circle-info
この記事は人工知能によって自動翻訳されたものであり、誤りや不正確な表現が含まれている可能性があります。
search
Go to glueckkanja Website

権限

hashtag
概要

このページでは、以下の権限およびアクセスモデルについて説明します: GSA レポーティング&アサインメント エージェント. エージェントは次を使用します 読み取り専用アクセス を通じて Entra Private Access と Entra ID データへ Microsoft Graph API および Security Copilot プラグイン. コネクタのヘルスメトリック、ネットワークトラフィックレポート、およびユーザーからターゲットへの割り当てデータを収集・分析するよう設計されています 構成を変更せずに あなたの環境内で。

hashtag
仕組み

エージェントは Microsoft Graph API エンドポイントを介してテナントに安全に接続し、構成およびテレメトリ データを収集します(対象は Global Secure Access(Entra Private Access))。 コネクタのパフォーマンス、IP 範囲の利用状況、およびユーザーアクセス割り当てを相関させてネットワークの効率を評価し、運用上またはセキュリティ上のギャップを特定します。

すべてのやり取りは以下の原則に従います:

  • 読み取り専用アクセス: エージェントは構成を変更、作成、または削除することは決してありません。

  • 最小権限: ネットワークおよびディレクトリ データを読み取るために必要最小限の権限のみが要求されます。

  • 透明性: すべてのデータ取得は文書化された Microsoft Graph API エンドポイントを通じて行われ、Microsoft Entra で完全に監査可能です。

hashtag
必要な Entra ID と Graph のロール

エージェントを実行する管理者アカウントまたはマネージド ID に次のロールと API 権限を割り当ててください:

ロール
説明

Global Secure Access リーダー (NetworkAccess.Read.All 経由)

Entra Private Access のコネクタ グループ、ポリシー、および構成に対する読み取り専用の可視性を有効にします。

セキュリティ リーダー

ネットワーク運用に関連するセキュリティおよび監査のインサイトに対する読み取り専用アクセスを提供します。

ディレクトリ リーダー

割り当ての相関のためにユーザー、グループ、およびデバイス情報への可視性を付与します。

レポート リーダー

トレンド分析のために使用状況およびトラフィック活動レポートをエージェントが読み取ることを許可します。

これらのロールは次の原則に準拠しています: 最小権限の原則 必要に応じて特定のアプリケーションやネットワークアクセス リソースにスコープを絞ることも可能です。

hashtag
データアクセスの透明性

以下の表はエージェントがアクセスするデータの種類とその目的を説明しています:

データの種類
アクセス レベル
目的

Global Secure Access のコネクタおよびポリシーデータ

読み取り専用

コネクタ構成、冗長性、およびヘルスメトリックを分析するため。

ネットワークトラフィックおよびパフォーマンスログ

読み取り専用

異常、レイテンシの問題、および接続失敗の試行を特定するため。

IP 範囲およびポートのカバレッジ

読み取り専用

使用されていない古い IP 範囲、欠落しているファイアウォール ルール、および競合を検出するため。

ユーザーおよびグループのディレクトリデータ

読み取り専用

ユーザーのアクセス割り当てをネットワークの宛先と相関させるため。

監査および使用状況レポート

読み取り専用

構成変更、アクセスの傾向、および利用パターンを追跡するため。

データの取り扱い:

  • エージェントはカスタマーデータをテナントの境界外に変更またはエクスポートしません。

  • すべてのデータアクセスは Microsoft Graph および Security Copilot プラグインのエンドポイントに限定されます。

  • すべてのアクセスイベントはログに記録されます(場所: Microsoft Entra の監査ログ 追跡可能性およびコンプライアンス保証のため)。

hashtag
エージェント設定

エージェントにはスコープ、遡及期間、およびレポートの深度を制御する構成可能なパラメーターが含まれています:

設定
オプション
説明

スコープ

コネクタ, トラフィック, 割り当て, ポート

どのネットワーク領域が分析に含まれるかを定義します。

LookbackDays

30, 60, 90

ネットワークトラフィックおよびコネクタ活動の評価期間を決定します。

モード

クイック, 標準, ディープ

分析の深さとレポートの詳細度を指定します。

クイック – コネクタのヘルスおよび割り当ての概要(高レベル)。

標準 – コネクタ、トラフィック、およびユーザーからターゲットへのデータの包括的な分析。 (推奨)

ディープ – 高度な異常検出および最適化の推奨を含む完全な診断モード。

レポートが不完全にならないよう、エージェントを実行する前にすべての必要な権限が付与されていることを確認してください。

hashtag
セキュリティおよびコンプライアンス上の考慮点

  • エージェントと Microsoft Graph 間のすべての通信は次を使用して暗号化されます: HTTPS および次で認証されます: Microsoft のアイデンティティ サービス.

  • エージェントは次の枠組み内で動作します: ゼロトラスト および 最小権限 の原則。

  • アクセスはいつでも次を使用してレビュー、変更、または取り消すことができます: Microsoft Entra のロールベースのアクセス制御(RBAC) またはアプリケーション同意管理。

  • エージェントは構成変更を行わないため、評価中の完全な運用上の安全性が確保されます。

hashtag
次のステップ

  1. エージェントを実行する管理者またはマネージド ID に必要なロールと Graph の権限が割り当てられていることを確認してください。

  2. Microsoft Graph を通じて Entra Private Access のコネクタおよびネットワークアクセス レポートへのアクセスを検証してください。

  3. 自動レポートを有効にする前に、組織のロール割り当ておよびガバナンスポリシーを確認してください。

前へ概要次へ変更履歴

最終更新

役に立ちましたか?