> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/jp/agents/pim-insights/permissions.md). # 権限 ### 概要 このページでは、このエージェントのアクセス権限とアクセスモデルについて説明します。\ このエージェントは、 **読み取り専用アクセス** 特権 ID 管理 (PIM) のデータ、監査ログ、および ID アクティビティ情報に、 **Security Copilot Plugins**。\ これは、構成変更を行うことなく、PIM の有効化、特権アクセスの動作、およびコンプライアンス指標を分析するように設計されています。 *** ### 仕組み このエージェントは、Security Copilot Plugins を通じて Microsoft Entra 環境に安全に接続し、PIM の有効化データ、監査ログ、およびサインイン情報を取得します。\ ロールの使用パターン、有効化ポリシーへの準拠、特権アクティビティにおける異常検出を評価します。\ 必要に応じて、エージェントは継続的な PIM 監視と可視化のために Azure Workbooks を生成できます。 すべての操作は以下の原則に従います: * **読み取り専用アクセス:** このエージェントは、ロールの変更や割り当て、PIM 設定の変更、監査データの改変を行いません。 * **最小権限:** PIM および監査データを読み取るために必要な権限のみが使用されます。 * **透明性:** すべてのデータアクセスは Microsoft Entra で監査可能であり、Microsoft のコンプライアンス基準に準拠しています。 *** ### 必要な Entra ID ロール エージェントをインストールして実行する管理者アカウントに、次のロールを割り当ててください: | ロール | 説明 | | --------------------------------- | --------------------------------------------- | | **Privileged Role Administrator** | PIM のロール割り当てと有効化履歴を可視化します。 | | **Security Reader** | セキュリティ インサイトと ID リスク データへのアクセスを許可します。 | | **Reports Reader** | 使用状況と監査レポートへのアクセスを許可します。 | | **Global Reader** | 包括的な分析のために、Entra ID テナント全体で読み取り専用アクセスを有効にします。 | {% hint style="info" %} これらのロールは、推奨される最小権限構成を表しています。組織のセキュリティおよびコンプライアンス ポリシーに基づいて調整してください。 {% endhint %} *** ### データアクセスの透明性 次の表は、エージェントがどのデータにアクセスできるか、およびその目的を示しています。 | データの種類 | アクセス レベル | 目的 | | -------------------- | -------- | ---------------------------------- | | **PIM のロール有効化と割り当て** | 読み取り専用 | 有効化頻度、ロールの使用状況、最小権限の準拠を評価するため。 | | **監査ログ** | 読み取り専用 | 有効化イベント、MFA 検証、および承認ワークフローを追跡するため。 | | **サインインと ID リスクのログ** | 読み取り専用 | 異常な特権アクセスの動作を特定するため。 | | **ロール定義とポリシー** | 読み取り専用 | 内部ガバナンス標準との構成整合性を評価するため。 | **データの取り扱い:** * このエージェントは **、** テナント境界外へのデータの変更、削除、またはエクスポートを。 * すべてのアクセスは **Security Copilot Plugins** 委任された権限またはアプリケーション レベルの権限を使用して行われます。 * アクセス イベントは **Microsoft Entra の監査ログ** に記録され、可視性と追跡可能性が確保されます。 *** ### エージェントの設定 エージェントの実行時に、分析とレポート出力を改善するためのオプション設定を構成できます。 | 設定 | 例 | 説明 | | -------------------- | -------------------------------- | ------------------------------------------ | | **TimeRange** | `30` または `2025-01-01/2025-01-31` | PIM の有効化イベントを分析する期間を定義します。 | | **GenerateWorkbook** | `true` | 継続的な PIM 監視のための Azure Workbook ファイルを生成します。 | | **OutputFormat** | `summary` または `detailed` | レポートの詳細レベルと含まれるメトリックを指定します。 | #### 例となるクエリ * `"過去 30 日間の PIM の有効化を分析"` * `"今週の Global Administrator アクセスを表示"` * `"前四半期の PIM コンプライアンス レポートを生成"` * `"Azure Workbook で特権アクセスの異常を検出"` *** ### Azure Workbook の生成 When `GenerateWorkbook: true` が指定されると、エージェントは **Azure Workbook 構成ファイル** を出力し、継続的な PIM 監視にデプロイできます。 この workbook には、次のダッシュボードが含まれます: * リアルタイムの PIM 有効化トレンド * 有効化の失敗試行 * ロールの使用状況と頻度のメトリック * 有効化理由のコンプライアンス追跡 * 異常アラートとリスクの可視化 Azure ポータルで workbook を次の場所にデプロイします:\ **Monitor → Workbooks → Import → Upload Configuration File** *** ### データ要件 正確で有意義な結果を得るために、次を確認してください: * **PIM が積極的に使用されており** ロールの有効化が定期的に発生しています。 * **有効化理由** は、コンプライアンス分析のために PIM ポリシーで必須です。 * 少なくとも **7~30 日分の有効化データ** が利用可能であること。 * **MFA が強制されている** PIM の有効化に対して。 * **監査ログ記録** は Microsoft Entra で有効になっています。 * **Entra ID の監査ログ** は Microsoft Sentinel インスタンスに保存されます * Said **Microsoft Sentinel** インスタンスは **Microsoft Defender XDR** (旧 **Microsoft Security Center**)と統合されている必要があり、統合されたセキュリティ運用と高度な分析を実現します。 *** ### セキュリティとコンプライアンスに関する考慮事項 * Security Copilot Plugins を介したすべての通信は HTTPS を使用して暗号化され、Microsoft の ID サービスを通じて認証されます。 * このエージェントは Microsoft の **ゼロトラスト** および **最小権限** の原則に従います。 * アクセスはいつでも **Entra ID のロール割り当て** または **アプリケーションの同意管理**. *** ### 次の手順 * 管理者アカウントに必要なすべてのロールが割り当てられていることを確認してください。 * エージェントを実行して、PIM の有効化アクティビティとコンプライアンス状態を分析します。 * 継続的な特権アクセス監視のために、オプションの Azure Workbook をデプロイします。 --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/jp/agents/pim-insights/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.