時間のかかる研究と、急いだ決定の不確実性にさよならを言う。 アクセス レビュー エージェントは、自動的に分析情報を収集し、推奨事項を生成することで、レビュー担当者に対して機能します。 次に、校閲者が自然言語でMicrosoft Teamsのレビュー プロセスを簡単な要約と提案された意思決定で導き、自信と明確さで最終的な呼び出しを行うことができます。
[前提条件]
- Microsoft Entra ID ガバナンスまたは Microsoft Entra Suite ライセンスが必要です。
- 少なくとも 1 つのセキュリティ コンピューティング ユニット (SCU) がプロビジョニングされた Security Copilot にオンボードする必要があります。
- 20 件の決定を含むアクセス レビューを完了すると、平均で 4.5 SCU が消費されます。 これには、エージェントとのMicrosoft Teamsで分析情報を収集し、推奨事項を生成するエージェントとレビュー担当者の自然言語の会話が含まれます。 SCU の使用量は、レビュー担当者とエージェントの間の会話の長さによって異なる場合があります。
- 管理者は、Microsoft Entra 管理センターでエージェントを設定および管理するために、少なくとも次 のすべての ロールを持っている必要があります。
- Identity Governance 管理者
- ライフサイクル ワークフロー管理者
- セキュリティ・コピロット のセキュリティ・コピロット共同作成者
- レビュー担当者がアクセス レビュー エージェントを使用するには、Microsoft Teamsへのアクセス権があり、アクティブなアクセス レビューが割り当てられている必要があります。 また、少なくとも セキュリティ コピロット共同作成者 ロールが割り当てられている必要があります。
- Microsoft Security Copilot でプライバシーとデータ セキュリティを確認する
制限事項
- アカウントを使用して、Privileged Identity Management (PIM) を使用してロールのアクティブ化を必要とするエージェントを設定しないでください。 永続的なアクセス許可を持たないアカウントを使用すると、エージェントの認証エラーが発生する可能性があります。
- エージェントを起動すると、エージェントを停止または一時停止することはできません。 実行には数分かかる場合があります。
- エージェントは、初めてアクティブ化した管理者の ID を使用して実行され、分析情報を収集し、推奨事項を保存します。 Microsoft Teams会話の一環として、最終的な決定はレビュー担当者の ID で記述されます。
- Microsoft Entra 管理センターからエージェントを実行することをお勧めします。
サポートされているシナリオ
次の表は、レビュー シナリオに基づく現在のアクセス レビュー エージェントのサポートを示しています。
| Scenario | サポートされています |
|---|---|
| リソース | |
| Teams + グループ | ✅ |
| アクセス パッケージの割り当て | ✅ |
| アプリケーションの割り当て | ✅ |
| Azure リソース ロール | ❌ |
| Microsoft Entra ロール | ❌ |
| Privileged Identity Management によって管理されるグループ | ❌ |
| サイズ | |
| 最大 35 件の決定 (レビュー担当者ではなくレビューごと) | ✅ |
| >レビューごとに 35 件の決定 | ❌ |
| 段階 | |
| 単一ステージ | ✅ |
| マルチステージ | ❌ |
| レビュー | |
| 特定 | ✅ |
| グループ所有者 | ✅ |
| Managers | ✅ |
| 自己レビュー | ❌ |
| 言語 | |
| 英語 | ✅ |
| その他の言語 | ❌ |
動作方法
アクセス レビュー エージェントは、エージェントによる処理のフラグが設定されたテナント内のアクティブなアクセス レビューを事前にスキャンします。 エージェントは、追加の分析情報を収集して識別されたレビューを分析し、各決定の推奨事項 (承認/拒否) と正当な理由の概要を生成します。 エージェントは、推奨事項と対応する理由の概要を分析すると、Microsoft Teamsのレビュー プロセスを通じて、自然言語でレビュー担当者をガイドできます。 レビュー担当者は、Microsoft Teamsの自然言語チャット エクスペリエンスを通じてレビューを完了できます。 エージェントがレビューを案内すると、推奨事項の背後にあるエージェントの推論を確認し、レビュー自体のコンテキストで質問を行い、最終的に独自の情報に基づいた意思決定を行うことができます。
各決定に対するエージェントの推奨事項 (承認/拒否) は、複数のシグナルを利用する決定論的スコアリング メカニズムに依存します。 その後、レコメンデーションに使用されるシグナルを使用して、大規模言語モデル (LLM) を使用して、エンド ユーザーフレンドリな正当な理由の概要を提供します。 Microsoft Teamsでのその後の自然言語チャット エクスペリエンスは、以前に生成された推奨事項と理由の概要を使用可能なコンテキストとして備えた大規模な言語モデルによって容易になります。
エージェントは次のシグナルを考慮します。
- ユーザーの非アクティブ: ユーザーがサインインしている場合
- ユーザーからグループへの所属: ユーザーがこのアクセス権を持つ他のユーザーとの 所属が低い 場合
- アカウントが有効: ユーザーのアカウントが有効になっている場合 (accountEnabled プロパティ)
- 雇用状態: ユーザーの雇用が終了した場合 (employeeLeaveDateTime プロパティ)
- ライフサイクル ワークフロー履歴: ユーザーが過去 30 日間にムーバー ワークフローを実行した場合
- 以前のレビューからの決定: 定期的なレビューでは、以前のレビューイテレーションからの決定が考慮されます
- アクセス要求履歴: アクセス パッケージの割り当てレビューでは、要求と承認の履歴が考慮されます
注
理由の概要には、これらのシグナルからの情報が含まれており、レビュー プロセスの外部でレビュー担当者がこの情報の一部を使用できない場合でも、レビュープロセス中にレビュー担当者が利用できます。
管理者は、推奨事項 (承認/拒否) と理由の概要を確認できます。 詳細については、「 Access Review Agent のログとメトリック (プレビュー)」を参照してください。 エージェントの推奨事項は、Microsoft Entra 管理センターのマイ アクセス ポータルとアクセス レビュー エクスペリエンスに表示される推奨事項とは異なる場合があることに注意してください。
作業の開始
アクセス レビュー エージェントの設定
少なくとも次 のすべての ロールを持つアカウントで、 Microsoft Entra 管理センターにサインインします。
新しいホーム ページで、エージェント通知カードから [ エージェントに移動 ] を選択します。
- 左側のナビゲーション メニューから [エージェント] を選択することもできます。
- 左側のナビゲーション メニューから [エージェント] を選択することもできます。
[アクセス レビュー エージェント] タイルで [ 詳細の表示 ] を選択します。
[ エージェントの開始] を選択して、最初の実行を開始します。
- PIM によってアクティブ化されたロールを持つアカウントを使用しないでください。
- 右上隅に "エージェントが最初の実行を開始しています" というメッセージが表示されます。
- 最初の実行が完了するまでに数分かかる場合があります。
既存のアクセス レビューに対してアクセス レビュー エージェントを有効にする
アクセス レビュー エージェントが開始されたら、アクセス レビュー エージェントによって処理されるようにアクセス レビューにフラグを設定する必要があります。 アクセス レビュー エージェントは、新しいアクセス レビューと既存のアクセス レビューの両方を処理できます。 次のセクションでは、アクセス レビュー エージェントによって処理されるアクセス レビューにフラグを設定する手順について説明します。
既存のグループとアプリケーションのアクセス レビューに対してアクセス レビュー エージェントを有効にする
Access Review エージェントによって処理される既存のアクセス レビューを更新するには、次の手順を実行します。
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ID ガバナンス>Access のレビューを参照します。
エージェントでサポートするアクセス レビューを選択します。
アクセス レビューの概要ページで、[1 回限りのレビューの場合は管理] の下の [ 設定] を選択し、定期的なレビューの場合は [系列] の下の [設定] を選択します。
[ 詳細設定] で、[ アクセス レビュー エージェント (プレビュー)] という設定のチェック ボックスをオンにします。
保存 を選択します。
既存のアクセス パッケージの割り当てレビューに対してアクセス レビュー エージェントを有効にする
Access Review エージェントによって処理される既存のアクセス レビューを更新するには、次の手順を実行します。
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ID ガバナンス>エンタイトルメント管理>アクセスパッケージに移動します。
エージェントでサポートするアクセス パッケージを選択します。
アクセス パッケージの概要ページで、[ ポリシー] を選択し、更新するポリシーを選択し、[ 編集] を選択します。
[ポリシーの編集] ページで、[ライフサイクル] を選択 します。
[ライフサイクル] タブで、[高度なアクセス レビューの設定] を選択し、Access Review Agent (プレビュー) という設定の [有効] ボックスをオンにします。
保存 を選択します。
レビュー担当者がアクセス レビュー エージェントを使用できることを確認する
レビュー担当者は、 Microsoft Teams アプリを使用してアクセス レビュー エージェントにアクセスします。 組織の Microsoft Teams組織全体のアプリ設定 で Microsoft アプリケーションにアクションは必要ありません。 組織全体のアプリ設定Microsoft Teamsで組織が Microsoft アプリを無効にしている場合、組織のMicrosoft Teams管理者はアプリを明示的に承認する必要があります。
また、エージェントを使用してレビューを完了できるように、すべての校閲者が少なくとも Security Copilot 共同作成者 ロールを持っていることを確認する必要があります。 これは、Microsoft Teamsの自然言語の会話がバックグラウンドで Microsoft Security Copilot セッションを開いているためです。 参加レビュー担当者は、Microsoft Teams経由でエージェント エクスペリエンスにアクセスしますが、ロールの割り当てにより、他の Microsoft セキュリティ管理 ポータルの Security Copilot ポータル または Security Copilot エクスペリエンスにアクセスする権利が与えられます。 レビュー担当者がMicrosoft Teams外の Security Copilot にアクセスする場合、Security Copilot によるデータ アクセスは引き続き 既定のユーザーアクセス許可の対象となります。
レビュー担当者としてのアクセス レビュー エージェントの使用
アクセス レビュー エージェントが開始され、レビュー担当者に適切なアクセス許可が割り当てられ、アプリが利用可能になったので、レビュー担当者はエージェントの助けを借りてレビューを完了する準備が整いました。 アクセス レビュー エージェントは、Microsoft Teams内で直接アクセスできます (直接リンク)。 レビュー担当者に送信されたアクセス レビュー電子メール通知には、Microsoft Teamsへの直接リンクも含まれます。
レビュー担当者として割り当てられたユーザーとしてサインインしているMicrosoft Teams アプリケーションを開きます。
[Access Review Agent]\(アクセス レビュー エージェント\) リンクを選択してエージェントを開きます
[アプリ] ページで、 Access Review Agent を検索し、[追加] を選択 します。
エージェントが追加されたら、[ 開く] を選択します。
開いているときは、使用可能なプロンプトを選択してエージェントとのチャットを開始できます。
設定
エージェントが有効になったら、いくつかの設定を調整できます。 設定にアクセスするには、Microsoft Entra 管理センターで次の手順を実行します。
- Agents>Access Review Agent>Settings から。
トリガー
エージェントは、最初に構成された時間に基づいて 24 時間ごとに実行するように構成されます。 トリガー の設定 をオフに切り替え、実行するタイミングに戻すことで、特定の時刻に実行できます。
注
レビュー担当者がアクセス レビューの電子メール通知にすぐに応答した場合、エージェントはまだレビューを処理していない可能性があります。 エージェントの実行後にのみ、Microsoft Teamsのアクセス レビューを支援できます。 エージェントがレビューを処理する前に応答した場合、エージェントはMicrosoft Teamsのレビュー担当者に次のメッセージで応答します。機能は引き続き拡張されているため、マイ アクセス ポータルで他の保留中のレビューがあるかどうかを確認することをお勧めします。
エージェントの削除
アクセス レビュー エージェントを使用しなくなった場合は、エージェント ウィンドウの上部から [ エージェントの削除 ] を選択します。 既存のエージェント アクティビティとメトリックは削除されますが、既に処理されたレビューの推奨事項と正当な理由はエージェントによってMicrosoft Teamsに保持され、レビュー担当者がこれらのレビューを引き続き支援できます。 削除を完了するには、以前にエージェントによって処理されるフラグが設定されたアクセス レビューのフラグを解除する必要もあります。
既存のグループとアプリケーションのアクセス レビューのアクセス レビュー エージェントを無効にする
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ID ガバナンス>アクセス レビューを参照します。
エージェントのサポートが有効になっているアクセス レビューを選択します。
アクセス レビューの概要ページで、[1 回限りのレビューの場合は管理] の下の [ 設定] を選択し、定期的なレビューの場合は [系列] の下の [設定] を選択します。
[ 詳細設定] で、[ アクセス レビュー エージェント (プレビュー)] という設定のチェック ボックスをオフにします。
保存 を選択します。
既存のアクセス パッケージの割り当てレビューに対してアクセス レビュー エージェントを無効にする
少なくとも ID ガバナンス管理者として Microsoft Entra 管理センターにサインインします。
ID ガバナンス>エンタイトルメント管理>アクセスパッケージに移動します。
エージェントでサポートするアクセス パッケージを選択します。
アクセス パッケージの概要ページで、[ ポリシー] を選択し、更新するポリシーを選択し、[ 編集] を選択します。
[ポリシーの編集] ページで、[ライフサイクル] を選択 します。
[ライフサイクル] タブで、[アクセス レビュー エージェント (プレビュー)] という設定の [無効] ボックスをオンにします。
保存 を選択します。
セキュリティ の Copilot アクセスを取り消す
他のシナリオで Security Copilot にアクセスする必要がない場合は、レビュー担当者のセキュリティ 副作成者アクセス権を取り消すことができます。
ID とアクセス許可
エージェントは、分析情報を収集して推奨事項を保存するようにエージェントを構成した管理者の ID で実行されます。 Microsoft Teams会話の一部としての最終的な決定は、レビュー担当者の ID を使用して書き込まれます。
フィードバックの提供
エージェント ウィンドウの上部にある [ Microsoft フィードバックの提供 ] ボタンを使用して、エージェントに関するフィードバックを Microsoft に提供します。
FAQs
Microsoft Teamsのエージェントが"アクセス レビュー エージェントがまだ組織で有効になっていないか、予期しない問題が発生したようです" と応答するのはなぜですか。 サポートについては、IT 部門にお問い合わせください。 それまでの間、マイ アクセス ポータルで保留中のレビューを完了できますか?
エージェントがこのメッセージで応答した場合は、エージェントの開始、レビュー担当者の Security Copilot アクセスの割り当て、既存のレビューに対するエージェントの有効化など、エージェントのセットアップが完了していない可能性があります。
Microsoft Teamsのエージェントが"現時点では少しビジー状態で、現在要求を処理できませんでした" と応答するのはなぜですか。 しばらくしてからもう一度お試しください。 急いで利用している場合は、マイ アクセス ポータルを常に使用できます。'?
テナントがプロビジョニングされておらず、Security Copilot 容量が超過している場合、エージェントはこのメッセージで応答します。