Microsoft Entra 条件付きアクセス最適化エージェントは、すべてのユーザー、アプリケーション、およびエージェント ID が条件付きアクセス ポリシーによって保護されるようにするのに役立ちます。 エージェントは、 ゼロ トラスト と Microsoft の学習に合わせたベスト プラクティスに基づいて、新しいポリシーを推奨し、既存のポリシーを更新できます。 また、エージェントはポリシー レビュー レポート (プレビュー) を作成します。このレポートは、ポリシーの構成ミスを示す可能性のあるスパイクや急落に関する分析情報を提供します。
条件付きアクセスの最適化エージェントは、次のようなポリシーを評価します。
- 多要素認証 (MFA) が必要です。
- デバイス ベースの制御 (デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイス) を適用する。
- レガシ認証とデバイス コード フローをブロックする。
エージェントは、既存のすべての有効なポリシーを評価して、同様のポリシーの潜在的な統合を提案します。 エージェントが提案を検出すると、ワンクリック修復で関連ポリシーを更新させることができます。
Important
条件付きアクセス最適化エージェントでの ServiceNow 統合、ファイル アップロード機能、およびアクティビティ ベースの実行は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
[前提条件]
- 少なくとも Microsoft Entra ID P1 ライセンスが必要です。
- 使用可能な セキュリティ コンピューティング ユニット (SKU) が必要です。 平均して、各エージェントの実行で消費される SCU は 1 つ未満です。
- 適切な Microsoft Entra ロールが必要です。
- エージェントを初めてアクティブ化するには、セキュリティ管理者ロールが必要です。
- セキュリティ閲覧者 ロールと グローバル閲覧者 ロールは 、エージェントと提案を表示できますが、アクションを実行することはできません。
- 条件付きアクセス管理者 ロールと セキュリティ管理者 ロールは 、エージェントを表示し、提案に対してアクションを実行できます。
- 条件付きアクセス管理者に Microsoft Security Copilot へのアクセス権を割り当てることができます。これにより、条件付きアクセス管理者はエージェントを使用できるようになります。
- ロールの詳細については、「Assign Security Copilot accessを参照してください。
- デバイス ベースのコントロールには 、Microsoft Intune ライセンスが必要です。
- Microsoft Security Copilot のプライバシーとデータ セキュリティを確認します。
制限事項
- エージェントの起動後、実行を停止または一時停止することはできません。 実行には数分かかる場合があります。
- ポリシーの統合では、各エージェントの実行で 40 の同様のポリシー ペアが評価されます。
- Microsoft Entra 管理センターからエージェントを実行することをお勧めします。
- スキャンは 24 時間に制限されます。
- エージェントから提案をカスタマイズまたはオーバーライドすることはできません。
- エージェントは、1 回の実行で最大 300 人のユーザーと 150 のアプリケーションを確認できます。
動作方法
条件付きアクセスの最適化エージェントは、過去 24 時間の新しいユーザー、アプリケーション、およびエージェント ID をテナントでスキャンし、条件付きアクセス ポリシーが適用されるかどうかを判断します。 エージェントが条件付きアクセス ポリシーでカバーされていないユーザー、アプリケーション、またはエージェント ID を見つけた場合は、推奨される次の手順が提供されます。
次の手順では、条件付きアクセス ポリシーを有効にするか、変更します。 提案、エージェントがソリューションを識別した方法、およびポリシーに含まれる内容を確認できます。
エージェントが実行されるたびに、次の手順が実行されます。 これらの初期スキャン手順では、SCU は使用されません。
- エージェントは、テナント内のすべての条件付きアクセス ポリシーをスキャンします。
- エージェントは、ポリシーのギャップと、ポリシーを組み合わせることができるかどうかを確認します。
- エージェントは、同じポリシーが再度提案されないように、以前の提案を確認します。
エージェントが以前に提案しなかった内容を識別した場合は、次の手順を実行します。 これらのエージェント アクションステップでは、SCU が使用されます。
- エージェントは、統合可能なポリシーギャップまたはポリシーのペアを識別します。
- エージェントは、指定したカスタム命令を評価します。
- エージェントは、レポート専用モードで新しいポリシーを作成するか、カスタム命令のロジックを含め、ポリシーを変更するための提案を提供します。
注
Security Copilotでは、テナントに少なくとも 1 つの SCU がプロビジョニングされている必要があります。 その SCU は、SKU を使用しない場合でも、毎月課金されます。 エージェントをオフにしても、SCU の毎月の課金は停止されません。
エージェントからのポリシーの提案は次のとおりです。
- MFA を要求する: エージェントは、MFA を必要とし、ポリシーを更新できる条件付きアクセス ポリシーの対象になっていないユーザーを識別します。
- デバイス ベースの制御が必要: エージェントは、デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイスなどのデバイス ベースの制御を適用できます。
- レガシ認証をブロックする: レガシ認証を持つユーザー アカウントのサインインがブロックされます。
- デバイス コード フローをブロックする: エージェントは、デバイス コード フローをブロックするポリシーを探します。
- 危険なユーザー: エージェントは、リスクの高いユーザーに対してセキュリティで保護されたパスワードの変更を要求するポリシーを提案します。 Microsoft Entra ID P2 ライセンスが必要です。
- Risky サインイン: エージェントは、リスクの高いサインインに多要素認証を要求するポリシーを提案します。Microsoft Entra ID P2 ライセンスが必要です。
- Risky エージェント: エージェントは、リスクの高いサインインの認証をブロックするポリシーを提案します。Microsoft Entra ID P2 ライセンスが必要です。
- ポリシーの統合: エージェントはポリシーをスキャンし、重複する設定を識別します。 たとえば、同じ許可制御を持つポリシーが複数ある場合、エージェントはそれらのポリシーを 1 つに統合することを提案します。
- 詳細な分析: エージェントは、主要なシナリオに対応するポリシーを評価して、推奨される数を超える例外 (カバレッジの予期しないギャップにつながる) または例外がない (ロックアウトの可能性につながる) 外れ値ポリシーを特定します。
- 詳細な分析 MFA ギャップ分析: エージェントは、テナント内のすべての有効な条件付きアクセス ポリシーをスキャンして、MFA ポリシーの対象になっていないユーザーを特定します。 このスキャンには、ベースライン ポリシーから除外されたユーザー、グループ メンバーシップで見逃されたユーザー、または重複するポリシー間のギャップを通過するユーザーが含まれます。 標準スキャンとは異なり、この分析ではテナント構成全体が評価され、過去 24 時間に制限されることはありません。
- エージェント ID の最小特権アクセス (プレビュー): エージェント ID のうち、未使用または過剰な権限を持つ Microsoft Graph のアクセス許可が付与されているものを識別します。 次に、未使用のアクセス許可の削除や、広範なアクセス許可をより具体的なアクセス許可に置き換えるなど、最小限の特権の適用を推奨します。
Important
管理者が提案を明示的に承認しない限り、エージェントは既存のポリシーに変更を加えません。
エージェントが提案するすべての 新しい ポリシーは、レポート専用モードで作成されます。
2 つのポリシーが 2 つ以下の条件または制御によって異なる場合は、統合できます。
作業の開始
少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。
新しいホーム ページで、エージェント通知カードから [ エージェントに移動 ] を選択します。
左側のメニューから [エージェント] を選択することもできます。
[ 条件付きアクセスの最適化エージェント ] タイルで、[ 詳細の表示] を選択します。
![詳細を表示するためのボタンが強調表示されている [条件付きアクセス エージェント] タイルのスクリーンショット。](media/conditional-access-agent-optimization/view-details.png)
[ エージェントの開始] を選択して、最初の実行を開始します。
![[条件付きアクセスの最適化エージェント] ウィンドウでエージェントを起動するためのボタンを示すスクリーンショット。](media/conditional-access-agent-optimization/start-agent.png)
![詳細を表示するためのボタンが強調表示されている [条件付きアクセス エージェント] タイルのスクリーンショット。](media/conditional-access-agent-optimization/view-details.png#lightbox)
![[条件付きアクセスの最適化エージェント] ウィンドウでエージェントを起動するためのボタンを示すスクリーンショット。](media/conditional-access-agent-optimization/start-agent.png#lightbox)
エージェントの [ 概要 ] タブの [ 最近 使った候補] ボックスに候補が表示されます。 その後、ポリシーを確認し、ポリシーへの影響を判断し、必要に応じて変更を適用できます。 詳細については、「 条件付きアクセスの最適化エージェントの提案を確認して適用する」を参照してください。
設定
エージェントには、組織に固有の機能を拡張するための強力な設定がいくつか含まれています。 [設定] タブで次の機能を構成できます。詳細については、「条件付きアクセスの最適化エージェントの設定」を参照してください。
- エージェントを 24 時間ごとに自動的に実行できるようにします。
- アクティビティベースの実行を有効にして、関連するテナントの変更が発生したときにエージェントをトリガーします (プレビュー)。
- エージェントを設定して、ユーザーとアプリケーションに対する変更を確認します。
- エージェントがレポート専用モードでポリシーを作成できるようにします。
- エージェントがMicrosoft Teamsを介して通知を送信できるようにします。
- エージェントに 段階的なロールアウト 計画の作成を許可します。
- エージェントが パスキー導入キャンペーンを作成できるようにします。
- ServiceNow との統合を有効にして、チケットの自動作成を行います。
- 組織固有の提案に関する ナレッジ ソース をエージェントに提供します。
- insights ダッシュボードを表示して、セキュリティ体制 (プレビュー) に対するエージェント主導のゼロ トラストの機能強化を追跡します。
組み込み連携
条件付きアクセスの最適化エージェントは、デバイス管理に Intune を使用し、ネットワーク アクセスにグローバル セキュリティで保護されたアクセスを使用する組織に対してポリシーの提案を行うことができます。
Intune の統合
条件付きアクセスの最適化エージェントは、Intune と統合して次の操作を行います。
- Intune で構成されたデバイス コンプライアンスとアプリケーション保護ポリシーを監視します。
- 条件付きアクセスの適用における潜在的なギャップを特定します。
このプロアクティブで自動化されたアプローチにより、条件付きアクセス ポリシーは組織のセキュリティ目標とコンプライアンス要件に合わせて維持されます。 エージェントの提案は、Intune がエージェントにシグナルの一部を提供する点を除き、他のポリシー提案と同じです。
Intune シナリオに関するエージェントの提案は、特定のユーザー グループとプラットフォーム (iOS または Android) を対象としています。 たとえば、エージェントは、Finance グループを対象とするアプリ保護用のアクティブな Intune ポリシーを識別しますが、アプリ保護を適用する十分な条件付きアクセス ポリシーがないと判断します。 エージェントは、iOS デバイス上の準拠アプリケーションを介してのみリソースにアクセスすることをユーザーに要求するレポート専用ポリシーを作成します。
Intune デバイスコンプライアンスとアプリ保護ポリシーを識別するには、エージェントがグローバル管理者または条件付きアクセス管理者 および グローバル閲覧者として実行されている必要があります。 エージェントが Intune の提案を生成するには、条件付きアクセス管理者ロールだけでは不十分です。
グローバルなセキュリティで保護されたアクセスの統合
Microsoft Entra Internet Access と Microsoft Entra Private Access (総称してグローバル セキュリティで保護されたアクセス) は、条件付きアクセスの最適化エージェントと統合され、組織のネットワーク アクセス ポリシーに固有の提案を提供します。 ネットワーク アクセス要件を適用するために新しいポリシーを有効にするという提案は、ネットワーク ロケーションと保護されたアプリケーションを含む Global Secure Access ポリシーを整合させるのに役立ちます。
この統合により、エージェントは条件付きアクセス ポリシーの対象ではないユーザーまたはグループを識別し、承認されたグローバル セキュリティで保護されたアクセス チャネル経由でのみ企業リソースへのアクセスを要求します。 このポリシーでは、ユーザーが企業のアプリやデータにアクセスする前に、組織のセキュリティで保護されたグローバル セキュリティで保護されたアクセス ネットワークを使用して企業リソースに接続する必要があります。 管理されていないネットワークまたは信頼されていないネットワークから接続するユーザーは、グローバル セキュア アクセス クライアントまたは Web ゲートウェイを使用するように求められます。 サインイン ログを確認して、準拠している接続を確認できます。
エージェントの削除
条件付きアクセスの最適化エージェントを使用しなくなった場合は、エージェント ウィンドウの上部にある [ エージェントの削除 ] を選択します。 既存のデータ (エージェント アクティビティ、提案、メトリック) は削除されますが、エージェントの提案に基づいて作成または更新されたポリシーはそのまま残ります。 以前に適用された提案は変更されず、エージェントが作成または変更したポリシーを引き続き使用できます。
フィードバックの提供
エージェントに関するフィードバックをMicrosoftするには、エージェント ウィンドウの上部にある Give Microsoft フィードバック ボタンを使用します。
FAQs
条件付きアクセスの最適化エージェントとCopilot Chatを使用する必要がある場合
条件付きアクセスの最適化エージェントと Microsoft Copilot Chatは、条件付きアクセス ポリシーに関するさまざまな分析情報を提供します。 次の表は、2 つの機能を比較しています。
| Scenario | 条件付きアクセスの最適化エージェント | Copilot チャット |
|---|---|---|
| 一般的なシナリオ | ||
| テナント固有の構成 | ✅ | |
| 高度な推論 | ✅ | |
| オンデマンド分析情報 | ✅ | |
| 対話型のトラブルシューティング | ✅ | |
| 継続的なポリシー評価 | ✅ | |
| 自動化された改善の提案 | ✅ | |
| 証明機関 (CA) のベスト プラクティスと構成に関するガイダンス | ✅ | ✅ |
| 具体的シナリオ | ||
| 保護されていないユーザーまたはアプリケーションのプロアクティブな識別 | ✅ | |
| すべてのユーザーに対する MFA およびその他のベースライン制御の適用 | ✅ | |
| CA ポリシーの継続的な監視と最適化 | ✅ | |
| ボタンひとつでポリシー変更 | ✅ | |
| 既存の CA ポリシーと割り当てのレビュー ("ポリシーは Alice に適用されますか?") | ✅ | ✅ |
| ユーザーのアクセスのトラブルシューティング ("Alice が MFA を求められた理由?") | ✅ |
エージェントをアクティブ化しましたが、アクティビティの状態は [失敗] です。 どうしたんですか。
Privileged Identity Management (PIM) によるロールのアクティブ化が必要なアカウントを使用して、Microsoft Ignite 2025 より前にエージェントをアクティブ化した可能性があります。 そのため、エージェントが実行を試みたときに、その時点でアカウントに必要なアクセス許可がないため、失敗しました。 2025 年 11 月 17 日以降にアクティブ化された条件付きアクセス最適化エージェントでは、アクティブ化したユーザーの ID は使用されなくなりました。
この問題は、Microsoft Entra エージェント ID に移行することで解決できます。 エージェント ページのバナー メッセージまたはエージェント設定の [ID とアクセス許可] セクションから、[エージェント ID の作成] を選択します。