Microsoft Entra 条件付きアクセスの最適化エージェント

  • 10 分

条件付きアクセスの最適化エージェントは、すべてのユーザーがポリシーによって保護されるようにするのに役立ちます。 ゼロ トラストと Microsoft の学習に合わせたベスト プラクティスに基づいて、ポリシーと変更が推奨されます。

条件付きアクセスの最適化エージェントは、多要素認証 (MFA) の要求などのポリシーを評価します。 エージェントは、デバイス ベースの制御 (デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイス) を適用します。 最後に、エージェントはレガシ認証とデバイス コード フローをブロックするのに役立ちます。

エージェントは、既存のすべての有効なポリシーを評価して、同様のポリシーの潜在的な統合を提案します。

条件付きアクセス最適化エージェントを使用するための要件

  • 少なくとも Microsoft Entra ID P1 ライセンスが必要です。
  • 使用可能な セキュリティ コンピューティング ユニット (SCU) が必要です。
  • エージェントを初めてアクティブ化するには、セキュリティ管理者以上のロールが必要です。
  • 条件付きアクセス管理者には、セキュリティ のCopilot アクセスを割り当てることができます。
    • 詳細については、「セキュリティ Copilot アクセスの割り当て」を参照してください。
  • デバイス ベースのコントロールには 、Microsoft Intune ライセンスが必要です

条件付きアクセスの最適化エージェントの主な機能

条件付きアクセスの最適化エージェントは、テナントで新しいユーザーとアプリケーションをスキャンし、条件付きアクセス ポリシーが適用されるかどうかを判断します。 主な機能は次のとおりです。

特徴 説明
MFA を要求 エージェントは、MFA を必要とし、ポリシーを更新できる条件付きアクセス ポリシーの対象になっていないユーザーを識別します。
デバイス ベースのコントロールを要求する エージェントは、デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイスなどのデバイス ベースの制御を適用できます。
レガシー認証をブロックする レガシ認証を使用するユーザー アカウントのサインインはブロックされます。
ポリシーの統合 エージェントはポリシーをスキャンし、重複する設定を識別します。 たとえば、同じ許可制御を持つポリシーが複数ある場合、エージェントはそれらのポリシーを 1 つに統合することを提案します。
デバイス コード フローをブロックする エージェントは、デバイス コード フロー認証をブロックするポリシーを探します。
ワンクリック修復 エージェントが提案を識別したら、[提案の適用] を選択して、関連付けられているポリシーをボタンを 1 回押してエージェントに更新させることができます。

条件付きアクセスの最適化エージェントを試してみてください

この演習では、Microsoft Entra に埋め込まれた Security Copilot 条件付きアクセス最適化エージェントの主要な機能について説明します。

詳しく調べる際は、特に明記されていない限り、表示される情報と構成設定は、現在ログインしているセキュリティ管理者向けであることに注意してください

この演習の環境は、製品から生成されたシミュレーションです。 限られたシミュレーションとして、ページ上のすべてのリンクが有効になっているわけではなく、指定されたスクリプトの外部にあるテキストベースの入力はサポートされていません。 "この機能はシミュレーション内では使用できません" というメッセージが表示されます。 このメッセージが表示されたら、[OK] を選択し、演習の手順を続行します。

この機能がシミュレーション内で利用できないことを示すポップアップ画面のスクリーンショット。

演習

この演習は、完了までに約 10 分かかります。

ラボの指示に従って、シミュレートされた環境へのリンクを開く必要がある場合、その指示と演習環境を同時に表示できるように、そのリンクは新しいブラウザー ウィンドウで開くことをお勧めします。 これを行うには、マウスを右クリックしてオプションを選択します。

  1. 少なくともセキュリティ管理者ロールを使用して https://Entra.Microsoft.com (シミュレーション) を開きます。

Security Copilot Agents 画面を起動するには、次の 2 つの方法があります。

  • オプション-1:60日間無料のセキュリティCopilotエージェントを試す
  • オプション 2: 左側のメニューから条件付きアクセスを開きます。 次に、条件付きアクセスの最適化エージェントを選択します。

いずれかのオプションを使用してエージェントを起動してください。ただし、両方のオプションを使用できます。

オプション 1:

  1. [60 日間無料試用版] ボタンを選択します。
  2. ページで [詳細の表示 ] を選択します。

オプション 2:

  1. 左側のメニューで [条件付きアクセス ] 項目を開きます。
  2. [ 概要 ] タブで、[ 条件付きアクセスの最適化エージェント] を選択します。

条件付きアクセスエージェントの探求

  1. [ 概要 ] タブを確認します。
  • エージェントが稼働中 – エージェントが最後に実行された時刻と次回のスケジュールを確認してください。
  • パフォーマンスの強調表示 - エージェントのセキュリティ コンピューティング ユニット (SKU) のコストを確認します。 保護対象としてエージェントが検出した保護されていないユーザーの数を確認します。
  • このエージェントについて – エージェントとそのしくみの簡単な説明。
  • 最近の提案 – 既存のすべての条件付きアクセス ポリシーと、それらがマージ、更新、削除、または強化される方法に関する提案を確認します。
  • 最近のアクティビティ – 実行する条件付きアクセス最適化エージェントの最後の数回の試行の状態と結果。

  1. [エージェントがアクティブです] ボックス内の [実行の表示] リンクを選択します。

  2. エージェントのプロセス フローを確認し、前回の完了以降に検出された新しい情報を確認します。

  • 「注意してください。以下の3つの一般的なアクセス権の最適化を探しています。」
    • アプリ/アプリケーションの変化 – 新しいアプリケーションがデプロイされ、保護する必要があります。
    • ユーザードリフト – 新しいユーザーが見つかったか、ポリシーによって保護されていないユーザー権限が変更されました。
    • ポリシーのマージ – 2 つ以上のポリシーをマージして同じ結果を得ることができ、管理が容易になります。

  1. 階層リンクの 条件付きアクセスの最適化エージェント を選択して、[概要] ページに戻ります。

  2. 上部メニューの [アクティビティ] タブを選択します。 条件付きアクセスの最適化エージェントがいつ実行されたかの履歴と結果を確認します。

  3. 24 時間ごとに実行される条件付きアクセス最適化エージェントの進行状況を表示するには、いくつかの異なる [アクティビティの表示 ] ボタンを選択します。

  4. リストの 2 番目の項目を開きます。 4 つの新しいアプリケーションが見つかり、ポリシーの変更が時間の経過と同時に推奨されていることに注目してください。

  5. 階層リンクを使用して、[概要] ページに戻ります。

  6. タブ メニューから [提案 ] を選択します。

  7. 提案履歴を調べる。 エージェントが実行された日ごとに 1 つの項目があります。

  8. 最初の項目の [提案の確認 ] ボタンを選択します。

  9. このポリシーでは、既存の条件付きアクセス ポリシーに 2 人のユーザーを追加する必要があることに注意してください。 目標は、CA99 – パスワード リセット ポリシーを使用してリスク ユーザーを軽減するユーザーを追加することです。

  10. ページの上部にある [ ポリシーの影響 ] タブを選択すると、時間の経過に伴うこのポリシーの変化のグラフが表示されます。

  11. [ポリシーの詳細] タブに戻り、[ポリシーの変更の確認] を選択して、提案された変更と、実行する JSON 更新を確認します。

  12. ブラウザーの [戻る ] ボタンを使用して 、[概要 ] ページに戻ります。

  13. メニューから [提案 ] を選択します。

  14. 画面の右上にある X を選択してダイアログを閉じます。

CA-Policies での条件付きアクセス最適化エージェントの探索

  1. 左側のメニューから条件付きアクセスを開きます。

  2. [条件付きアクセス] メニューから [ ポリシー ] を選択します。

  3. ポリシーの一覧を確認すると、次の 3 種類が表示されます。

  • Microsoft – MFA の要求など、Microsoft によって送信されるグローバル ポリシー。
  • ユーザー – 組織内の承認されたユーザーによって作成された条件付きアクセス ポリシー。
  • 条件付きアクセスの最適化エージェント – レビュー用にエージェントによって作成されたレポートのみのポリシー。 ビジネスとセキュリティの目標に応じて、それらを適用することができます。

  1. 一覧を下にスクロールして、前に確認した CA99 ポリシーを見つけます。

  2. [新しいエージェントの提案] 項目を選択します。

  3. 4 回の場合、条件付きアクセスの最適化エージェントは新しいユーザーを見つけ、それぞれに 適用候補 があります。

  4. 提案が何を行うかの説明を読みます。

  5. [ 提案の適用 ] ボタンを選択します。

結果 – エージェントは、ユーザーを毎日監視し、危険なユーザー ポリシーによって保護されていないユーザーを見つけました。 新しいユーザーを含むようにポリシーを更新し、変更を行うボタンを提供することをお勧めします。 1 つのボタンで、ユーザーの保護を追加しました。

  1. Microsoft Entra を終了してシミュレーションを完了します。