条件付きアクセスの最適化エージェントは、ギャップ、重複、例外の条件付きアクセス ポリシーを分析することで、組織のセキュリティ体制を改善するのに役立ちます。 条件付きアクセスが組織のゼロ トラスト戦略の中心的な要素になるには、組織固有のニーズを満たすようにエージェントの機能を構成できる必要があります。
この記事で説明するエージェント設定では、トリガー、通知、スコープなどの標準的なオプションについて説明します。 ただし、この設定には、カスタム手順、Intune 統合、アクセス許可などの高度なオプションも含まれています。
Important
条件付きアクセス最適化エージェントの ServiceNow 統合とファイル アップロード機能は、現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
エージェント設定を構成する方法
この設定には、Microsoft Entra 管理センターの 2 つの場所からアクセスできます。
- Agents>Conditional Access Optimization Agent>Settingsから設定します。
- [条件付きアクセス] から>ポリシーの概要設定の下にある >] カードを選択します。
左側のメニューからカテゴリを選択して、すべての設定を参照してください。 変更を行った後、ページの下部にある [保存 ] ボタンを選択します。
トリガー
エージェントは、最初に構成された日時に基づいて、24 時間ごとに実行するように構成されます。 エージェントはいつでも手動で実行できます。
能力
機能カテゴリには、確認する必要がある重要な設定が含まれています。
- 監視する Microsoft Entra オブジェクト: チェック ボックスを使用して、ポリシーの推奨事項を作成するときにエージェントが監視する必要がある内容を指定します。 既定では、エージェントは、過去 24 時間にわたってテナント内の新しいユーザーとアプリケーションの両方を検索します。
- エージェントの機能: 既定では、条件付きアクセス最適化エージェントは レポート専用モードで新しいポリシーを作成できます。 この設定を変更して、管理者が新しいポリシーを作成する前に承認する必要があります。 ポリシーは引き続きレポート専用モードで作成されますが、管理者の承認後にのみ作成されます。 ポリシーへの影響を確認したら、エージェント エクスペリエンスまたは条件付きアクセスから直接ポリシーを有効にすることができます。
- 段階的ロールアウト: エージェントがレポート専用モードで新しいポリシーを作成し、そのポリシーが段階的なロールアウトの条件を満たしている場合、ポリシーは段階的にロールアウトされるため、新しいポリシーの効果を監視できます。 段階的ロールアウトは既定でオンになっています。 詳細については、「 条件付きアクセスの最適化エージェントの段階的ロールアウト」を参照してください。
Notifications
条件付きアクセスの最適化エージェントは、Microsoft Teamsを介して一連の受信者に通知を送信できます。 Microsoft Teamsの 条件付きアクセス エージェント アプリを使用すると、受信者は、エージェントが新しい提案を表示したときに、Teams チャットで直接通知を受け取ります。
エージェント アプリをMicrosoft Teamsに追加するには:
Microsoft Teamsで、左側のナビゲーション メニューから [アプリ ] を選択し、 条件付きアクセス エージェントを検索して選択します。
![Teams の [条件付きアクセス アプリ] ボタンのスクリーンショット。](media/conditional-access-agent-optimization-settings/agent-teams-app.png)
[ 追加 ] ボタンを選択し、[ 開く ] ボタンを選択してアプリを開きます。
アプリへのアクセスを容易にするには、左側のナビゲーション メニューでアプリ アイコンを右クリックし、[ ピン留め] を選択します。
![Teams の [条件付きアクセス アプリ] ボタンのスクリーンショット。](media/conditional-access-agent-optimization-settings/agent-teams-app.png#lightbox)
条件付きアクセスの最適化エージェントの設定で通知を構成するには:
条件付きアクセスの最適化エージェントの設定で、[ ユーザーとグループの選択 ] リンクを選択します。
通知を受信するユーザーまたはグループを選択し、[選択] ボタンを 選択 します。
メインの [設定] ページの下部にある [保存 ] ボタンを選択します。
通知を受信する受信者は最大 10 人まで選択できます。 通知を受信するグループを選択できますが、そのグループのメンバーシップは 10 人を超えることはできません。 ユーザー数が 10 人未満で、後で追加されるグループを選択した場合、グループは通知を受け取らなくなります。 同様に、通知は、個々のユーザーまたはグループの組み合わせなど、5 つのオブジェクトにのみ送信できます。 通知の受信を停止するには、受信者の一覧からユーザー オブジェクトまたは含まれているグループを削除します。
現時点では、エージェントの通信は一方向であるため、通知を受信できますが、Microsoft Teamsで応答することはできません。 提案に対してアクションを実行するには、チャットから [ 提案の確認 ] を選択して、Microsoft Entra 管理センターで条件付きアクセス最適化エージェントを開きます。
ナレッジ ソース
条件付きアクセスの最適化エージェントは、2 つの異なるナレッジ ソースから取得して、組織固有のセットアップに合わせて調整された提案を行うことができます。
カスタム手順
オプションの [ ユーザー設定の指示 ] フィールドを使用して、ニーズに合わせてポリシーを調整できます。 この設定を使用すると、実行の一部としてエージェントにプロンプトを表示できます。 次の手順を使用できます。
- 特定のユーザー、グループ、ロールを含めるまたは除外する
- エージェントによって検討されたり、条件付きアクセス ポリシーに追加されたりするオブジェクトを除外する
- ポリシーから特定のグループを除外する、MFA を要求する、モバイル アプリケーション管理ポリシーを要求するなど、特定のポリシーに例外を適用します。
カスタム命令には、名前またはオブジェクト ID を入力できます。 両方の値が検証されます。 グループの名前を追加すると、そのグループのオブジェクト ID が自動的に追加されます。 カスタム命令の例:
- "多要素認証を必要とするポリシーから "Break Glass" グループのユーザーを除外します。
- "オブジェクト ID dddddddd-3333-4444-5555-eeeeeeeee を持つユーザーをすべてのポリシーから除外する"
考慮すべき一般的なシナリオは、エージェントが標準の条件付きアクセス ポリシーへの追加を提案したくないゲスト ユーザーが組織に多数ある場合です。 エージェントが実行され、推奨されるポリシーの対象になっていない新しいゲスト ユーザーが表示される場合は、必要のないポリシーでこれらのゲスト ユーザーをカバーすることを提案するために SKU が使用されます。 ゲスト ユーザーがエージェントによって考慮されないようにするには:
-
(user.userType -eq "guest")"ゲスト" という動的グループを作成します。 - ニーズに基づいてカスタム命令を追加します。
- "エージェントの考慮事項から "ゲスト" グループを除外します。
- "モバイル アプリケーション管理ポリシーから "ゲスト" グループを除外します。
カスタム手順の使用方法の詳細については、次のビデオを参照してください。
ユーザー インターフェイス要素など、ビデオ内の一部のコンテンツは、エージェントが頻繁に更新されるため、変更される可能性があります。
ファイル (プレビュー)
条件付きアクセスの最適化エージェントには、組織に関する具体的な手順を提供するメカニズムが含まれています。 これらの手順には、条件付きアクセス ポリシーの名前付け規則、一意の手順、組織構造などの情報を含めることができるため、エージェントの提案は環境により関連性が高まります。 これらのアップロードされたファイルは、エージェントのナレッジ ベースを構成します。 詳細については、「 条件付きアクセスの最適化エージェント」ナレッジ ベースを参照してください。
Important
データはエージェント内にとどまり、モデルのトレーニングには使用されません。
ナレッジ ベースにファイルを追加するには:
- 条件付きアクセス最適化エージェント>Settings>Files に移動します。
- [アップロード] ボタンを選択します。
- 開いたパネルにファイルをドラッグ アンド ドロップするか、[ファイル領域の アップロード ] を選択してコンピューター上のファイルに移動します。
エージェントはファイルを処理して分析し、必要な情報が含まれていることを確認します。
Plugins
条件付きアクセスの最適化エージェントでは、 Intune とグローバルセキュア アクセス の組み込み統合に加えて、既存のワークフローを合理化するための外部統合も提供されます。
ServiceNow 統合 (プレビュー)
Security Copilot に ServiceNow プラグインを使用する組織は、条件付きアクセス最適化エージェントに、エージェントが生成する新しい提案ごとに ServiceNow 変更要求を作成できるようになりました。 この機能を使用すると、IT チームとセキュリティ チームは、既存の ServiceNow ワークフロー内でエージェントの提案を追跡、確認、承認、または拒否できます。 現時点では、変更要求 (CHG) のみがサポートされています。
ServiceNow 統合を使用するには、組織で ServiceNow プラグイン が構成されている必要があります。
条件付きアクセスの最適化エージェントの設定で ServiceNow プラグインを有効にすると、エージェントからの新しい提案ごとに ServiceNow 変更要求が作成されます。 変更要求には、ポリシーの種類、影響を受けるユーザーまたはグループ、推奨事項の根拠など、提案に関する詳細が含まれます。 統合によってフィードバック ループも提供されます。エージェントは ServiceNow 変更要求の状態を監視し、変更要求が承認されたときに変更を自動的に実装できます。
Permissions
エージェント設定のこのセクションでは、エージェントが実行される ID と、エージェントが動作するために使用するアクセス許可について説明します。
エージェント ID
条件付きアクセスの最適化エージェントで Microsoft Entra エージェント ID がサポートされるようになりました。これにより、エージェントは特定のユーザーの ID ではなく、独自の ID で実行できるようになりました。 この機能により、セキュリティが向上し、管理が簡素化され、柔軟性が向上します。
Microsoft Entra エージェント ID でエージェント の詳細を表示するには、[エージェント ID の管理] を選択します。
- エージェントの新規インストールでは、既定で エージェント ID が使用されます。
- 既存のインストールは、ユーザー コンテキストから切り替えて、エージェント ID でいつでも実行できます。
- この変更は、レポートや分析には影響しません。
- 既存のポリシーと推奨事項は影響を受けません。
- 顧客は、以前のユーザー コンテキストに切り替えることはできません。
- セキュリティ管理者ロールを持つ管理者は、この変更を行うことができます。 エージェント ページのバナー メッセージまたはエージェント設定の [ID とアクセス許可] セクションから、[エージェント ID の作成] を選択します。
条件付きアクセス最適化エージェントを有効にして使用するには、Security Copilot ロールも必要です。 セキュリティ管理者は、既定で Security Copilot にアクセスできます。 条件付きアクセス管理者には、セキュリティ のCopilot アクセスを割り当てることができます。 この承認により、条件付きアクセス管理者もエージェントを使用できるようになります。 詳細については、「セキュリティCopilotのアクセスの割り当て」を参照してください。
エージェントのアクセス許可
エージェント ID は、次のアクセス許可を使用してタスクを実行します。 これらのアクセス許可は、エージェント ID の作成時に自動的に割り当てられます。
AuditLog.Read.AllCustomSecAttributeAssignment.Read.AllDeviceManagementApps.Read.AllDeviceManagementConfiguration.Read.AllGroupMember.Read.AllLicenseAssignment.Read.AllNetworkAccess.Read.AllPolicy.Create.ConditionalAccessROPolicy.Read.AllRoleManagement.Read.DirectoryUser.Read.All
ユーザー
条件付きアクセスの最適化エージェントは、ロールベースのアクセス制御を使用してエージェントを使用します。 エージェントを使用するために必要な最小限の特権ロールは、 条件付きアクセス管理者です。