条件付きアクセスの最適化エージェントは、すべてのユーザー、アプリケーション、およびエージェント ID が条件付きアクセス ポリシーによって保護されるようにするのに役立ちます。 エージェントは、 ゼロ トラスト と Microsoft の学習に合わせたベスト プラクティスに基づいて、新しいポリシーを推奨し、既存のポリシーを更新できます。 また、エージェントはポリシー レビュー レポート (プレビュー) を作成します。このレポートでは、ポリシーの構成ミスを示す可能性のあるスパイクや急落に関する分析情報が提供されます。
条件付きアクセスの最適化エージェントは、多要素認証 (MFA) の要求、デバイス ベースの制御 (デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイス) の適用、レガシ認証とデバイス コード フローのブロックなどのポリシーを評価します。 エージェントは、既存のすべての有効なポリシーを評価して、同様のポリシーの潜在的な統合を提案します。 エージェントが提案を識別したら、ワンクリック是正を使ってエージェントに関連ポリシーを更新させることができます。
Important
条件付きアクセス最適化エージェントの ServiceNow とMicrosoft Teamsの統合は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
[前提条件]
- 少なくとも Microsoft Entra ID P1 ライセンスが必要です。
- 使用可能な セキュリティ コンピューティング ユニット (SCU) が必要です。
- 平均して、各エージェントの実行で消費される SCU は 1 つ未満です。
- 適切な Microsoft Entra ロールが必要です。
- セキュリティ管理者 は、 エージェントを初めてアクティブ化する必要があります。
- セキュリティ閲覧者 ロールと グローバル閲覧者 ロールは 、エージェントと提案を表示できますが、アクションを実行することはできません。
- 条件付きアクセス管理者 ロールと セキュリティ管理者 ロールは 、エージェントを表示し、提案に対してアクションを実行できます。
- 条件付きアクセス管理者にセキュリティCopilot アクセスを割り当てることができます。これによって、条件付きアクセス管理者もエージェントを使用できるようになります。
- 詳細については、「セキュリティCopilotのアクセスの割り当て」を参照してください。
- デバイス ベースのコントロールには 、Microsoft Intune ライセンスが必要です。
- Microsoft Security Copilot のプライバシーとデータ セキュリティを確認します。
制限事項
- アカウントを使用して、Privileged Identity Management (PIM) を使用してロールのアクティブ化を必要とするエージェントを設定しないでください。 永続的なアクセス許可を持たないアカウントを使用すると、エージェントの認証エラーが発生する可能性があります。
- エージェントを起動すると、エージェントを停止または一時停止することはできません。 実行には数分かかる場合があります。
- ポリシー統合の場合、各エージェントの実行では、同様の 4 つのポリシー ペアのみが検索されます。
- Microsoft Entra 管理センターからエージェントを実行することをお勧めします。
- スキャンは 24 時間に制限されます。
- エージェントからの提案をカスタマイズまたはオーバーライドすることはできません。
- エージェントは、1 回の実行で最大 300 人のユーザーと 150 のアプリケーションを確認できます。
動作方法
条件付きアクセスの最適化エージェントは、過去 24 時間の新しいユーザー、アプリケーション、およびエージェント ID をテナントでスキャンし、条件付きアクセス ポリシーが適用されるかどうかを判断します。 エージェントが条件付きアクセス ポリシーによって保護されていないユーザー、アプリケーション、またはエージェント ID を見つけた場合は、条件付きアクセス ポリシーの有効化や変更など、推奨される次の手順が提供されます。 提案、エージェントがソリューションを識別した方法、およびポリシーに含まれる内容を確認できます。
エージェントが実行されるたびに、次の手順が実行されます。 これらの初期スキャン手順では、SCU は使用されません。
- エージェントは、テナント内のすべての条件付きアクセス ポリシーをスキャンします。
- エージェントは、ポリシーのギャップと、ポリシーを組み合わせることができるかどうかを確認します。
- エージェントは以前の提案を確認するため、同じポリシーが再度提案されることはありません。
エージェントが、以前に提案されていないものを識別した場合は、次の手順を実行します。 これらのエージェント アクションステップでは、SCU が使用されます。
- エージェントは、統合可能なポリシーギャップまたはポリシーのペアを識別します。
- エージェントは、指定したカスタム命令を評価します。
- エージェントは、レポート専用モードで新しいポリシーを作成するか、カスタム命令によって提供されるロジックを含め、ポリシーを変更するための提案を提供します。
注
Security Copilot では、テナントに少なくとも 1 つの SCU がプロビジョニングされている必要がありますが、SKU を使用しない場合でも、その SCU は毎月課金されます。 エージェントをオフにしても、SCU の毎月の課金は停止されません。
エージェントによって識別されるポリシーの提案は次のとおりです。
- MFA を要求する: エージェントは、MFA を必要とし、ポリシーを更新できる条件付きアクセス ポリシーの対象になっていないユーザーを識別します。
- デバイス ベースの制御が必要: エージェントは、デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイスなどのデバイス ベースの制御を適用できます。
- レガシ認証をブロックする: レガシ認証を持つユーザー アカウントのサインインがブロックされます。
- デバイス コード フローをブロックする: エージェントは、デバイス コード フロー認証をブロックするポリシーを探します。
- 危険なユーザー: エージェントは、リスクの高いユーザーに対してセキュリティで保護されたパスワードの変更を要求するポリシーを提案します。 Microsoft Entra ID P2 ライセンスが必要です。
- 危険なサインイン: エージェントは、リスクの高いサインインに多要素認証を要求するポリシーを提案します。Microsoft Entra ID P2 ライセンスが必要です。
- 危険なエージェント: エージェントは、リスクの高いサインインの認証をブロックするポリシーを提案します。Microsoft Entra ID P2 ライセンスが必要です。
- ポリシーの統合: エージェントはポリシーをスキャンし、重複する設定を識別します。 たとえば、同じ許可制御を持つポリシーが複数ある場合、エージェントはそれらのポリシーを 1 つに統合することを提案します。
- 詳細な分析: エージェントは、主要なシナリオに対応するポリシーを調べて、推奨される数を超える例外 (カバレッジの予期しないギャップにつながる) または例外がない (ロックアウトの可能性につながる) 外れ値ポリシーを特定します。
Important
管理者が提案を明示的に承認しない限り、エージェントは既存のポリシーに変更を加えません。
エージェントによって提案されたすべての 新しい ポリシーは、レポート専用モードで作成されます。
2 つのポリシーが 2 つ以下の条件または制御によって異なる場合は、統合できます。
作業の開始
少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。
新しいホーム ページで、エージェント通知カードから [ エージェントに移動 ] を選択します。
- 左側のナビゲーション メニューから [エージェント] を選択することもできます。
[条件付きアクセスの最適化エージェント] タイルで [ 詳細の表示 ] を選択します。
![[詳細の表示] ボタンが強調表示されている [条件付きアクセス エージェント] タイルのスクリーンショット。](media/conditional-access-agent-optimization/view-details.png)
[ エージェントの開始] を選択して、最初の実行を開始します。 PIM によってアクティブ化されたロールを持つアカウントを使用しないでください。
![[条件付きアクセスの最適化の開始エージェント] ページを示すスクリーンショット。](media/conditional-access-agent-optimization/start-agent.png)
![[詳細の表示] ボタンが強調表示されている [条件付きアクセス エージェント] タイルのスクリーンショット。](media/conditional-access-agent-optimization/view-details.png#lightbox)
![[条件付きアクセスの最適化の開始エージェント] ページを示すスクリーンショット。](media/conditional-access-agent-optimization/start-agent.png#lightbox)
エージェントの概要ページが読み込まれると、[最近使った候補] ボックスに 候補 が表示されます。 提案が特定された場合は、ポリシーを確認し、ポリシーへの影響を判断し、必要に応じて変更を適用できます。 詳細については、「 条件付きアクセス エージェントの提案を確認して承認する」を参照してください。
![[レビューの提案] ボタンが強調表示されているエージェントの概要と最近の提案のスクリーンショット。](media/conditional-access-agent-optimization/review-suggestions.png#lightbox)
設定
エージェントが有効になったら、いくつかの設定を調整できます。 変更を行った後、ページの下部にある [保存 ] ボタンを選択します。 この設定には、Microsoft Entra 管理センターの 2 つの場所からアクセスできます。
- [エージェント]>[条件付きアクセス最適化エージェント]>[設定] から。
- [条件付きアクセス] から>ポリシーの概要設定の下にある >] カードを選択します。
トリガー
エージェントは、最初に構成された時間に基づいて 24 時間ごとに実行するように構成されます。 エージェントの実行タイミングを変更するには、[ トリガー ] 設定をオフに切り替えてから、実行するタイミングを再度オンにします。
監視する Microsoft Entra オブジェクト
Microsoft Entra オブジェクトの下にあるチェック ボックスを使用して、ポリシーの推奨事項を作成するときにエージェントが監視する必要がある内容を指定します。 既定では、エージェントは、過去 24 時間にわたってテナント内の新しいユーザーとアプリケーションの両方を検索します。
エージェント機能
既定では、条件付きアクセス最適化エージェントは レポート専用モードで新しいポリシーを作成できます。 この設定を変更して、管理者が新しいポリシーを作成する前に承認する必要があります。 ポリシーは引き続きレポート専用モードで作成されますが、管理者の承認後にのみ作成されます。 ポリシーへの影響を確認したら、エージェント エクスペリエンスまたは条件付きアクセスから直接ポリシーを有効にすることができます。
Notifications
プレビュー機能の一部として、条件付きアクセスの最適化エージェントは、Microsoft Teamsを介して一連の受信者に通知を送信できます。 Microsoft Teamsの 条件付きアクセス エージェント アプリを使用すると、受信者は、エージェントが新しい提案を表示したときに、Teams チャットで直接通知を受け取ります。
エージェント アプリをMicrosoft Teamsに追加するには:
Microsoft Teamsで、左側のナビゲーション メニューから [アプリ ] を選択し、 条件付きアクセス エージェントを検索して選択します。
![Teams の [条件付きアクセス アプリ] ボタンのスクリーンショット。](media/conditional-access-agent-optimization/agent-teams-app.png)
[ 追加 ] ボタンを選択し、[ 開く ] ボタンを選択してアプリを開きます。
アプリへのアクセスを容易にするには、左側のナビゲーション メニューでアプリ アイコンを右クリックし、[ ピン留め] を選択します。
![Teams の [条件付きアクセス アプリ] ボタンのスクリーンショット。](media/conditional-access-agent-optimization/agent-teams-app.png#lightbox)
条件付きアクセスの最適化エージェントの設定で通知を構成するには:
条件付きアクセスの最適化エージェントの設定で、[ ユーザーとグループの選択 ] リンクを選択します。
通知を受信するユーザーまたはグループを選択し、[選択] ボタンを 選択 します。
メインの [設定] ページの下部にある [保存 ] ボタンを選択します。
通知を受信する受信者は最大 10 人まで選択できます。 通知を受信するグループを選択できますが、そのグループのメンバーシップは 10 人を超えることはできません。 ユーザー数が 10 人未満で、後で追加されるグループを選択した場合、グループは通知を受け取らなくなります。 同様に、通知は、個々のユーザーまたはグループの組み合わせなど、5 つのオブジェクトにのみ送信できます。 通知の受信を停止するには、受信者の一覧からユーザー オブジェクトまたは含まれているグループを削除します。
現時点では、エージェントの通信は一方向であるため、通知を受信できますが、Microsoft Teamsで応答することはできません。 提案に対してアクションを実行するには、チャットから [ 提案の確認 ] を選択して、Microsoft Entra 管理センターで条件付きアクセス最適化エージェントを開きます。
段階的なロールアウト
エージェントがレポート専用モードで新しいポリシーを作成すると、ポリシーは段階的にロールアウトされるため、新しいポリシーの効果を監視できます。 段階的ロールアウトは既定でオンになっています。
各フェーズ間の日数は、スライダーをドラッグするか、テキスト ボックスに数値を入力することで変更できます。 各フェーズ間の日数は、すべてのフェーズで同じです。 ロールアウトを一時停止する必要がある場合に備えて、次のフェーズが開始される前に影響を監視するのに十分な時間で段階的なロールアウトを開始していることを確認します。そのため、ロールアウトは週末または休日に開始されません。
ID とアクセス許可
エージェントの ID とアクセス許可に関して考慮すべきいくつかの重要なポイントがあります。
条件付きアクセスの最適化エージェントで Microsoft Entra エージェント ID がサポートされるようになりました。これにより、エージェントは特定のユーザーの ID ではなく、独自の ID で実行できるようになりました。 これにより、セキュリティが向上し、管理が簡素化され、柔軟性が向上します。
- 新しいインストールは、既定でエージェント ID で実行されます。
- 既存のインストールでは、特定のユーザー コンテキストでの実行から切り替えて、エージェント ID でいつでも実行できます。
- この変更は、レポートや分析には影響しません。
- 既存のポリシーと推奨事項は影響を受けません。
- お客様は、ユーザー コンテキストに切り替えることはできません。
- セキュリティ管理者ロールまたはグローバル管理者ロールを持つ Admiins は、 エージェント設定に移動し、[ エージェント ID の作成 ] を選択して切り替えることができます。
セキュリティ管理者は、既定で Security Copilot にアクセスできます。 条件付きアクセス管理者には、セキュリティ のCopilot アクセスを割り当てることができます。 この承認により、条件付きアクセス管理者もエージェントを使用できるようになります。 詳細については、「セキュリティCopilotのアクセスの割り当て」を参照してください。
ポリシーにユーザーを追加する提案を承認したユーザーは、ポリシーにユーザーを追加する新しいグループの所有者になります。
エージェントによって実行されるアクションの監査ログは、エージェントを有効にしたユーザーまたはエージェント ID に関連付けられます。 アカウントの名前は、設定の [ID とアクセス許可 ] セクションで確認できます。
![条件付きアクセスの最適化エージェント設定の [ID とアクセス許可] セクションのスクリーンショット。](media/conditional-access-agent-optimization/identity-permissions.png)
![条件付きアクセスの最適化エージェント設定の [ID とアクセス許可] セクションのスクリーンショット。](media/conditional-access-agent-optimization/identity-permissions.png#lightbox)
ServiceNow 統合 (プレビュー)
Security Copilot に ServiceNow プラグインを使用する組織は、条件付きアクセス最適化エージェントに、エージェントが生成する新しい提案ごとに ServiceNow 変更要求を作成できるようになりました。 これにより、IT チームとセキュリティ チームは、既存の ServiceNow ワークフロー内でエージェントの提案を追跡、確認、承認、または拒否できます。 現時点では、変更要求 (CHG) のみがサポートされています。
ServiceNow 統合を使用するには、組織で ServiceNow プラグイン が構成されている必要があります。
条件付きアクセスの最適化エージェントの設定で ServiceNow プラグインを有効にすると、エージェントからの新しい提案ごとに ServiceNow 変更要求が作成されます。 変更要求には、ポリシーの種類、影響を受けるユーザーまたはグループ、推奨事項の根拠など、提案に関する詳細が含まれます。 統合によってフィードバック ループも提供されます。エージェントは ServiceNow 変更要求の状態を監視し、変更要求が承認されたときに変更を自動的に実装できます。
カスタム手順
オプションの [ ユーザー設定の指示 ] フィールドを使用して、ニーズに合わせてポリシーを調整できます。 この設定を使用すると、実行の一部としてエージェントにプロンプトを表示できます。 次の手順を使用できます。
- 特定のユーザー、グループ、ロールを含めるまたは除外する
- エージェントによって検討されたり、条件付きアクセス ポリシーに追加されたりするオブジェクトを除外する
- ポリシーから特定のグループを除外する、MFA を要求する、モバイル アプリケーション管理ポリシーを要求するなど、特定のポリシーに例外を適用します。
カスタム命令には、名前またはオブジェクト ID を入力できます。 両方の値が検証されます。 グループの名前を追加すると、そのグループのオブジェクト ID が自動的に追加されます。 カスタム命令の例:
- "多要素認証を必要とするポリシーから "Break Glass" グループのユーザーを除外します。
- "オブジェクト ID dddddddd-3333-4444-5555-eeeeeeeee を持つユーザーをすべてのポリシーから除外する"
考慮すべき一般的なシナリオは、エージェントが標準の条件付きアクセス ポリシーへの追加を提案したくないゲスト ユーザーが組織に多数ある場合です。 エージェントが実行され、推奨されるポリシーの対象になっていない新しいゲスト ユーザーが表示される場合は、必要のないポリシーでこれらのゲスト ユーザーをカバーすることを提案するために SKU が使用されます。 ゲスト ユーザーがエージェントによって考慮されないようにするには:
-
(user.userType -eq "guest")"ゲスト" という動的グループを作成します。 - ニーズに基づいてカスタム命令を追加します。
- "エージェントの考慮事項から "ゲスト" グループを除外します。
- "モバイル アプリケーション管理ポリシーから "ゲスト" グループを除外します。
カスタム手順の使用方法の詳細については、次のビデオを参照してください。
ユーザー インターフェイス要素など、ビデオ内のコンテンツの一部は、エージェントが頻繁に更新されるため、変更される可能性があることに注意してください。
Intune の統合
条件付きアクセスの最適化エージェントは、Microsoft Intune と統合して、Intune で構成されたデバイス コンプライアンスとアプリケーション保護ポリシーを監視し、条件付きアクセスの適用における潜在的なギャップを特定します。 このプロアクティブで自動化されたアプローチにより、条件付きアクセス ポリシーは組織のセキュリティ目標とコンプライアンス要件に合わせて維持されます。 エージェントの提案は、Intune がエージェントにシグナルの一部を提供する点を除き、他のポリシー提案と同じです。
Intune シナリオに関するエージェントの提案は、特定のユーザー グループとプラットフォーム (iOS または Android) を対象としています。 たとえば、エージェントは、"Finance" グループを対象とするアクティブな Intune アプリ保護ポリシーを識別しますが、アプリ保護を適用する十分な条件付きアクセス ポリシーがないことを判断します。 エージェントは、iOS デバイス上の準拠アプリケーションを介してのみリソースにアクセスすることをユーザーに要求するレポート専用ポリシーを作成します。
Intune デバイスコンプライアンスとアプリ保護ポリシーを識別するには、エージェントがグローバル管理者または条件付きアクセス管理者およびグローバル閲覧者として実行されている必要があります。 条件付きアクセス管理者だけでは、エージェントが Intune の提案を生成するには不十分です。
グローバルなセキュリティで保護されたアクセスの統合
Microsoft Entra Internet Access と Microsoft Entra Private Access (総称してグローバル セキュリティで保護されたアクセス) は、条件付きアクセスの最適化エージェントと統合され、組織のネットワーク アクセス ポリシーに固有の提案を提供します。 提案、新しいポリシーをオンにして、グローバル セキュア アクセス ネットワークのアクセス要件を適用することは、ネットワークの位置と保護されたアプリケーションを含むグローバル セキュア アクセス ポリシーを調整するのに役立ちます。
この統合により、エージェントは条件付きアクセス ポリシーの対象ではないユーザーまたはグループを識別し、承認されたグローバル セキュリティで保護されたアクセス チャネル経由でのみ企業リソースへのアクセスを要求します。 このポリシーでは、ユーザーが企業のアプリやデータにアクセスする前に、組織のセキュリティで保護されたグローバル セキュリティで保護されたアクセス ネットワークを使用して企業リソースに接続する必要があります。 管理されていないネットワークまたは信頼されていないネットワークから接続しているユーザーは、グローバル セキュリティで保護されたアクセス クライアントまたは Web ゲートウェイを使用するように求められます。 サインイン ログを確認して、準拠している接続を確認できます。
エージェントの削除
条件付きアクセスの最適化エージェントを使用しなくなった場合は、エージェント ウィンドウの上部にある [ エージェントの削除 ] を選択します。 既存のデータ (エージェント アクティビティ、提案、メトリック) は削除されますが、エージェントの提案に基づいて作成または更新されたすべてのポリシーはそのまま残ります。 以前に適用された提案は変更されず、エージェントによって作成または変更されたポリシーを引き続き使用できます。
フィードバックの提供
エージェント ウィンドウの上部にある [ Microsoft フィードバックの提供 ] ボタンを使用して、エージェントに関するフィードバックを Microsoft に提供します。
FAQs
条件付きアクセス最適化エージェントと Copilot Chat を使用する必要がある場合
どちらの機能も、条件付きアクセス ポリシーに関するさまざまな分析情報を提供します。 次の表に、2 つの機能の比較を示します。
| Scenario | 条件付きアクセスの最適化エージェント | Copilot チャット |
|---|---|---|
| 一般的なシナリオ | ||
| テナント固有の構成を利用する | ✅ | |
| 高度な推論 | ✅ | |
| オンデマンド分析情報 | ✅ | |
| 対話型のトラブルシューティング | ✅ | |
| 継続的なポリシー評価 | ✅ | |
| 自動化された改善の提案 | ✅ | |
| CA のベスト プラクティスと構成に関するガイダンスを取得する | ✅ | ✅ |
| 特定のシナリオ | ||
| 保護されていないユーザーまたはアプリケーションを事前に特定する | ✅ | |
| すべてのユーザーに対して MFA とその他のベースライン制御を適用する | ✅ | |
| CA ポリシーの継続的な監視と最適化 | ✅ | |
| ボタンひとつでポリシー変更 | ✅ | |
| 既存の CA ポリシーと割り当てを確認する (ポリシーは Alice に適用されますか? | ✅ | ✅ |
| ユーザーのアクセスのトラブルシューティング (Alice が MFA を求められた理由) | ✅ |
エージェントをアクティブ化しましたが、アクティビティの状態に "失敗" と表示されます。 どうしたんですか。
Privileged Identity Management (PIM) によるロールのアクティブ化を必要とするアカウントでエージェントが有効になっている可能性があります。 そのため、エージェントが実行を試みたときに、その時点でアカウントに必要なアクセス許可がないため、失敗しました。 PIM アクセス許可の有効期限が切れた場合は、再認証を求められます。
この問題を解決するには、エージェントを削除してから、Security Copilot アクセスの永続的なアクセス許可を持つユーザー アカウントでエージェントを再度有効にします。 詳細については、「セキュリティCopilotのアクセスの割り当て」を参照してください。