# 権限 ### 概要 このページでは、このエージェントのアクセス権限とアクセスモデルについて説明します。\ このエージェントは、 **読み取り専用アクセス** Microsoft Defender、Microsoft Purview、および関連する Microsoft 365 サービスのコンプライアンス、監査、セキュリティ データに対して、 **Security Copilot Plugins**。\ その目的は、組織の **データ保護ベースライン(DPB)** の状態を評価し、潜在的なコンプライアンス ギャップを特定し、いかなる構成も変更せずにインサイトを生成することです。 *** ### 仕組み このエージェントは、Microsoft Graph API エンドポイントを使用してテナントに安全に接続し、コンプライアンス、セキュリティ、監査ログのデータを取得します。\ この情報を Microsoft Data Protection Baseline や GDPR などのデータ保護およびコンプライアンス フレームワークと照合し、改善の機会やリスク領域を明らかにします。 すべての操作は以下の原則に従います: * **読み取り専用アクセス:** このエージェントは、構成、ポリシー、またはフレームワークを変更または作成しません。 * **最小権限:** コンプライアンスおよびセキュリティ データを読み取るために必要な、最小限の権限のみが必要です。 * **透明性:** すべてのデータ アクセスは文書化された Graph API エンドポイントを通じて行われ、Microsoft Entra 内で完全に監査可能です。 *** ### 必要な Entra ID ロール エージェントをインストールして実行する管理者アカウントに、次のロールを割り当ててください: | ロール | 説明 | | ------------------- | --------------------------------------------------------- | | **コンプライアンス データ管理者** | Microsoft Purview とコンプライアンス データへの読み取り専用アクセスを提供します。 | | **Security Reader** | Microsoft Defender のセキュリティ イベントとアラートに対する読み取り専用の可視性を付与します。 | | **レポート閲覧者** | Microsoft 365 サービス全体の監査およびレポート データへの読み取り専用アクセスを有効にします。 | {% hint style="info" %} これらのロールは、最小権限の原則に沿っています。組織のコンプライアンスおよびガバナンス要件に応じて調整してください。 {% endhint %} *** ### データアクセスの透明性 次の表は、エージェントがアクセスするデータとその目的を示しています。 | データの種類 | アクセス レベル | 目的 | | ------------------------- | -------- | ------------------------------------------- | | **コンプライアンスおよびポリシーの構成データ** | 読み取り専用 | データ保護ベースラインおよびコンプライアンス フレームワークとの整合性を評価するため。 | | **セキュリティ インシデントとアラート** | 読み取り専用 | コンプライアンスの状態をセキュリティ イベントおよびリスク シグナルと関連付けるため。 | | **監査ログ** | 読み取り専用 | データ保護コントロールに関連するユーザーおよび管理者のアクティビティを評価するため。 | | **データ分類およびラベル付けデータ** | 読み取り専用 | データ保護および保持ポリシーの適用範囲のギャップを特定するため。 | **データの取り扱い:** * このエージェントは **、** テナント境界の外で顧客データを変更、削除、またはエクスポートする。 * すべてのアクセスは **Microsoft Graph API** 委任権限またはアプリケーション権限を使用して * アクセス イベントは **Microsoft Entra の監査ログ** に記録され、可視性とコンプライアンス追跡に利用されます。 *** ### エージェントの設定 このエージェントは、分析の深さ、フレームワーク、および期間をカスタマイズするためのオプション パラメーターをサポートしています。 | 設定 | オプション / 例 | 説明 | | --------------------------- | ------------------------------------------------------------------------------- | -------------------------------------------- | | **フレームワーク** | 既定値: データ保護ベースライン(DPB)および GDPR | 評価対象のコンプライアンスまたは保護フレームワークを定義します。 | | **AdditionalFrameworkText** | `「ISO 27001 では、保存時および転送中のデータの暗号化が求められます...」` | 拡張コンプライアンス評価のために、カスタムのフレームワーク テキストを追加できます。 | | **FrameworkURL** | `「https://learn.microsoft.com/en-us/azure/compliance/offerings/offering-soc-2」` | 比較対象として、外部のコンプライアンス フレームワークまたはガイダンス文書を参照します。 | | **TimeRange** | `30` または `90` (日) | コンプライアンスおよび監査データの分析対象期間を定義します。 | {% hint style="info" %} 正確な結果を得るには、少なくとも **30 日分のコンプライアンスおよびセキュリティ データ** がエージェントを実行する前に利用可能であることを確認してください。 {% endhint %} *** ### セキュリティとコンプライアンスに関する考慮事項 * Microsoft Graph とのすべての通信は HTTPS により暗号化され、Microsoft の ID サービスを通じて保護されています。 * このエージェントは Microsoft の **ゼロトラスト** および **最小権限** の原則に従います。 * アクセスは、いつでも **Entra ID のロール割り当て** または **アプリケーションの同意管理**. *** ### 次の手順 * を通じて確認または取り消すことができます。管理者アカウントに必要なロールが割り当てられていることを確認してください。 * Microsoft Defender と Purview のデータ収集が少なくとも 30 日間有効であることを確認してください。 * 権限について詳しくは、 [Microsoft Graph の権限リファレンス](https://learn.microsoft.com/graph/permissions-reference). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/jp/agents/compliance-assistant/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.