次の方法で共有

条件付きアクセス最適化エージェントのナレッジ ベース (プレビュー)

条件付きアクセス ポリシーを使用してリソースへのアクセスを保護する組織は、基準とパターンを確立して整理する必要があります。 たとえば、一貫性のある名前付け規則を使用すると、ポリシーの重複やギャップを防ぎ、整理を維持できます。 条件付きアクセスの最適化エージェントは、これらの標準をマッピングするあなたの組織のドキュメントを活用し、設計されたパターンを適用して、その文脈を考慮に入れながら操作を行うことができます。

エージェントには、一般的なベスト プラクティスのみに依存するのではなく、ポリシーの名前付け方法、管理者を通常のユーザーから分離する方法、常に除外する必要があるアカウントなど、組織独自の規則が組み込まれています。 これにより、テナントでの条件付きアクセスの管理方法をより適切に反映する推奨事項が生成されます。

ナレッジ ベースは、次のような環境で特に役立ちます。

  • 異なるユーザー ペルソナには、管理者、従業員ユーザー、請負業者などの個別のポリシー セットが必要です
  • ポリシーの名前付け標準が適用される
  • Breakglass アカウントは一貫して除外する必要があります

ナレッジ ベースのしくみ

ナレッジ ベースを設定して使用する一般的なプロセスは次のとおりです。

  1. アップロード ガイダンス: 管理者は、組織の条件付きアクセス標準を記述した 1 つの Word (.docx) または PDF ドキュメントをアップロードします。

  2. エージェントによる解釈: エージェントは、より広範なガバナンスまたは運用ドキュメントに埋め込まれている場合でも、ドキュメントを解析し、条件付きアクセス関連のガイダンスを抽出します。

  3. 構造化された理解: エージェントは、アップロードされたガイダンスの理解を表す自然言語の概要を生成します。

  4. 今後の推奨事項へのアプリケーション: 承認された理解は、エージェントによって生成される今後の条件付きアクセスの推奨事項に適用されます。 既存の推奨事項はさかのぼって変更されません。

ナレッジ ベースにガイダンスを正常に追加すると、条件付きアクセスの最適化エージェントは、いくつかの重要な領域のガイダンスに従うことができます。

ペルソナベースのポリシー設計

個別の条件付きアクセス ポリシーを使用して、さまざまなユーザー集団をセキュリティで保護する方法を説明できます。 その例は次のとおりです。

  • 管理者は専用のポリシー セットを使用します
  • 通常の従業員ユーザーが別のベースライン ポリシー セットを使用する
  • 請負業者は、独自のポリシーによって管理されます

複数のポリシーが同じ制御 (MFA など) を適用する場合、エージェントはこのガイダンスを使用して、ユーザーのペルソナに基づいて適切なポリシーを選択します。

ポリシーの名前付け規則

必要な構造、順序、用語など、条件付きアクセス ポリシーの名前付け方法を指定できます。

エージェントは、次の場合にこのガイダンスを使用します。

  • 新しいポリシーの作成
  • 同様のポリシーのマージ
  • ポリシー名の変更に関する推奨事項の生成

Breakglass アカウントの処理

緊急アクセス (ブレークグラス) ID を表すアカウントまたはグループと、それらの除外方法を定義できます。

エージェントは、次の場合にこのガイダンスを適用します。

  • 新しいポリシーの作成
  • 不足している除外の特定
  • 既存のポリシーに対する更新プログラムの推奨

ナレッジ ベースの影響を受けた推奨事項

次のシナリオでは、条件付きアクセス最適化エージェントでナレッジ ベースを使用できます。

  • ベースライン ポリシーの作成: 新しく推奨されるポリシーは、テナントの名前付け基準に従い、正しい除外を含めます。

  • ポリシーのマージに関する推奨事項: 同様のポリシーが統合されると、結果のポリシーには組織の標準が反映されます。

  • ユーザー ドリフトの修復: 新しいユーザーが既存の対象範囲外になると、エージェントはペルソナのガイダンスに基づいて適切なポリシーを選択します。

  • Breakglass の修復: 緊急アクセスアカウントを除外するための推奨事項には、適切なユーザーまたはグループが含まれます。

  • ポリシーの名前付けの修復: ポリシーが定義された名前付け基準に従っていない場合、エージェントは適切な名前の置換を推奨します。

ナレッジ ベースを使用する必要がある場合

組織のナレッジ ベースを使用することを検討してください。

  • 厳密な条件付きアクセスの名前付け標準を維持する
  • ユーザー ペルソナまたはリスク プロファイルによってポリシーを分離します
  • 条件付きアクセス ポリシーを定期的に監査する
  • 内部ガバナンス プロセスに合わせて推奨事項が必要

スコープと制限事項

プレビュー期間中、ナレッジ ベースには次の制約があります。

  • テナントごとに 1 つのナレッジ ベース ドキュメント
  • サポートされているファイル形式: Word (.docx) と PDF
  • 最大ファイル サイズ: 5 MB
  • ナレッジ ベースは、今後のエージェントの実行にのみ適用されます

ドキュメントが一覧の条件を満たしていない場合、アップロード プロセスが失敗する可能性があります。 ドキュメントに秘密度ラベルが適用されている場合は、アップロードも失敗する可能性があります。 組織は秘密度ラベルの条件をカスタマイズできるため、特定の秘密度ラベルを提案することはできません。

  • Last updated on