注:
脆弱性修復エージェントは現在、限定されたパブリック プレビュー段階にあり、一部の顧客グループのみが使用できます。 アクセス権の取得に関心がある場合、または詳細を確認したい場合は、営業チームに連絡して詳細と次の手順を確認してください。
パブリック プレビューでは、Intune のSecurity Copilotの脆弱性修復エージェントは、Microsoft Defender 脆弱性の管理のデータを使用して、マネージド デバイス上の一般的な脆弱性と露出 (CVEs) を識別します。 結果は修復の優先順位付けされ、Intuneを使用して脅威を修復するための手順が含まれています。 この Copilot エージェントは、脅威の調査、特定、修復にかかる時間を短縮し、最終的にorganizationの全体的なセキュリティ体制を改善するのに役立ちます。
エージェントを実行すると、Microsoft Defender 脆弱性の管理からのデータが分析され、Intune管理センターに表示される候補の優先順位付けされた一覧が提供されます。 各候補にドリルインして、次のような詳細を表示できます。
- 関連する脆弱性 (CVEs) の数
- Copilot 支援の要約された影響分析
- 推奨されるアクション
- 影響を受けるシステム
- 公開されているデバイス
- 潜在的な影響
- Intuneを使用して修復するための詳細なガイダンス
エージェントの提案を修復したら、エージェントに適用済みとしてマークし、時間の経過に伴う修復アクションの追跡に使用できるレコードをエージェントに保持させることができます。
CVE の詳細と推奨される修復ガイダンスは時間の経過と同時に変化する可能性があるため、エージェントの後続の実行により、新しい詳細、デバイス数、修復手順が提供される場合があります。 脅威に関する後続のレポートを管理する際に、以前に適用したソリューションの記録は、以前の修復に基づいて特定のリスクへの変更を追跡するのに役立ちます。
Intuneのその他のSecurity Copilot エージェントと一般的な機能については、「Microsoft IntuneのエージェントSecurity Copilot」を参照してください。
前提条件
ライセンスとプラグイン
Microsoft Intune プラン 1 サブスクリプション - このサブスクリプションは、コア Intune機能を提供します。
Microsoft Security Copilot - Security CopilotはテナントをIntuneと共有する必要があり、エージェントを設定するには、アカウントにSecurity Copilotのワークスペースに対するアクセス許可が必要です。 詳細については、「Microsoft Security Copilotの概要」を参照してください。
セキュリティ コンピューティング ユニット (SCU) - エージェントを含むSecurity Copilotワークロードに電力を供給するのに十分な SKU が必要です。
Microsoft Defender 脆弱性の管理 - この機能は、Microsoft Defender for Endpoint P2 または Defender 脆弱性の管理 スタンドアロンによって提供されます。
政府機関向けクラウド サポート
脆弱性修復エージェントの現在のリリースはパブリック クラウドでサポートされていますが、政府のクラウドではサポートされていません。
サポートされているアプリケーションとプラットフォーム
脆弱性修復エージェントは、次のアプリケーションとプラットフォームの評価と推奨事項をサポートします。
- Windows 10
- Windows 11
- Intuneのアプリ
役割ベースのアクセス制御
Intune管理者 (管理者) が脆弱性修復エージェントを正常に管理または使用するには、次のセクションで説明するように、Intune、Microsoft Defender、Security Copilotのロールベースのアクセス制御 (RBAC) を割り当てる必要があります。
エージェントを管理および使用するために RBAC ロールとアクセス許可を管理者に割り当てる場合は、最小限の特権を持つ組み込み RBAC ロールまたは管理タスクを完了するために必要な最小限のアクセス許可を含むカスタム ロールを割り当てます。
| アクション | Microsoft Intune | Microsoft Defender | Security Copilot |
|---|---|---|---|
| セットアップと削除 | 管理には、Intune ライセンスを割り当てる必要があります。 アクセス許可 (組み込みロールまたはカスタム ロール) には、次のものが含まれている必要があります。 - マネージド アプリ/読み取り - モバイル アプリ/読み取り - デバイス構成/読み取り 最小特権Intune組み込みロール: 読み取り専用演算子。 |
管理者は、Microsoft Entraセキュリティ閲覧者ロールと同じアクセス許可を持っている必要があります。 | 管理者は Copilot 所有者である必要があります。 |
| インストール済みエージェントの操作 | 管理には、Intune ライセンスを割り当てる必要があります。 アクセス許可 (組み込みロールまたはカスタム ロール) には、次のものが含まれている必要があります。 - マネージド アプリ/読み取り - モバイル アプリ/読み取り - デバイス構成/読み取り 最小特権Intune組み込みロール: 読み取り専用演算子。 |
管理者は、Microsoft Entraセキュリティ閲覧者ロールと同じアクセス許可を持っている必要があります。 | 管理者は Copilot 共同作成者である必要があります。 |
重要
脆弱性修復エージェントは、エージェントを設定した管理者の ID とアクセス許可で実行されます。 パブリック プレビュー中は、ID を編集できません。 この ID を変更するには、エージェントを削除して、もう一度設定する必要があります。
エージェントによって報告され、エージェントの提案を通じて表示されるデータは、そのデータがロールまたはスコープに割り当てられている管理者の外部にある場合でも、Intune管理センター内のエージェントを表示するためのアクセス権を持つ管理者Intune表示される場合があります。
制限事項
- 管理者はエージェントを手動で開始する必要があります。 エージェントが起動すると、エージェントを停止または一時停止するオプションはありません。
- エージェントは、最初にエージェントを設定したIntune管理者の ID とアクセス許可で永続的に実行されます。 この ID は、エージェントの実行ごとに更新され、エージェントが 90 日間連続して実行されていない場合は有効期限が切れます。 承認された期間の終了に関する通知はありません。 エージェントを再認証するには、エージェントを 削除 してから、もう一度 設定 する必要があります。
- エージェントは、Microsoft Intune管理センター内からのみ開始します。
- 関連付けられた CVEs には、Windows 10および 11 個のクライアント オペレーティング システム エディションを持つデバイスの CVEs の数が含まれますが、Windows Server エディションのデバイスは除外されます。 CVEs は、CVSS (共通脆弱性スコアリング システム) スケールに従って、低、中、高、およびクリティカルで分類されます。
- 公開されているデバイスの一覧には、Microsoft Entraにあるデバイスのみが含まれており、Windows Serverエディションではありません。
- エージェントでは、パブリック プレビューでのスコープ タグはサポートされていません。
- Microsoft Security Copilot ポータルでセッションの詳細を表示できるのは、エージェントを設定したユーザーだけです。
はじめに
セットアップ プロセスを完了して、脆弱性修復エージェントを初めて開始します。
必要な RBAC アクセス許可を持ち、ワークスペースSecurity Copilotテナントにアクセスできるアカウントを使用して、Microsoft Intune管理センターにサインインします。
管理センターの [ホーム] 画面で、[Security Copilotの概要] バナーを見つけて、[脆弱性修復エージェント (プレビュー)] タイルを選択します。 管理センターは、[ エンドポイント セキュリティ>Vulnerability Remediation Agent (プレビュー)] ページを開きます。
![[脆弱性修復エージェント] タイルを含むIntune管理センターのホーム ページを表示するスクリーンショット。](media/vulnerability-remediation-agent/agent-set-up.png)
[ エージェントのセットアップ ] を選択して、セットアップ ウィンドウを開きます。 このウィンドウにはエージェントに関する詳細が表示されますが、構成は必要ありません。 詳細を確認して要件が満たされていることを確認し、[ エージェントの開始 ] を選択してセットアップ ウィンドウを閉じ、エージェントの最初の実行を開始します。
![[脆弱性修復エージェントのセットアップ] ページと [エージェントの開始] ボタンを表示するスクリーンショット。](media/vulnerability-remediation-agent/set-up-and-start-agent.png)
エージェントは完了するまで実行され、その結果が管理センターの [脆弱性修復エージェント] ウィンドウに表示されます。
脆弱性とエージェントを管理する
エージェントの初期実行が完了すると、管理者は、Intune管理センターの脆弱性修復エージェントの提案を確認して管理できます。 [Endpoint security>Vulnerability Remediation Agent (プレビュー)] に移動します。 既定では、エージェント ページが [ 概要 ] タブに表示されます。このタブでは、管理者は脆弱性の優先順位付けされた一覧を表示し、詳細と修復手順をドリルインし、エージェントの実行履歴を表示できます。
もう 1 つの使用可能なタブは [設定] タブで、エージェントの構成に関する詳細が制限されます。
[概要] タブ
脆弱性修復エージェントの実行が完了すると、[概要] タブが更新され、エージェントによって上位の脆弱性の一覧が優先されます。
このタブでは、次の情報を使用できます。
- エージェントの可用性と実行状態
- 脆弱性の優先順位付けされた一覧であるエージェントの提案。
- 過去のエージェント アクティビティの一覧。
エージェントの提案
エージェントの提案は、Microsoft Defender 脆弱性の管理からのデータに基づいて特定された上位の脆弱性の優先順位付けされた一覧です。 この情報は、Microsoft Defender コンソールで表示できる情報と若干異なる場合があります。
この一覧には、次の列の詳細も表示されます。
推奨される次の手順: 推奨 される各次の手順 は、 提案されたアクション ウィンドウを開くリンクです。 [推奨されるアクション] ウィンドウには、関連する脆弱性に関する詳細 (マネージド デバイスIntune)、脅威を修復するために推奨されるアクション、および修復を適用済みとしてマークするオプションが表示されます。
修復ガイダンスは、次のカテゴリに分類されます。
アプリ - アプリを修復するために、エージェントは、更新されたアプリまたはIntune プロファイルのデプロイを推奨して、脅威を表すアプリで実行できる操作や実行に使用できる操作を管理するのに役立つ場合があります。
Windows – Windows の脆弱性を修復するために、一般的な推奨事項には、品質更新プログラム ポリシーの展開、または Windows 更新リングを使用した品質更新プログラム ポリシーの迅速な展開による脅威の解決が含まれます。
推奨事項に Windows 更新プログラムが含まれている場合、エージェント ガイダンスには、更新プログラムのより制御されたロールアウトの管理に役立つ 更新リング の使用に関する詳細が含まれています。
重要
推奨される Windows 更新プログラムの推奨事項の一部は、 Expedite から始まります。 CVE の共通脆弱性スコアリング システム (CVSS) スコアがリスク値 9.0 以上に達すると、エージェントはこの形式を使用します。 このレベルのリスクの場合、エージェントは、これらの更新プログラムをデバイスにすぐに迅速化することをお勧めします。 これらのより重要な更新プログラムの展開に役立つガイダンスには、推奨される更新プログラムをより迅速に展開するために、 品質更新プログラムの迅速なインストールを使用する方法が含まれています。
次の図は、アプリの脆弱性の [推奨されるアクション ] ウィンドウの例です。 この例では、アプリを新しいバージョンに更新することをお勧めします。
エージェントの提案を確認し、推奨される修復を適用した後、管理者は [適用済み としてマーク] を選択することで、それらの修復の適用を自己証明できます。 このアクションは、修復手順が完了したことを確認します。 提案を適用済みとしてマークしても、エージェントによるデバイスの変更はトリガーされませんが、その構成証明の時刻を識別する 提案に適用済みとしてマークされた Last というタイムスタンプが追加されます。
その後エージェントを実行すると、提案が更新される可能性があります。 以前の提案が適用済みとしてマークされている場合、管理者は、[適用に応 じて更新を行う] を選択することで、最新の提案を適用したことを自己証明できます。 このアクションは、 適用されたタイムスタンプとしてマークされた Last を現在の時刻に更新します。
オプションですが、推奨されるアクションを適用済みとしてマークすると、推奨される修復がいつ実装されたかを追跡できます。 適用済みとしてマークされた推奨事項は、エージェント候補の一覧に保持され、エージェントの今後の実行のベースラインとして機能し、同じ脆弱性に対する新しい結果と変更を比較できます。
インパクト:この値は、Microsoft Defender 脆弱性の管理によって識別される露出スコアに影響を与える可能性があります。
公開されているデバイス: 影響を受けるデバイスの数。 エージェントによって表示される関連する CVEs 数は、Windows 10およびWindows 11クライアント オペレーティング システム エディションを持つデバイスに対してのみであり、サーバー エディションは含まれません。 [エクスポート先] .csv に一覧表示されているデバイスは、Microsoft Entraに見つからないデバイスをすべて削除します。
ヒント
エージェントは、パブリック プレビュー中にスコープ タグをサポートしていません。
地位: 既定では、報告された脆弱性の状態は [未適用] に設定されています。 管理者は、報告された脆弱性にドリルダウンして、推奨される修復を確認して展開し、その提案を適用済みとしてマークするオプションを選択すると、エージェントの提案の状態が [適用済み] に変更されます。 [適用済みとしてマーク ] は、管理者が修復手順を完了したことを証明したことを確認します。 エージェントによってデバイスに対してアクションは実行されません。
最後に適用された: この値は、管理者が修復ガイダンスを適用済みとしてマークするオプションを選択した日時を識別します。
アクティビティ
このセクションでは、エージェントの現在および過去の実行アクティビティを追跡します。 エージェントがまだアクティブに実行されている場合、[状態] 列に [ 実行中] と表示されます。 状態列には、過去のエージェント実行の 完了 が表示されます。
[設定] タブ
[脆弱性修復エージェントの 設定] タブで、管理者はエージェントの現在の構成に関する既存の詳細を表示できます。 パブリック プレビュー中に、編集や変更を行う必要はありません。
エージェントを実行する
脆弱性修復エージェントを起動して実行するには、Intune管理センターで[エンドポイント セキュリティ>Vulnerability Remediation Agent (プレビュー)] に移動し、[実行] を選択します。 このオプションは、エージェントが セットアップ され、最初の実行が完了するまで使用できません。
重要
エージェントは、テナント内で有効にしたユーザーの ID とアクセス許可の下で実行されます。 この ID は、エージェントの実行ごとに更新され、エージェントが 90 日間連続して実行されていない場合は有効期限が切れます。 承認された期間の終了に関する通知はありません。
脆弱性修復エージェントは定期的なスケジュールをサポートしていないため、手動で開始する必要があります。
開始すると、エージェントは評価が完了するまで実行されます。 停止または一時停止することはできません。
エージェントを削除する
脆弱性修復エージェントを削除するには、Intune管理センターで、エンドポイント セキュリティ>Vulnerability 修復エージェント (プレビュー) に移動し、[エージェントの削除] を選択します。 管理者がプロンプトを受け入れると、エージェントが削除され、エージェント ペインが元の状態に復元されます。
注:
エージェント インスタンスを削除するには、管理者アカウントにSecurity Copilotの所有者ロールが必要です。 共同作成者ロールを持つアカウントは、エージェントを実行して結果を表示できますが、エージェント インスタンスを管理することはできません。
警告
エージェントが削除されると、既存のすべてのエージェント候補が削除されます。 これには、 適用済みとしてマークされた提案の詳細が含まれます。
後で、管理者はエージェント のセットアップ を実行して再インストールできます。
脆弱性修復エージェントのログ
パブリック プレビュー中に、エージェントで使用できるログは制限されています。
すべてのエージェント管理、作成、削除、実行、およびアクセス許可エラーは、Security Copilot ログで使用できます。 検出された脆弱性のログ記録、または修復が適用された場合は使用できません。 代わりに、 オプションを使用して、修復された脆弱性を適用済みとしてマーク します。
よく寄せられる質問 (FAQ)
エラー: このエージェント – ライセンスにアクセスできません
細部: このエージェントにアクセスするために必要なライセンスがありません。
このエージェントの ライセンスとプラグイン の要件の前提条件を確認し、ライセンスの割り当てと関連する製品のライセンスと構成がテナントで使用できることを確認します。
エラー: このエージェント – ワークスペースにアクセスできません
細部: このエージェントにアクセスするために必要なワークスペースの一部ではありません。
このメッセージは、Security Copilotがテナントに追加されるときに構成されているSecurity Copilot ワークスペースを表示または使用するアクセス許可がアカウントにないことを示します。 Security Copilot サブスクリプションをインストールまたは管理している管理者に問い合わせて、アクセス権を取得する方法については、「Microsoft Security Copilotでの認証について」を参照してください。
エラー: このエージェントにアクセスできません – アクセス許可
細部: このエージェントにアクセスするために必要なアクセス許可がありません。
このエージェントを使用するために必要な ロールベースのアクセス制御 アクセス許可の前提条件を確認します。 Intune管理者と連携して、アカウントに必要なアクセス許可を割り当てます。
エラー: エージェントでエラーが発生し、実行が完了しませんでした。 エージェントをもう一度実行してみてください。
細部: エージェント インスタンスの実行を開始できなかったか、正常に完了できませんでした。 エラーの詳細を特定できません。 実行または完了に失敗した場合でも、管理者は、過去の実行からのエージェントの提案を引き続き表示および管理できます。
エージェントが失敗し続ける場合は、ID アカウントの承認が失われ、再認証されるまで実行できない可能性があります。 承認が失われる原因としては、次のようなものが考えられますが、これらに限定されません。
- エージェントの承認期間が 90 日に達しました。
- エージェントがインストールされたユーザー アカウントは、定期的な再認証を必要とするポリシーの対象となります。
- アクセス トークンが取り消されました。
パブリック プレビュー中に、エージェントの再認証では、エージェントを削除してから、もう一度設定する必要があります。
警告
エージェントが削除されると、既存のすべてのエージェント候補が削除されます。 これには、 適用済みとしてマークされた提案の詳細が含まれます。
関連コンテンツ
Microsoft Defender 脆弱性の管理
Microsoft IntuneでのエージェントのSecurity Copilot
Microsoft Security Copilot