権限

概要

このページでは、このエージェントのアクセス権限とアクセスモデルについて説明します。 このエージェントは、 読み取り専用アクセス Microsoft Entra ID のロール割り当て、Privileged Identity Management (PIM) の構成、および特権アクセス ログに対して、 Security Copilot Plugins。 このエージェントは、常時有効な管理者権限を特定し、Zero Standing Privilege (ZSP) の実装準備状況を評価し、設定変更を行わずに Just-In-Time (JIT) アクセスへの移行手順を推奨するよう設計されています。

仕組み

このエージェントは Security Copilot Plugins を通じて Microsoft Entra に安全に接続し、PIM 構成、特権ロール割り当て、関連する Service Principals に関する情報を収集します。 環境を評価して不要または恒久的な管理者アクセスを可視化し、権限の肥大化を検出し、JIT アクセスへの体系的な移行パスを提案します。

すべての操作は以下の原則に従います:

• 読み取り専用アクセス: このエージェントは、いかなるロール割り当ても構成も変更または削除しません。

• 最小権限: 特権アクセスと PIM データを読み取るために必要なロールのみが必要です。

• 透明性: すべてのデータアクセスは Microsoft Entra 内で監査可能であり、Microsoft のガバナンスおよびコンプライアンス基準に準拠しています。

必要な Entra ID ロール

エージェントをインストールして実行する管理者アカウントに、次のロールを割り当ててください:

Azure リソース分析用のオプション ロール

データアクセスの透明性

次の表では、このエージェントがアクセスできるデータとその目的を示します。

データの取り扱い:

• このエージェントは 、 テナント境界外へのデータの変更、削除、またはエクスポートを。

• すべてのアクセスは Security Copilot Plugins 委任された権限またはアプリケーション レベルの権限を使用して行われます。

• すべてのアクティビティは Microsoft Entra の監査ログ 追跡可能性とコンプライアンス検証のため。

エージェントの設定

エージェントを実行するときに、分析および移行の推奨事項をカスタマイズするためのパラメーターを構成できます。

例となるクエリ

• 「すべての常時有効な管理者権限を見つける」

• 「Zero Standing Privilege を実装する計画を作成する」

• 「自分の環境で権限の肥大化を特定する」

• 「不要な管理者アクセスを削除するスクリプトを生成する」

• 「権限管理に関するゼロトラストの準備状況を評価する」

移行に関する考慮事項

Zero Standing Privilege または JIT アクセスの推奨事項を実装する前に、慎重に確認し計画してください:

このエージェントは、次のような体系的な推奨事項を提供します:

• 移行優先度のランク付け: まず短期間で効果が出る項目、後で複雑な移行を特定します。

• サービス アカウントの検出: JIT アクセスに適さない非対話型アカウントをフラグ付けします。

• 緊急アクセスの検証: ブレークグラス アカウントを特定し、維持します。

• 自動化アカウントの取り扱い: 常時有効な権限を必要とする Service Principals を強調表示します。

セキュリティとコンプライアンスに関する考慮事項

• Security Copilot Plugins を介したすべての通信は HTTPS を使用して暗号化され、Microsoft の ID サービスを通じて認証されます。

• このエージェントは Microsoft の ゼロトラスト および 最小権限 の原則に従います。

• アクセスはいつでも Entra ID のロール割り当て または アプリケーションの同意管理.

次の手順

• を通じて確認または取り消すことができます。管理者アカウントに必要なロールが割り当てられていることを確認してください。

• エージェントを実行して常時有効な権限を特定し、ZSP の準備状況レポートを生成します。

• JIT または PIM の変更を実装する前に、Security Copilot でエージェントの移行推奨事項を確認してください。