# 権限

### 概要

このページでは、このエージェントのアクセス権限とアクセスモデルについて説明します。\
このエージェントは、 **読み取り専用アクセス** Microsoft Entra ID のロール割り当て、Privileged Identity Management (PIM) の構成、および特権アクセス ログに対して、 **Security Copilot Plugins**。\
このエージェントは、常時有効な管理者権限を特定し、Zero Standing Privilege (ZSP) の実装準備状況を評価し、設定変更を行わずに Just-In-Time (JIT) アクセスへの移行手順を推奨するよう設計されています。

***

### 仕組み

このエージェントは Security Copilot Plugins を通じて Microsoft Entra に安全に接続し、PIM 構成、特権ロール割り当て、関連する Service Principals に関する情報を収集します。\
環境を評価して不要または恒久的な管理者アクセスを可視化し、権限の肥大化を検出し、JIT アクセスへの体系的な移行パスを提案します。

すべての操作は以下の原則に従います:

* **読み取り専用アクセス:** このエージェントは、いかなるロール割り当ても構成も変更または削除しません。
* **最小権限:** 特権アクセスと PIM データを読み取るために必要なロールのみが必要です。
* **透明性:** すべてのデータアクセスは Microsoft Entra 内で監査可能であり、Microsoft のガバナンスおよびコンプライアンス基準に準拠しています。

***

### 必要な Entra ID ロール

エージェントをインストールして実行する管理者アカウントに、次のロールを割り当ててください:

| ロール                               | 説明                                        |
| --------------------------------- | ----------------------------------------- |
| **Privileged Role Administrator** | PIM ロール構成とアクティブ化の可視性を提供します。               |
| **Security Reader**               | セキュリティ インサイト、特権アクセス ログ、監査データへのアクセスを付与します。 |
| **Reports Reader**                | ロール使用状況のレポートおよび傾向分析の可視性を有効にします。           |
| **Global Reader**                 | テナント全体の可視性を許可し、包括的なロール評価を可能にします。          |

#### Azure リソース分析用のオプション ロール

| ロール                                   | 説明                                    |
| ------------------------------------- | ------------------------------------- |
| **Reader (Azure Subscription Level)** | Azure RBAC 割り当てにおける常時有効な権限の分析を有効にします。 |

{% hint style="info" %}
これらのロールは最小権限の原則に従います。Azure **Reader** ロールは、Azure RBAC 分析を含める場合にのみ割り当ててください。
{% endhint %}

***

### データアクセスの透明性

次の表では、このエージェントがアクセスできるデータとその目的を示します。

| データの種類                        | アクセス レベル | 目的                                          |
| ----------------------------- | -------- | ------------------------------------------- |
| **特権ロールの割り当て**                | 読み取り専用   | 常時有効な権限と過剰に割り当てられた管理者アクセスを特定するため。           |
| **PIM 構成とアクティブ化**             | 読み取り専用   | JIT と Zero Standing Privilege の準備状況を評価するため。 |
| **Service Principals とアプリ登録** | 読み取り専用   | 自動化およびサービス アカウントで必要な常時権限を検出するため。            |
| **監査および特権アクセス ログ**            | 読み取り専用   | 過去のアクティブ化を追跡し、異常を特定し、コンプライアンスを検証するため。       |

**データの取り扱い:**

* このエージェントは **、** テナント境界外へのデータの変更、削除、またはエクスポートを。
* すべてのアクセスは **Security Copilot Plugins** 委任された権限またはアプリケーション レベルの権限を使用して行われます。
* すべてのアクティビティは **Microsoft Entra の監査ログ** 追跡可能性とコンプライアンス検証のため。

***

### エージェントの設定

エージェントを実行するときに、分析および移行の推奨事項をカスタマイズするためのパラメーターを構成できます。

| 設定                   | 例                                      | 説明                                        |
| -------------------- | -------------------------------------- | ----------------------------------------- |
| **TimeRange**        | `30`, `90`、または `2025-01-01/2025-03-31` | PIM および特権アクセス データの分析期間を定義します。             |
| **IncludeAzureRBAC** | `true`                                 | 分析に Azure のロールベースのアクセス制御 (RBAC) データを含めます。 |
| **OutputFormat**     | `summary` または `detailed`               | 生成されるレポートの詳細レベルを指定します。                    |
| **MigrationMode**    | `simulation` または `plan`                | エージェントが準備状況の評価を実行するか、移行プランを生成するかを決定します。   |

#### 例となるクエリ

* `「すべての常時有効な管理者権限を見つける」`
* `「Zero Standing Privilege を実装する計画を作成する」`
* `「自分の環境で権限の肥大化を特定する」`
* `「不要な管理者アクセスを削除するスクリプトを生成する」`
* `「権限管理に関するゼロトラストの準備状況を評価する」`

***

### 移行に関する考慮事項

Zero Standing Privilege または JIT アクセスの推奨事項を実装する前に、慎重に確認し計画してください:

| 領域               | 推奨事項                                                   |
| ---------------- | ------------------------------------------------------ |
| **緊急アクセス アカウント** | ブレークグラス アカウントが機能を維持し、JIT ワークフローの対象外であることを確認します。        |
| **パイロット テスト**    | 本格展開の前に、少人数のユーザーで JIT アクティブ化ワークフローをテストします。             |
| **PIM 承認者**      | 重要なロールに対して承認者の構成が設定されていることを確認します。                      |
| **自動化アカウント**     | 自動化に必要な場合は、Service Principals が適切な常時権限を保持していることを検証します。 |
| **変更の周知**        | ロール制限を実装する前に、影響を受ける管理者とチームに通知します。                      |
| **ワークフローの検証**    | アクティブ化要求、MFA の強制、および承認プロセスが期待どおりに機能することを確認します。         |

このエージェントは、次のような体系的な推奨事項を提供します:

* **移行優先度のランク付け:** まず短期間で効果が出る項目、後で複雑な移行を特定します。
* **サービス アカウントの検出:** JIT アクセスに適さない非対話型アカウントをフラグ付けします。
* **緊急アクセスの検証:** ブレークグラス アカウントを特定し、維持します。
* **自動化アカウントの取り扱い:** 常時有効な権限を必要とする Service Principals を強調表示します。

***

### セキュリティとコンプライアンスに関する考慮事項

* Security Copilot Plugins を介したすべての通信は HTTPS を使用して暗号化され、Microsoft の ID サービスを通じて認証されます。
* このエージェントは Microsoft の **ゼロトラスト** および **最小権限** の原則に従います。
* アクセスはいつでも **Entra ID のロール割り当て** または **アプリケーションの同意管理**.

***

### 次の手順

* を通じて確認または取り消すことができます。管理者アカウントに必要なロールが割り当てられていることを確認してください。
* エージェントを実行して常時有効な権限を特定し、ZSP の準備状況レポートを生成します。
* JIT または PIM の変更を実装する前に、Security Copilot でエージェントの移行推奨事項を確認してください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/jp/agents/privileged-admin-watchdog/permissions.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.