条件付きアクセスの最適化エージェントは、すべてのユーザーがポリシーによって保護されるようにするのに役立ちます。 ゼロ トラストと Microsoft の学習に合わせたベスト プラクティスに基づいて、ポリシーと変更が推奨されます。
プレビューでは、条件付きアクセスの最適化エージェントは、多要素認証 (MFA) の要求、デバイス ベースの制御 (デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイス) の適用、レガシ認証とデバイス コード フローのブロックなどのポリシーを評価します。
エージェントは、既存のすべての有効なポリシーを評価して、同様のポリシーの潜在的な統合を提案します。
[前提条件]
- 少なくとも Microsoft Entra ID P1 ライセンスが必要です。
- 使用可能な セキュリティ コンピューティング ユニット (SCU) が必要です。
- 平均して、各エージェントの実行で消費される SCU は 1 つ未満です。
- エージェントを初めてアクティブ化するには、プレビュー期間中に セキュリティ管理者 または グローバル管理者 ロールが必要です。
-
条件付きアクセス管理者にセキュリティCopilot アクセスを割り当てることができます。これによって、条件付きアクセス管理者もエージェントを使用できるようになります。
- 詳細については、「Security Copilot へのアクセスを割り当てる」を参照してください
- デバイス ベースのコントロールには 、Microsoft Intune ライセンスが必要です。
- Microsoft Security Copilot でプライバシーとデータ セキュリティを確認する
制限事項
- プレビュー期間中は、アカウントを使用して、Privileged Identity Management (PIM) によるロールのアクティブ化を必要とするエージェントを設定しないでください。 永続的なアクセス許可を持たないアカウントを使用すると、エージェントの認証エラーが発生する可能性があります。
- エージェントを起動すると、エージェントを停止または一時停止することはできません。 実行には数分かかる場合があります。
- ポリシー統合の場合、各エージェントの実行では、同様の 4 つのポリシー ペアのみが検索されます。
- エージェントは現在、これを有効化したユーザーとして実行されます。
- プレビューでは、Microsoft Entra 管理センターからのみエージェントを実行する必要があります。
- スキャンは 24 時間に制限されます。
- エージェントからの提案をカスタマイズまたはオーバーライドすることはできません。
条件付きアクセスの最適化エージェントの主な機能
条件付きアクセスの最適化エージェントは、テナントで新しいユーザーとアプリケーションをスキャンし、条件付きアクセス ポリシーが適用されるかどうかを判断します。 プレビューでは、主な機能は次のとおりです。
- MFA を要求する: エージェントは、MFA を必要とし、ポリシーを更新できる条件付きアクセス ポリシーの対象になっていないユーザーを識別します。
- デバイス ベースの制御が必要: エージェントは、デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイスなどのデバイス ベースの制御を適用できます。
- レガシ認証をブロックする: レガシ認証を持つユーザー アカウントのサインインがブロックされます。
- ポリシーの統合: エージェントはポリシーをスキャンし、重複する設定を識別します。 たとえば、同じ許可制御を持つポリシーが複数ある場合、エージェントはそれらのポリシーを 1 つに統合することを提案します。
- デバイス コード フローをブロックする: エージェントは、デバイス コード フロー認証をブロックするポリシーを探します。
- ワンクリック修復: エージェントが提案を識別したら、[提案の 適用 ] を選択して、関連付けられているポリシーを 1 回のクリックでエージェントに更新させることができます。
作業の開始
少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。
新しいホーム ページで、エージェント通知カードから [ エージェントに移動 ] を選択し、[条件付きアクセスの最適化エージェント] で [ 詳細の表示 ] を選択します。
[ エージェントの実行 ] を選択して、最初の実行を開始します。
![[条件付きアクセスの最適化エージェントの構成] ページを示すスクリーンショット。](media/agent-optimization/agent-optimization-start-agent.png)
エージェントの概要ページが読み込まれると、候補が上部に表示されます。 最近のアクティビティとパフォーマンスのハイライトも確認できます。
[ 提案の確認 ] を選択して、提案の詳細を表示します。 このページの次の手順には、次のオプションがあります。
- 提案の適用: エージェントは、1 回のクリックでポリシーに推奨される変更を適用できます。
- ポリシーの変更を確認する: ポリシーの変更を適用する前に確認します。
- ポリシーへの影響: ポリシーの潜在的な影響の視覚化を表示します。 詳細については、「 ポリシーへの影響」を参照してください。
![[条件付きアクセスの最適化エージェントの構成] ページを示すスクリーンショット。](media/agent-optimization/agent-optimization-start-agent.png#lightbox)
管理者は、 ポリシーの影響モードまたはレポート専用モードを使用してポリシー設定を評価した後、[ ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。
ヒント
- エージェントによって作成されたポリシーは、[条件付きアクセス ポリシー] ウィンドウで 条件付きアクセスの最適化エージェント でタグ付けされます。
- 新しく作成されたポリシーは、レポート専用モードで作成されます。 ベストプラクティスとして、構成ミスによるロックアウトを避けるために、組織は緊急アクセス用のアカウントをポリシーから除外する必要があります。
結果の確認
エージェントが実行され、次の場合があります。
- 保護されていないユーザーを特定したり、変更を推奨したりしない
- レポート専用モードでの新しい条件付きアクセス ポリシーの作成を提案する
- 新しく作成したユーザーを既存のポリシーに追加することを提案する
Warnung
準拠デバイスを必要とするレポート専用モードのポリシーでは、デバイスコンプライアンスが適用されていない場合でも、ポリシーの評価中に macOS、iOS、Android デバイスのユーザーにデバイス証明書の選択を求める場合があります。 これらのプロンプトは、デバイスが準拠するまで繰り返される場合があります。 エンド ユーザーがサインイン中にプロンプトを受信できないようにするには、デバイス コンプライアンス チェックを実行するレポート専用ポリシーからデバイス プラットフォーム Mac、iOS、Android を除外します。
フィードバックの提供
エージェント ウィンドウの上部にある [ Microsoft フィードバックの提供 ] ボタンを使用して、エージェントに関するフィードバックを Microsoft に提供します。
設定
エージェントが有効になったら、いくつかの設定を調整できます。 この設定には、Microsoft Entra 管理センターの 2 つの場所からアクセスできます。
- [エージェント]>[条件付きアクセス最適化エージェント]>[設定] から。
- [条件付きアクセス] から>ポリシーの概要設定の下にある >] カードを選択します。
トリガー
エージェントは、最初に構成された時間に基づいて 24 時間ごとに実行するように構成されます。 トリガーの設定をオフに切り替え、実行するタイミングに戻すことで、特定の時刻に実行できます。
オブジェクト
[オブジェクト] の下のチェック ボックスを使用して、ポリシーの推奨事項を作成するときにエージェントが監視する必要がある内容を指定します。 既定では、エージェントは、過去 24 時間にわたってテナント内の新しいユーザーとアプリケーションの両方を検索します。
ID とアクセス許可
エージェントは、 テナントでエージェントを有効にしたユーザーの ID とアクセス許可で実行されます。 この要件のため、Just-In-Time 昇格に PIM を使用するような昇格を必要とするアカウントの使用は避ける必要があります。
セキュリティ管理者ロールとグローバル管理者ロールは、既定で Security Copilot にもアクセスできます。
条件付きアクセス管理者には、セキュリティ のCopilot アクセスを割り当てることができます。 この承認により、条件付きアクセス管理者もエージェントを使用できるようになります。 詳細については、「セキュリティCopilotのアクセスの割り当て」を参照してください。
カスタム手順
オプションの [ ユーザー設定の指示 ] フィールドを使用して、ニーズに合わせてポリシーを調整できます。 この設定を使用すると、実行の一部としてエージェントにプロンプトを表示できます。 たとえば、"ユーザー "Break Glass" は、作成されたポリシーから除外する必要があります。
エージェントの削除
条件付きアクセス最適化エージェントを使用しなくなった場合は、エージェント ウィンドウの上部にある [ エージェントの削除 ] ボタンを使用して削除できます。
よく寄せられる質問
条件付きアクセス最適化エージェントと Copilot Chat を使用する必要がある場合
どちらの機能も、条件付きアクセス ポリシーに関するさまざまな分析情報を提供します。 次の表に、2 つの機能の比較を示します。
| シナリオ | 条件付きアクセスの最適化エージェント | Copilot チャット |
|---|---|---|
| 一般的なシナリオ | ||
| テナント固有の構成を利用する | ✅ | |
| 高度な推論 | ✅ | |
| オンデマンド分析情報 | ✅ | |
| 対話型のトラブルシューティング | ✅ | |
| 継続的なポリシー評価 | ✅ | |
| 自動化された改善の提案 | ✅ | |
| CA のベスト プラクティスと構成に関するガイダンスを取得する | ✅ | ✅ |
| 特定のシナリオ | ||
| 保護されていないユーザーまたはアプリケーションを事前に特定する | ✅ | |
| すべてのユーザーに対して MFA とその他のベースライン制御を適用する | ✅ | |
| CA ポリシーの継続的な監視と最適化 | ✅ | |
| ボタンひとつでポリシー変更 | ✅ | |
| 既存の CA ポリシーと割り当てを確認する (ポリシーは Alice に適用されますか? | ✅ | ✅ |
| ユーザーのアクセスのトラブルシューティング (Alice が MFA を求められた理由) | ✅ |
エージェントをアクティブ化しましたが、アクティビティの状態に "失敗" と表示されます。 どうしてでしょうか。
Privileged Identity Management (PIM) によるロールのアクティブ化を必要とするアカウントでエージェントが有効になっている可能性があります。 そのため、エージェントが実行を試みたときに、その時点でアカウントに必要なアクセス許可がないため、失敗しました。 PIM アクセス許可の有効期限が切れた場合は、再認証を求められます。 この問題を解決するには、エージェントを削除してから、Security Copilot アクセスの永続的なアクセス許可を持つユーザー アカウントでエージェントを再度有効にします。 詳細については、「セキュリティCopilotのアクセスの割り当て」を参照してください。