# 権限 ### 概要 このページでは、次の権限およびアクセス モデルについて説明します **GSA レポート & 割り当てエージェント**。\ このエージェントは、 **読み取り専用アクセス** Entra Private Access および Entra ID のデータへ、 **Microsoft Graph API** および **Security Copilot Plugins**。\ このエージェントは、コネクタの正常性メトリクス、ネットワークトラフィックレポート、ユーザーからターゲットへの割り当てデータを収集・分析するように設計されています **いかなる構成も変更せずに** お使いの環境内で。 *** ### 仕組み このエージェントは、Microsoft Graph API エンドポイントを通じてテナントに安全に接続し、 **Global Secure Access (Entra Private Access)**に関連する構成およびテレメトリデータを収集します。\ コネクタのパフォーマンス、IP 範囲の利用状況、ユーザーのアクセス割り当てを関連付けて、ネットワーク効率を評価し、運用上またはセキュリティ上のギャップを特定します。 すべての操作は以下の原則に従います: * **読み取り専用アクセス:** このエージェントは、構成を変更、作成、または削除することはありません。 * **最小権限:** ネットワークおよびディレクトリ データの読み取りに必要な最小限の権限のみが要求されます。 * **透明性:** すべてのデータ取得は、文書化された Microsoft Graph API エンドポイントを通じて行われ、Microsoft Entra で完全に監査できます。 *** ### 必要な Entra ID および Graph ロール エージェントを実行する管理者アカウントまたはマネージド ID に、次のロールと API 権限を割り当てます: | ロール | 説明 | | ------------------------------------------------------------- | ------------------------------------------------------------- | | **Global Secure Access Reader** *(NetworkAccess.Read.All 経由)* | Entra Private Access のコネクタ グループ、ポリシー、構成に対する読み取り専用の可視性を有効にします。 | | **Security Reader** | ネットワーク運用に関連するセキュリティおよび監査インサイトへの読み取り専用アクセスを提供します。 | | **Directory Reader** | 割り当ての関連付けのために、ユーザー、グループ、デバイス情報への可視性を付与します。 | | **Reports Reader** | エージェントが傾向分析のために使用状況とトラフィック活動レポートを読み取れるようにします。 | これらのロールは **最小権限の原則** に準拠しており、必要に応じて特定のアプリケーションまたはネットワーク アクセス リソースにスコープを設定できます。 *** ### データアクセスの透明性 以下の表は、エージェントがアクセスするデータの種類とその目的を示しています: | データの種類 | アクセス レベル | 目的 | | ------------------------------------- | -------- | -------------------------------------- | | Global Secure Access のコネクタおよびポリシー データ | 読み取り専用 | コネクタの構成、冗長性、正常性メトリクスを分析するため。 | | ネットワーク トラフィックおよびパフォーマンス ログ | 読み取り専用 | 異常、遅延の問題、および接続試行の失敗を特定するため。 | | IP 範囲とポートのカバレッジ | 読み取り専用 | 古い IP 範囲、欠落しているファイアウォール ルール、競合を検出するため。 | | ユーザーおよびグループのディレクトリ データ | 読み取り専用 | ユーザーのアクセス割り当てをネットワークの宛先と関連付けるため。 | | 監査および使用状況レポート | 読み取り専用 | 構成変更、アクセス傾向、利用パターンを追跡するため。 | **データの取り扱い:** * このエージェントは、テナントの境界外で顧客データを変更またはエクスポートしません。 * すべてのデータ アクセスは Microsoft Graph および Security Copilot Plugin のエンドポイントに限定されます。 * すべてのアクセス イベントは **Microsoft Entra の監査ログ** に記録され、追跡可能性とコンプライアンス保証が確保されます。 *** ### エージェントの設定 このエージェントには、スコープ、ルックバック期間、レポートの詳細度を制御するための構成可能なパラメーターが含まれています: | 設定 | オプション | 説明 | | ---------------- | --------------------------------------------------------------- | ----------------------------------------------- | | **Scope** | `connectors`, `traffic`, `割り当て`, `ports` | 分析に含めるネットワーク領域を定義します。 | | **LookbackDays** | 30, 60, 90 | ネットワーク トラフィックおよびコネクタ アクティビティの評価対象となる時間範囲を決定します。 | | **モード** | `quick`, `standard`, `deep` | 分析の深さとレポートの詳細レベルを指定します。 | | | • **quick** – コネクタの正常性と割り当ての概要を高レベルで表示します。 | | | | • **standard** – コネクタ、トラフィック、ユーザーからターゲットへのデータを包括的に分析します。 *(推奨)* | | | | • **deep** – 高度な異常検出と最適化の推奨を備えた完全な診断モード。 | | 不完全なレポートを避けるため、エージェントを実行する前に、必要なすべての権限が付与されていることを確認してください。 *** ### セキュリティとコンプライアンスに関する考慮事項 * エージェントと Microsoft Graph 間のすべての通信は、 **HTTPS** を使用して認証され、 **Microsoft identity services**. * エージェントは、 **Zero Trust** および **最小権限** の原則に従います。 * を使用していつでもアクセスを確認、変更、または取り消すことができます **Microsoft Entra のロールベースのアクセス制御 (RBAC)** またはアプリケーションの同意管理。 * このエージェントは構成変更を行わないため、評価中の運用安全性が完全に確保されます。 *** ### 次の手順 1. エージェントを実行する管理者またはマネージド ID に、必要なロールと Graph 権限が割り当てられていることを確認してください。 2. Microsoft Graph を通じて Entra Private Access のコネクタとネットワーク アクセス レポートへのアクセスを検証します。 3. 自動レポートを有効にする前に、組織のロール割り当てとガバナンスポリシーを確認してください。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/jp/agents/gsa-reporting-and-assignment-agent/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.