Microsoft Entra エージェント IDでは、技術的な管理とビジネスアカウンタビリティを分離し、過剰なアクセス許可なしで運用管理と監視を確保する管理モデルが導入されています。 このドキュメントでは、Microsoft Entra エージェント ID ID の種類の管理関係について説明します。 このガイダンスは、 エージェント ID、 エージェント ID ブループリント、 エージェント ID ブループリント プリンシパル、エージェント のユーザー アカウントに適用されます。 この記事では、所有者、スポンサー、マネージャー、およびセキュリティで保護された運用を維持する上でのその重要性について説明します。
エージェント ID で使用できる管理リレーションシップは次のとおりです。
- 所有者: エージェント ID ブループリントとエージェント ID の運用管理を担当する技術管理者 (セットアップ、構成、資格情報の管理など)。
- スポンサー: ビジネス担当者は、技術的な管理アクセスなしで、アクセス レビューやエージェントの保持など、エージェントの目的とライフサイクルの決定に責任を負います。 エージェント ID とエージェント ID ブループリントごとに少なくとも 1 つのスポンサーが必要です。
- マネージャー: 組織の階層内のエージェントを担当し、レポート エージェントのアクセス パッケージを要求できるユーザー。
これらの管理リレーションシップは、エージェント ID オブジェクトごとに構成する必要があり、Microsoft Entraのロール ベースのアクセス コントロール (RBAC) の役割、例えばエージェント ID 管理者によって付与される管理者権限とは別個です。
所有者
所有者は通常、エージェントの技術管理者として機能し、運用面と構成面を処理します。 個々のユーザーとサービス プリンシパルを所有者として設定できます。 グループは所有者としてサポートされていません。 所有者としてのサービス プリンシパルにより、エージェント ID の自動管理が可能になります。 所有者は、エージェント ID ブループリントとエージェント ID では省略可能です。
所有者の責任
所有者は、認証プロパティのように、スポンサーができないプロパティを変更できます。 所有者は、エージェント ID の他の所有者とスポンサーを追加または更新することもできます。 スポンサーと同様に、不要になったエージェント ID を無効にしたり削除したりすることもできます。 所有者は、スポンサーとは異なり、無効化されたエージェント ID を再有効化し、一時的に削除された ID を復元できます。
所有者のアクセスとアクセス許可
所有者は、割り当てられたエージェントIDの設計図またはエージェントIDに基づく管理特権を持っています。 設定の編集、資格情報の管理、構成の変更、さらに所有者の割り当てを行うことができます。
エージェント ID ブループリントまたはエージェント ID ブループリント プリンシパルの所有者は、エージェント ID 管理者またはエージェント ID 開発者ロールを必要とせずに、委任されたアクセス許可を使用してそのブループリントからエージェント ID を作成することもできます。 呼び出し元のアプリケーションには、 AgentIdentity.Create.All、 AgentIdentity.ReadWrite.All、または AgentIdentity.ReadWrite.ManagedByのいずれかの委任されたアクセス許可が付与されている必要があります。
所有者の一般的なペルソナ
所有者は、通常、アプリケーション ID を管理するための技術的な知識を持つ開発者または IT プロフェッショナルです。 エージェント作成者、技術アプリケーション所有者、または重要なエージェントの IT 管理者である可能性があります。 バックアップ 対象範囲には複数の所有者を割り当てることができます。
他の管理サービスで、ユーザーの介入なしに特定のエージェント ID を変更または削除する機能が必要な場合は、サービス プリンシパルを所有者として設定することもできます。
スポンサー
スポンサーは、エージェントにビジネスアカウンタビリティを提供し、技術的な管理アクセスなしでライフサイクルの決定を行います。 エージェントのビジネス目的を理解し、エージェントがまだ必要かアクセスが必要かを判断できます。 スポンサーは、エージェント ID のブループリントとエージェント ID に必要であり、すべてのエージェントに指定されたビジネス所有者がいることを確認します。
スポンサーシップは、スポンサーの従業員が移動または退職したときに、継承を確保する必要があります。 ユーザーとグループの両方をスポンサーとして割り当てることができます。 グループが割り当てられると、グループのすべてのメンバーは、エージェント ID オブジェクトに対するスポンサー権限を持ちます。 すべてのグループの種類がスポンサーとしてサポートされているわけではありません。 次の種類のグループを使用できます。
- 動的メンバーシップ グループ (セキュリティまたはMicrosoft 365)
- 割り当てられたメンバーシップ グループ (Microsoft 365)
次のグループの種類はスポンサーとして許可されていません。
- ロール割り当て可能なグループ (セキュリティまたはMicrosoft 365)
- 割り当てられたメンバーシップ グループ (セキュリティ)
スポンサーの責任
スポンサーは、ビジネス ニーズに基づいて、更新、延長、削除など、エージェントのライフサイクルに関する決定を行います。 エージェントに代わってアクセス パッケージを要求し、アクセス要求の業務上の正当な理由を提供します。 セキュリティ インシデント中に、スポンサーはエージェントの動作が期待されるかどうかを判断し、中断やアクセス許可の調整を含む適切な対応を承認する場合があります。
スポンサーのアクセスとアクセス許可
スポンサーは、管理アクセス許可が制限された最小特権で動作します。 エージェント ブループリントまたはエージェント ID のアプリケーション設定を変更することはできません。 アクセスは、非破壊的ライフサイクル操作 (エージェントの有効化と無効化) に制限されます。
一般的なペルソナを支援する
スポンサーは、通常、ビジネスオーナー、製品マネージャー、チームリーダー、またはエージェントの目的を理解している利害関係者です。 非公開のエージェントの場合、作成者はスポンサーとして機能することが多いです。 公開されたエージェントの場合、スポンサーは通常、エージェントを使用するチームから来ます。
エージェント ID スポンサーとエージェントのユーザー アカウント スポンサー
Microsoft エージェント ID では、エージェントはユーザー指向サービスにアクセスするために作成された agent のユーザー アカウントを持つことができます。 ユーザー アカウントとエージェントの ID、ブループリント、ブループリント プリンシパルには、すべてスポンサーが関連付けられている場合があります。 エージェント ID、ブループリント、およびブループリント プリンシパルのスポンサーとユーザー アカウントのスポンサーには違いがあります。
エージェント ユーザー アカウントのスポンサーは、通常の ユーザー スポンサーと同じです。 スポンサー付きユーザーに変更を加える権限はありませんが、ユーザーに代わってアクセスを要求することができ、承認フローに関与する可能性があります。 これに対し、エージェント ID、ブループリント、ブループリント プリンシパルのスポンサーは、これらの ID を直接管理するためのアクセスが制限されており、ライフサイクル ワークフローでアクセスを要求したり、承認を与えたりすることもできます。
| エージェント ユーザー アカウントのスポンサー | エージェント ID、ブループリント、ブループリント プリンシパル スポンサー | |
|---|---|---|
| 許可される型 | ユーザー、グループ (任意) | ユーザーは、グループ (動的メンバーシップ、Microsoft 365) を選択します。 ロール割り当て可能なグループはサポートされていません。 |
| Limits | 最大 5 人のスポンサー | 最大 100 人のスポンサー(5 グループ以下) |
| 認可 | スポンサー ユーザーを変更するための直接承認なし | エージェント ID を削除または無効化し、そのスポンサーを変更する |
| 必須 | 必須ではない | エージェント ID とエージェント ブループリントの作成時に必要 |
エージェント ID オブジェクトとエージェント ユーザー アカウントの両方によってエージェントが表される場合は、エージェント ID スポンサーをエージェントを担当するプライマリ ユーザーまたはグループとして維持することをお勧めします。
シナリオによって、エージェント ID とそれに関連付けられているユーザー アカウントに対して異なる種類のアクセスまたは承認が必要になる場合があります。 各オブジェクトのスポンサーは、スポンサーの ID に代わって アクセス パッケージを要求 できます。 ほとんどの場合、同じユーザーまたはグループを両方のオブジェクトのスポンサーとして設定し、必要に応じてエージェント ID とエージェントのユーザー アカウントの両方に適切なアクセス権を要求できるようにする必要があります。
Managers
マネージャーは、組織階層内のエージェント ID を担当する個々のユーザーです。 ユーザー シナリオでアクティブなエージェントの場合は、エージェントのユーザー アカウントにマネージャーを設定することを検討してください。 マネージャーは、エージェントのユーザー アカウントに対するアクセス パッケージを要求でき、Microsoft Entra 管理センターでは、彼らに報告するエージェントが表示されます。 マネージャーは、エージェントを変更または削除する権限を持っていません。所有者、スポンサー、または管理者は、これらのアクションを実行する必要があります。
要件と制約
管理モデルでは、特定の要件と制約が適用され、効果的な監視とアカウンタビリティが確保されます。
作成のための条件
エージェント ID またはエージェント ブループリントを作成する場合は、スポンサーが必要です。 作成時に、エージェント ID ブループリントの主要者はスポンサー要件が免除されます。 所有者とマネージャーは常に省略可能です。
割り当てポリシー
アプリケーションとユーザー コンテキストの両方が存在する委任された作成要求の場合、スポンサーが明示的に指定されていない場合、呼び出し元ユーザーは自動的にスポンサーになります。 ただし、作成時に 1 つ以上の他のスポンサーが指定された場合、呼び出し元ユーザーは自動的に追加されません。 エージェント ID 管理者ロールを持つユーザーは、作成時に自動的にスポンサーになりません。 これにより、管理者が個々のエージェントに直接責任を負うという意図せずに過剰な負荷が発生することを回避できます。
アプリ専用の作成要求の場合、作成サービスでは、1 人以上のユーザーまたは サポートされているグループ をスポンサーとして設定する必要があります。