権限
概要
このページでは、このエージェントのアクセス権限、構成要件、およびアクセスモデルについて説明します。 このエージェントは 読み取り専用アクセス Microsoft Purview と Microsoft Security Copilot のデータへの
仕組み
このエージェントは、Microsoft Graph API エンドポイントを使用してテナントに安全に接続し、Microsoft Purview の分類データと DLP データを読み取ります。 これらのシグナルを分析してパターンを特定し、カバレッジを評価し、データ保護態勢を改善するための推奨事項を提供します。
すべての操作は以下の原則に従います:
読み取り専用アクセス: このエージェントは、構成、ポリシー、または分類器を変更または作成しません。
最小権限: Purview およびセキュリティ データを読み取るために必要な最小限の権限のみが必要です。
透明性: すべてのデータ アクセスは、文書化された Graph API エンドポイントを通じて行われ、Microsoft Entra で監査可能です。
必要な Entra ID ロール
エージェントをインストールして実行する管理者アカウントに、次のロールを割り当ててください:
Compliance Data Administrator
Microsoft Purview の分類データと DLP データへの読み取り専用アクセスを提供します。
Security Reader
セキュリティ イベントとアラートへの読み取り専用の可視性を付与します。
Global Reader (任意)
ドメイン間のデータ相関のために、Microsoft 365 サービス全体への読み取り専用アクセスを許可します。
これらの役割は最小権限の原則に従います。組織のセキュリティおよびコンプライアンス要件に応じて調整してください。
データアクセスの透明性
次の表は、エージェントがどのデータにアクセスできるか、およびその目的を示しています。
Purview の分類およびラベル付けデータ
読み取り専用
データの機密性の分布とポリシーの有効性を評価するため。
DLP ポリシー一致イベント
読み取り専用
データ損失の傾向を分析し、カバレッジ改善が必要な領域を特定するため。
セキュリティ インサイトとアラート
読み取り専用
データ保護イベントをより広範なセキュリティ シグナルと関連付けるため。
テナント構成メタデータ
読み取り専用
構成変更を行わずに結果に文脈を与えるため。
データの取り扱い:
このエージェントは 、 テナントの境界外に顧客データを変更またはエクスポートしません。
すべてのアクセスは Microsoft Graph API 委任権限またはアプリケーション権限を使用して
すべてのアクティビティは Microsoft Entra の監査ログ 透明性とコンプライアンス検証のため。
エージェントの設定
エージェントの実行時に、分析の深さと期間を制御するために次のパラメーターを構成できます。
TimeRange
30, last_30_days, 2025-01-01/2025-01-31
分類および DLP イベント分析の時間範囲を定義します。
モード
quick, standard, deep
分析の深さとリソース使用量を決定します。
• quick — 制限された推奨事項を伴う高速分析。
• standard — 深さとパフォーマンスのバランスが取れた分析(推奨)。
• deep — 詳細な統計と拡張されたインサイトを含む包括的な分析(より多くの SCU を使用します)。
このエージェントは 意味のある結果を得るために、少なくとも 30 日分の分類および検出データを 必要とします。
セキュリティとコンプライアンスに関する考慮事項
Microsoft Graph とのすべての通信は HTTPS を使用して暗号化され、Microsoft の ID サービスによって保護されています。
このエージェントは Microsoft の ゼロトラスト および 最小権限 の原則に従います。
アクセスはいつでも Entra ID のロール割り当て または アプリケーションの同意管理.
次の手順
管理者アカウントに必要なロールがすべて割り当てられていることを確認してください。
Purview の分類と DLP ポリシーが少なくとも 30 日分のデータで有効であることを確認してください。
最終更新
役に立ちましたか?