイコンを右クリックし、[ ピン留め] を選択します。

条件付きアクセスの最適化エージェントの設定で通知を構成するには:

  1. 条件付きアクセスの最適化エージェントの設定で、[ ユーザーとグループの選択 ] リンクを選択します。

  2. 通知を受信するユーザーまたはグループを選択し、[選択] ボタンを 選択 します。

    通知のユーザーとグループを選択する条件付きアクセス エージェント設定のスクリーンショット。

  3. メインの [設定] ページの下部にある [保存 ] ボタンを選択します。

通知を受信する受信者は最大 10 人まで選択できます。 通知を受信するグループを選択できますが、そのグループのメンバーシップは 10 人を超えることはできません。 ユーザー数が 10 人未満で、後で追加されるグループを選択した場合、グループは通知を受け取らなくなります。 同様に、通知は、個々のユーザーまたはグループの組み合わせなど、5 つのオブジェクトにのみ送信できます。 通知の受信を停止するには、受信者の一覧からユーザー オブジェクトまたは含まれているグループを削除します。

現時点では、エージェントの通信は一方向であるため、通知を受信できますが、Microsoft Teamsで応答することはできません。 提案に対してアクションを実行するには、チャットから Review suggestion を選択して、Microsoft Entra admin centerで条件付きアクセス最適化エージェントを開きます。

Teams の条件付きアクセス エージェント通知メッセージのスクリーンショット。

ナレッジ ソース

条件付きアクセスの最適化エージェントは、2 つの異なるナレッジ ソースから取得して、組織固有のセットアップに合わせて調整された提案を行うことができます。

カスタム手順

オプションの [ ユーザー設定の指示 ] フィールドを使用して、ニーズに合わせてポリシーを調整できます。 この設定を使用すると、実行の一部としてエージェントにプロンプトを表示できます。 次の手順を使用できます。

  • 特定のユーザー、グループ、ロールを含めるまたは除外する
  • エージェントによって検討されたり、条件付きアクセス ポリシーに追加されたりするオブジェクトを除外する
  • ポリシーから特定のグループを除外する、MFA を要求する、モバイル アプリケーション管理ポリシーを要求するなど、特定のポリシーに例外を適用します。

カスタム命令には、名前またはオブジェクト ID を入力できます。 両方の値が検証されます。 グループの名前を追加すると、そのグループのオブジェクト ID が自動的に追加されます。 カスタム命令の例:

  • "多要素認証を必要とするポリシーから "Break Glass" グループのユーザーを除外します。
  • "オブジェクト ID dddddddd-3333-4444-5555-eeeeeeeee を持つユーザーをすべてのポリシーから除外する"

考慮すべき一般的なシナリオは、エージェントが標準の条件付きアクセス ポリシーへの追加を提案したくないゲスト ユーザーが組織に多数ある場合です。 エージェントが実行され、推奨されるポリシーの対象になっていない新しいゲスト ユーザーが表示される場合は、必要のないポリシーでこれらのゲスト ユーザーをカバーすることを提案するために SKU が使用されます。 ゲスト ユーザーがエージェントによって考慮されないようにするには:

  1. (user.userType -eq "guest")"ゲスト" という動的グループを作成します。
  2. ニーズに基づいてカスタム命令を追加します。
    • "エージェントの考慮事項から "ゲスト" グループを除外します。
    • "モバイル アプリケーション管理ポリシーから "ゲスト" グループを除外します。

カスタム手順の使用方法の詳細については、次のビデオを参照してください。

ユーザー インターフェイス要素など、ビデオ内の一部のコンテンツは、エージェントが頻繁に更新されるため、変更される可能性があります。

ファイル (プレビュー)

条件付きアクセスの最適化エージェントには、組織に関する具体的な手順を提供するメカニズムが含まれています。 これらの手順には、条件付きアクセス ポリシーの名前付け規則、一意の手順、組織構造などの情報を含めることができるため、エージェントの提案は環境により関連性が高まります。 これらのアップロードされたファイルは、エージェントのナレッジ ベースを構成します。 詳細については、「 条件付きアクセスの最適化エージェント」ナレッジ ベースを参照してください。

Important

データはエージェント内にとどまり、モデルのトレーニングには使用されません。

ナレッジ ベースにファイルを追加するには:

  1. 条件付きアクセス最適化エージェント>Settings>Files に移動します。
  2. [アップロード] ボタンを選択します。
  3. 開いたパネルにファイルをドラッグ アンド ドロップするか、[ファイル領域の アップロード ] を選択してコンピューター上のファイルに移動します。

エージェントはファイルを処理して分析し、必要な情報が含まれていることを確認します。

Plugins

条件付きアクセスの最適化エージェントでは、 Intune とグローバルセキュア アクセス の組み込み統合に加えて、既存のワークフローを合理化するための外部統合も提供されます。

ServiceNow 統合 (プレビュー)

Security Copilot に ServiceNow プラグインを使用する組織は、エージェントが生成する新しい提案ごとに、条件付きアクセス最適化エージェントに ServiceNow 変更要求を作成できるようになりました。 この機能を使用すると、IT チームとセキュリティ チームは、既存の ServiceNow ワークフロー内でエージェントの提案を追跡、確認、承認、または拒否できます。 現時点では、変更要求 (CHG) のみがサポートされています。

ServiceNow 統合を使用するには、組織で ServiceNow プラグイン が構成されている必要があります。

ServiceNow 統合設定のスクリーンショット。

条件付きアクセスの最適化エージェントの設定で ServiceNow プラグインを有効にすると、エージェントからの新しい提案ごとに ServiceNow 変更要求が作成されます。 変更要求には、ポリシーの種類、影響を受けるユーザーまたはグループ、推奨事項の根拠など、提案に関する詳細が含まれます。 統合によってフィードバック ループも提供されます。エージェントは ServiceNow 変更要求の状態を監視し、変更要求が承認されたときに変更を自動的に実装できます。

エージェント提案内の ServiceNow 統合のスクリーンショット。

Permissions

エージェント設定のこのセクションでは、エージェントが実行される ID と、エージェントが動作するために使用するアクセス許可について説明します。

エージェント ID

条件付きアクセスの最適化エージェントで Microsoft Entra Agent ID がサポートされるようになりました。これにより、エージェントは特定のユーザーの ID ではなく、独自の ID で実行できます。 この機能により、セキュリティが向上し、管理が簡素化され、柔軟性が向上します。

Manage エージェント ID を選択して、エージェントの詳細をMicrosoft Entra Agent IDで表示します。

アクセス許可と identities.pngのエージェント設定ビューのスクリーンショット

  • エージェントの新規インストールでは、既定で エージェント ID が使用されます。
  • 既存のインストールは、ユーザー コンテキストから切り替えて、エージェント ID でいつでも実行できます。
    • この変更は、レポートや分析には影響しません。
    • 既存のポリシーと推奨事項は影響を受けません。
    • 顧客は、以前のユーザー コンテキストに切り替えることはできません。
    • セキュリティ管理者ロールを持つ管理者は、この変更を行うことができます。 エージェント ページのバナー メッセージまたはエージェント設定の [ID とアクセス許可] セクションから、[エージェント ID の作成] を選択します。

条件付きアクセス最適化エージェントを有効にして使用するには、Security Copilotロールも必要です。 セキュリティ管理者は、既定でSecurity Copilotにアクセスできます。 Security Copilot アクセス権を持つ条件付きアクセス管理者を割り当てることができます。 この承認により、条件付きアクセス管理者もエージェントを使用できるようになります。 詳細については、「Security Copilot へのアクセスを割り当てるを参照してください。

エージェントのアクセス許可

エージェント ID は、次のアクセス許可を使用してタスクを実行します。 これらのアクセス許可は、エージェント ID の作成時に自動的に割り当てられます。

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

ユーザー

条件付きアクセスの最適化エージェントは、ロールベースのアクセス制御を使用してエージェントを使用します。 エージェントを使用するために必要な最小限の特権ロールは、 条件付きアクセス管理者です。

  • Last updated on