条件付きアクセスの最適化エージェントは、すべてのユーザー、アプリケーション、およびエージェント ID が条件付きアクセス ポリシーによって保護されるようにするのに役立ちます。 エージェントは、 ゼロ トラスト と Microsoft の学習に合わせたベスト プラクティスに基づいて、新しいポリシーを推奨し、既存のポリシーを更新できます。 また、エージェントはポリシー レビュー レポート (プレビュー) を作成します。このレポートでは、ポリシーの構成ミスを示す可能性のあるスパイクや急落に関する分析情報が提供されます。
条件付きアクセスの最適化エージェントは、多要素認証 (MFA) の要求、デバイス ベースの制御 (デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイス) の適用、レガシ認証とデバイス コード フローのブロックなどのポリシーを評価します。 エージェントは、既存のすべての有効なポリシーを評価して、同様のポリシーの潜在的な統合を提案します。 エージェントが提案を識別したら、ワンクリック是正を使ってエージェントに関連ポリシーを更新させることができます。
Important
条件付きアクセス最適化エージェントの ServiceNow 統合は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
[前提条件]
- 少なくとも Microsoft Entra ID P1 ライセンスが必要です。
- 使用可能な セキュリティ コンピューティング ユニット (SCU) が必要です。
- 平均して、各エージェントの実行で消費される SCU は 1 つ未満です。
- 適切な Microsoft Entra ロールが必要です。
- セキュリティ管理者 は、 エージェントを初めてアクティブ化する必要があります。
- セキュリティ閲覧者 ロールと グローバル閲覧者 ロールは 、エージェントと提案を表示できますが、アクションを実行することはできません。
- 条件付きアクセス管理者 ロールと セキュリティ管理者 ロールは 、エージェントを表示し、提案に対してアクションを実行できます。
- 条件付きアクセス管理者にセキュリティCopilot アクセスを割り当てることができます。これによって、条件付きアクセス管理者もエージェントを使用できるようになります。
- 詳細については、「セキュリティCopilotのアクセスの割り当て」を参照してください。
- デバイス ベースのコントロールには 、Microsoft Intune ライセンスが必要です。
- Microsoft Security Copilot のプライバシーとデータ セキュリティを確認します。
制限事項
- エージェントを起動すると、エージェントを停止または一時停止することはできません。 実行には数分かかる場合があります。
- ポリシー統合の場合、各エージェントの実行では、同様の 4 つのポリシー ペアのみが検索されます。
- Microsoft Entra 管理センターからエージェントを実行することをお勧めします。
- スキャンは 24 時間に制限されます。
- エージェントからの提案をカスタマイズまたはオーバーライドすることはできません。
- エージェントは、1 回の実行で最大 300 人のユーザーと 150 のアプリケーションを確認できます。
動作方法
条件付きアクセスの最適化エージェントは、過去 24 時間の新しいユーザー、アプリケーション、およびエージェント ID をテナントでスキャンし、条件付きアクセス ポリシーが適用されるかどうかを判断します。 エージェントが条件付きアクセス ポリシーによって保護されていないユーザー、アプリケーション、またはエージェント ID を見つけた場合は、条件付きアクセス ポリシーの有効化や変更など、推奨される次の手順が提供されます。 提案、エージェントがソリューションを識別した方法、およびポリシーに含まれる内容を確認できます。
エージェントが実行されるたびに、次の手順が実行されます。 これらの初期スキャン手順では、SCU は使用されません。
- エージェントは、テナント内のすべての条件付きアクセス ポリシーをスキャンします。
- エージェントは、ポリシーのギャップと、ポリシーを組み合わせることができるかどうかを確認します。
- エージェントは以前の提案を確認するため、同じポリシーが再度提案されることはありません。
エージェントが、以前に提案されていないものを識別した場合は、次の手順を実行します。 これらのエージェント アクションステップでは、SCU が使用されます。
- エージェントは、統合可能なポリシーギャップまたはポリシーのペアを識別します。
- エージェントは、指定したカスタム命令を評価します。
- エージェントは、レポート専用モードで新しいポリシーを作成するか、カスタム命令によって提供されるロジックを含め、ポリシーを変更するための提案を提供します。
注
Security Copilot では、テナントに少なくとも 1 つの SCU がプロビジョニングされている必要がありますが、SKU を使用しない場合でも、その SCU は毎月課金されます。 エージェントをオフにしても、SCU の毎月の課金は停止されません。
エージェントによって識別されるポリシーの提案は次のとおりです。
- MFA を要求する: エージェントは、MFA を必要とし、ポリシーを更新できる条件付きアクセス ポリシーの対象になっていないユーザーを識別します。
- デバイス ベースの制御が必要: エージェントは、デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイスなどのデバイス ベースの制御を適用できます。
- レガシ認証をブロックする: レガシ認証を持つユーザー アカウントのサインインがブロックされます。
- デバイス コード フローをブロックする: エージェントは、デバイス コード フロー認証をブロックするポリシーを探します。
- 危険なユーザー: エージェントは、リスクの高いユーザーに対してセキュリティで保護されたパスワードの変更を要求するポリシーを提案します。 Microsoft Entra ID P2 ライセンスが必要です。
- 危険なサインイン: エージェントは、リスクの高いサインインに多要素認証を要求するポリシーを提案します。Microsoft Entra ID P2 ライセンスが必要です。
- 危険なエージェント: エージェントは、リスクの高いサインインの認証をブロックするポリシーを提案します。Microsoft Entra ID P2 ライセンスが必要です。
- ポリシーの統合: エージェントはポリシーをスキャンし、重複する設定を識別します。 たとえば、同じ許可制御を持つポリシーが複数ある場合、エージェントはそれらのポリシーを 1 つに統合することを提案します。
- 詳細な分析: エージェントは、主要なシナリオに対応するポリシーを調べて、推奨される数を超える例外 (カバレッジの予期しないギャップにつながる) または例外がない (ロックアウトの可能性につながる) 外れ値ポリシーを特定します。
Important
管理者が提案を明示的に承認しない限り、エージェントは既存のポリシーに変更を加えません。
エージェントによって提案されたすべての 新しい ポリシーは、レポート専用モードで作成されます。
2 つのポリシーが 2 つ以下の条件または制御によって異なる場合は、統合できます。
作業の開始
少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。
新しいホーム ページで、エージェント通知カードから [ エージェントに移動 ] を選択します。
- 左側のナビゲーション メニューから [エージェント] を選択することもできます。
[条件付きアクセスの最適化エージェント] タイルで [ 詳細の表示 ] を選択します。
![[詳細の表示] ボタンが強調表示されている [条件付きアクセス エージェント] タイルのスクリーンショット。](media/conditional-access-agent-optimization/view-details.png)
[ エージェントの開始] を選択して、最初の実行を開始します。
![[条件付きアクセスの最適化の開始エージェント] ページを示すスクリーンショット。](media/conditional-access-agent-optimization/start-agent.png)
![[詳細の表示] ボタンが強調表示されている [条件付きアクセス エージェント] タイルのスクリーンショット。](media/conditional-access-agent-optimization/view-details.png#lightbox)
![[条件付きアクセスの最適化の開始エージェント] ページを示すスクリーンショット。](media/conditional-access-agent-optimization/start-agent.png#lightbox)
エージェントの概要ページが読み込まれると、[最近使った候補] ボックスに 候補 が表示されます。 提案が特定された場合は、ポリシーを確認し、ポリシーへの影響を判断し、必要に応じて変更を適用できます。 詳細については、「 条件付きアクセス エージェントの提案を確認して承認する」を参照してください。
![[レビューの提案] ボタンが強調表示されているエージェントの概要と最近の提案のスクリーンショット。](media/conditional-access-agent-optimization/review-suggestions.png#lightbox)
設定
エージェントには、組織に固有の機能を拡張するための強力な設定がいくつか含まれています。 [ 設定] タブから次の機能を構成できます。詳細については、「 条件付きアクセスの最適化エージェントの設定」を参照してください。
- エージェントを 24 時間ごとに自動的に実行できるようにする
- ユーザーとアプリケーションに対する変更を確認するようにエージェントを設定する
- エージェントがレポート専用モードでポリシーを作成できるようにする
- エージェントが Microsoft Teams 経由 で通知を送信 できるようにする
- エージェントに段階的なロールアウト 計画の作成を許可する
- ServiceNow との統合を有効にしてチケットを自動作成する
- 組織固有の提案に関する ナレッジ ソース をエージェントに提供する
組み込みの統合
条件付きアクセスの最適化エージェントは、デバイス管理に Intune を使用し、ネットワーク アクセスにグローバル セキュリティで保護されたアクセスを使用する組織に対してポリシーの提案を行うことができます。
Intune の統合
条件付きアクセスの最適化エージェントは、Microsoft Intune と統合して、Intune で構成されたデバイス コンプライアンスとアプリケーション保護ポリシーを監視し、条件付きアクセスの適用における潜在的なギャップを特定します。 このプロアクティブで自動化されたアプローチにより、条件付きアクセス ポリシーは組織のセキュリティ目標とコンプライアンス要件に合わせて維持されます。 エージェントの提案は、Intune がエージェントにシグナルの一部を提供する点を除き、他のポリシー提案と同じです。
Intune シナリオに関するエージェントの提案は、特定のユーザー グループとプラットフォーム (iOS または Android) を対象としています。 たとえば、エージェントは、"Finance" グループを対象とするアクティブな Intune アプリ保護ポリシーを識別しますが、アプリ保護を適用する十分な条件付きアクセス ポリシーがないことを判断します。 エージェントは、iOS デバイス上の準拠アプリケーションを介してのみリソースにアクセスすることをユーザーに要求するレポート専用ポリシーを作成します。
Intune デバイスコンプライアンスとアプリ保護ポリシーを識別するには、エージェントがグローバル管理者または条件付きアクセス管理者およびグローバル閲覧者として実行されている必要があります。 条件付きアクセス管理者だけでは、エージェントが Intune の提案を生成するには不十分です。
グローバルなセキュリティで保護されたアクセスの統合
Microsoft Entra Internet Access と Microsoft Entra Private Access (総称してグローバル セキュリティで保護されたアクセス) は、条件付きアクセスの最適化エージェントと統合され、組織のネットワーク アクセス ポリシーに固有の提案を提供します。 提案、新しいポリシーをオンにして、グローバル セキュア アクセス ネットワークのアクセス要件を適用することは、ネットワークの位置と保護されたアプリケーションを含むグローバル セキュア アクセス ポリシーを調整するのに役立ちます。
この統合により、エージェントは条件付きアクセス ポリシーの対象ではないユーザーまたはグループを識別し、承認されたグローバル セキュリティで保護されたアクセス チャネル経由でのみ企業リソースへのアクセスを要求します。 このポリシーでは、ユーザーが企業のアプリやデータにアクセスする前に、組織のセキュリティで保護されたグローバル セキュリティで保護されたアクセス ネットワークを使用して企業リソースに接続する必要があります。 管理されていないネットワークまたは信頼されていないネットワークから接続しているユーザーは、グローバル セキュリティで保護されたアクセス クライアントまたは Web ゲートウェイを使用するように求められます。 サインイン ログを確認して、準拠している接続を確認できます。
エージェントの削除
条件付きアクセスの最適化エージェントを使用しなくなった場合は、エージェント ウィンドウの上部にある [ エージェントの削除 ] を選択します。 既存のデータ (エージェント アクティビティ、提案、メトリック) は削除されますが、エージェントの提案に基づいて作成または更新されたすべてのポリシーはそのまま残ります。 以前に適用された提案は変更されず、エージェントによって作成または変更されたポリシーを引き続き使用できます。
フィードバックの提供
エージェント ウィンドウの上部にある [ Microsoft フィードバックの提供 ] ボタンを使用して、エージェントに関するフィードバックを Microsoft に提供します。
FAQs
条件付きアクセスの最適化エージェントと Copilot チャットを使用する必要がある場合
どちらの機能も、条件付きアクセス ポリシーに関するさまざまな分析情報を提供します。 次の表に、2 つの機能の比較を示します。
| Scenario | 条件付きアクセスの最適化エージェント | Copilot チャット |
|---|---|---|
| 一般的なシナリオ | ||
| テナント固有の構成を利用する | ✅ | |
| 高度な推論 | ✅ | |
| オンデマンド分析情報 | ✅ | |
| 対話型のトラブルシューティング | ✅ | |
| 継続的なポリシー評価 | ✅ | |
| 自動化された改善の提案 | ✅ | |
| CA のベスト プラクティスと構成に関するガイダンスを取得する | ✅ | ✅ |
| 特定のシナリオ | ||
| 保護されていないユーザーまたはアプリケーションを事前に特定する | ✅ | |
| すべてのユーザーに対して MFA とその他のベースライン制御を適用する | ✅ | |
| CA ポリシーの継続的な監視と最適化 | ✅ | |
| ボタンひとつでポリシー変更 | ✅ | |
| 既存の CA ポリシーと割り当てを確認する (ポリシーは Alice に適用されますか? | ✅ | ✅ |
| ユーザーのアクセスのトラブルシューティング (Alice が MFA を求められた理由) | ✅ |
エージェントをアクティブ化しましたが、アクティビティの状態に "失敗" と表示されます。 どうしたんですか。
Privileged Identity Management (PIM) でロールのアクティブ化を必要とするアカウントを使用して、Microsoft Ignite 2025 より前にエージェントが有効になっている可能性があります。 そのため、エージェントが実行を試みたときに、その時点でアカウントに必要なアクセス許可がないため、失敗しました。 2025 年 11 月 17 日以降に有効にされた条件付きアクセス最適化エージェントでは、エージェントをアクティブ化したユーザーの ID が使用されなくなりました。
この問題は、 Microsoft Entra エージェント ID を使用するように移行することで解決できます。 エージェント ページのバナー メッセージまたはエージェント設定の [ID とアクセス許可] セクションから、[エージェント ID の作成] を選択します。