次の方法で共有

条件付きアクセス最適化エージェントから提案を確認して適用する方法

Microsoft Entra 条件付きアクセス最適化エージェントは、条件付きアクセス ポリシーを作成または更新するための提案を提供し、それらのポリシーに関連するアクティビティのレポートを作成します。 提案は、エージェントが見つけた内容によって異なります。 管理者は、提案を確認し、何を行うかを決定する必要があります。

この記事では、提案とレポートの背後にあるロジックの概要と、それらの提案を確認して対処する方法について説明します。

Important

条件付きアクセス最適化エージェントのMicrosoft Teams統合は現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。

[前提条件]

制限事項

  • アカウントを使用して、Privileged Identity Management (PIM) を使用してロールのアクティブ化を必要とするエージェントを設定しないでください。 永続的なアクセス許可を持たないアカウントを使用すると、エージェントの認証エラーが発生する可能性があります。
  • エージェントを起動すると、エージェントを停止または一時停止することはできません。 実行には数分かかる場合があります。
  • ポリシー統合の場合、各エージェントの実行では、同様の 4 つのポリシー ペアのみが検索されます。
  • エージェントは現在、これを有効化したユーザーとして実行されます。
  • Microsoft Entra 管理センターからエージェントを実行することをお勧めします。
  • スキャンは 24 時間に制限されます。
  • エージェントからの提案をカスタマイズまたはオーバーライドすることはできません。
  • エージェントは、1 回の実行で最大 150 人のユーザーと 100 個のアプリケーションを確認できます。

動作方法

エージェントが実行され、次の場合があります。

  • 保護されていないユーザーを特定したり、変更を推奨したりしない
  • レポート専用モードで新しい条件付きアクセス ポリシーを作成する
  • 既存のポリシーの変更を提案する
  • 重複するポリシーの統合を提案する
  • 既存のポリシーに関連するアクティビティの急増または低下を特定する

条件付きアクセス ポリシーは複雑になる可能性があるため、提案を識別するために使用されるロジックに関するできるだけ多くの情報を提供したいと考えています。 エージェントは、提案ごとに、詳細な推論、ポリシーへの影響の概要、およびポリシーの詳細を提供します。 ベスト プラクティスとして、提案を適用したり、レポートのみのポリシーをアクティブなポリシーに変更したりする前に、提供された情報を確認してください。

提案とエージェント ロジックを確認する

提案の 確認 を選択して、提案の完全な概要を確認します。これには、提案の特定に使用されるロジックや、ポリシーの潜在的な影響が含まれます。 ポリシー提案の詳細で使用できるオプションは、提案の種類によって異なります。 たとえば、新しいポリシー候補には [ ポリシーを有効にする ] ボタンが含まれますが、既存のポリシーを変更するための提案には、ポリシーから除外するユーザーまたはグループを追加するための [ アカウント の追加] ボタンが含まれます。

ポリシーの詳細

提案の既定のビューには、ポリシーの詳細が表示されます。たとえば、上部に大まかな説明が表示され、その後にポリシーで使用される詳細が表示されます。

ポリシー提案の詳細が開いているエージェントのスクリーンショット。

ポリシーの詳細から、いくつかのオプションを使用して提案に対してアクションを実行できます。 ページの上部で、ポリシーを編集、複製、ダウンロード、または削除できます。 また、エージェントとのチャット機能を使用することもできます。

ボタンが強調表示されているポリシーの詳細のスクリーンショット。

ポリシー提案の概要の下で、いくつかのアクションを実行できます。

  • ポリシーの変更を確認する: 提案の概要または JSON の詳細を表示します。詳細については、「 ポリシー変更の確認 」セクションで説明します。
  • ポリシーを有効にする: エージェントによってレポート専用モードで作成された新しいポリシーを有効にします。
  • 提案をレビュー済みとしてマークする: [ ポリシーを有効にする ] ボタンの下矢印から選択して、提案を適用せずにレビューしたことを示します。
  • 14 日間通知を一時停止: 「ポリシーをオンにする」ボタンの下矢印から選択して、提案を一時的に非表示にします。 提案は 14 日後に一覧に再び表示されます。
  • エージェントの完全なアクティビティを表示する: 完全なアクティビティと決定を表示します。 詳細については、「エージェントの 完全なアクティビティの表示 」セクションで説明します。
  • ノートの追加: ペンと紙のアイコンを選択して、他の管理者がレビューする提案に関するメモを追加します

ポリシー提案の詳細ページは詳細であり、提案に関する情報に基づいた意思決定を行うために必要なすべてのオプションを提供します。 ただし、詳細が必要な場合は、ポリシーへの影響を確認し、エージェントのアクティビティに関する詳細を確認することもできます。 このファイル差分について Copilot に問い合わせ

ポリシーへの影響

表示された詳細パネルで、[ ポリシーの影響 ] を選択して、ポリシーの潜在的な影響を視覚化します。

必要に応じて、フィルターと表示を調整します。 グラフ上のポイントを選択して、ポリシーが影響を受けるデータのサンプルを表示します。 たとえば、多要素認証 (MFA) を必要とするポリシーの場合、グラフには、条件付きアクセス ポリシーが適用されなかったサインイン イベントのサンプルが表示されます。 詳細については、「 ポリシーへの影響」を参照してください。

エージェントの完全なアクティビティを表示する

エージェントのアクティビティの詳細な概要と提案の計算方法を確認するには、[ エージェントの完全なアクティビティの表示] を選択します。 エージェントのアクティビティは、ユーザーとアプリのポリシードリフト、またはポリシーカバレッジのギャップを評価します。 エージェントは、マージまたは統合できるポリシーも検索します。

クリック可能なユーザー リスト オプションが強調表示されているエージェント アクティビティ マップのスクリーンショット。

ポリシー候補に特定のユーザーまたはアプリケーションのポリシーへの追加が含まれている場合は、マップから直接アプリケーションまたはユーザーの一覧を表示できます。 たとえば、次の例では、[ 8 ユーザー ] リンクを選択すると、エージェントがポリシーに含まれていないと識別された 8 人のユーザーが表示されます。

エージェント アクティビティ マップのスクリーンショット。

エージェント アクティビティの概要は、マップに示されているアクティビティの自然言語の説明です。 これらの詳細は、提案の背後にあるロジックを理解するのに役立ちます。これにより、提案を適用するかどうかに関する情報に基づいた意思決定を行うことができます。

ポリシーの変更を確認する

エージェントが既存のポリシーの変更を提案する場合は、[ ポリシーの変更の確認 ] を選択して、推奨される変更の詳細を表示します。 このページには、ユーザー、ターゲット リソース、および提案を適用した場合に変更されるポリシーのその他の詳細が一覧表示されます。

  • ポリシーの詳細は、変更されているすべての詳細の一覧と、ポリシー全体の JSON ビューの両方として提供され、変更が強調表示されます。
  • ユーザーまたはアプリケーションに影響を与えるポリシーの変更については、ポリシー変更の影響を受けるユーザーとアプリケーションの JSON ファイルをダウンロードできます。

詳細分析

詳細な分析では、レガシ認証のブロック、デバイス制御フローのブロック、デバイスまたは MFA 制御を必要とするポリシーなどのシナリオに対して、条件付きアクセス ポリシーの詳細なレビューが実行されます。 対象となるユーザー、グループ、ロールを評価して、カバレッジのギャップ、重複または冗長ポリシー、統合の機会を特定します。 また、除外も分析します。つまり、ユーザーの大部分を除外するポリシーにフラグを設定し、不注意によるロックアウトのリスクを軽減するために、緊急用アカウントを明示的に除外することを推奨します。

詳細な分析によって提示されるポリシーの提案が環境に大きな影響を与える可能性があるため、提案を調査する時間を確保する「スヌーズ」オプションの使用や、意思決定プロセスのコンテキストと根拠を提供する「メモ」オプションの利用を検討してください。

提案を適用する

提案を適用するエクスペリエンスは、エージェントがレポート専用モードで新しいポリシーを作成したか、既存のポリシーの変更を提案したかによって異なります。

既存のポリシーを変更する

エージェントは、既存のポリシーの変更または重複するポリシーの統合を提案できます。 ポリシーの変更の詳細と影響を確認したら、提案をポリシーに適用できます。

  • [ポリシーの詳細] ページで、[提案の適用] を選択して、ポリシーに変更を適用します。

[提案の適用] ボタンが強調表示されている [ポリシーの詳細の変更] ページのスクリーンショット。

  • [ ポリシー変更の確認 ] ページで、ページの下部から [ 提案された変更の承認 ] を選択することもできます。

[提案された変更の承認] ボタンが強調表示されているレビュー ポリシー ページのスクリーンショット。

新しいポリシーを有効にする

エージェントが新しいポリシーを提案すると、レポート専用モードでポリシーが作成されます。 ポリシーへの影響を確認したら、エージェント エクスペリエンスまたは条件付きアクセス ポリシーの一覧から直接ポリシーを有効にすることができます。

  • エージェントがレポート専用モードでポリシーに変更を適用するには、[ポリシーを有効にする] を選択します。

[ポリシーの有効化] ボタンが強調表示されているポリシーの詳細のスクリーンショット。

  • 条件付きアクセスからポリシーを選択し、[ポリシーの 有効化 ] トグルを [レポートのみ] から [オン] に変更します。

条件付きアクセスのレポート専用モードの切り替えのスクリーンショット。

ヒント

ベスト プラクティスとして、組織は構成ミスが原因でロックアウトされないように、ブレイクグラス アカウントをポリシーから除外する必要があります。

Warnung

準拠デバイスを必要とするレポート専用モードのポリシーでは、デバイスコンプライアンスが適用されていない場合でも、ポリシーの評価中に macOS、iOS、Android デバイスのユーザーにデバイス証明書の選択を求める場合があります。 これらのプロンプトは、デバイスが準拠するまで繰り返される場合があります。 エンド ユーザーがサインイン中にプロンプトを受信できないようにするには、デバイス コンプライアンス チェックを実行するレポート専用ポリシーからデバイス プラットフォーム Mac、iOS、Android を除外します。

Microsoft Teams エージェントの提案通知 (プレビュー)

Microsoft Teamsを使用すると、新しい提案が使用可能になったときに条件付きアクセス最適化エージェントから通知を受け取ることができます。 このプレビュー機能を使用すると、新しい提案がエージェントによって識別されたときに通知を受け取るユーザーを構成できます。 現時点では、Teams 統合により、エージェントとの一方向の通信と、Microsoft Entra 管理センターのポリシー提案への直接リンクが提供されます。

詳細については、「条件付きアクセスの最適化エージェント」の「通知」セクションを参照してください。

ポリシー レポートを確認する

条件付きアクセスの最適化エージェントは、既存のポリシーに関連するアクティビティの急増と低下も検出します。 これらの異常は、多くの場合、調査が必要なポリシーの構成ミスを示しています。 エージェントがアクティビティの大幅な変更を識別した場合は、提案の一覧にレポートが表示されます。 レポートは、エージェントがオンにすることを提案するアクティブポリシーとレポート専用ポリシーの両方に適用されます。 [ エージェントによって実行されたアクション] 列に、推奨 されるポリシー レビュー が値として表示されます。

ポリシー レビュー レポートを表示するには:

  1. [ 提案の確認 ] を選択して、推奨されるポリシー レビューの詳細を表示します。

  2. ポリシーの詳細ページで、[ レポートの確認] を選択します。 ポリシーに関連するアクティビティを視覚化した詳細なレポートが表示されます。

    [レポートの確認] ボタンが強調表示されているレポートのポリシーの詳細のスクリーンショット。

  3. レポートを確認し、必要に応じてポリシーを調査します。

  4. ポリシーの詳細ページで、[提案をレビュー済みとしてマークする][再通知]を14日間選択します。 必要に応じて、学習した内容と、関連するポリシーに加えた変更に関するメモを追加できます。

  • Last updated on