権限

概要

このページは、このエージェントの権限とアクセスモデルについて説明します。 エージェントは、 読み取り専用アクセス 特権アクセス管理（PIM）データ、監査ログ、および識別アクティビティ情報へのアクセスを通じて、 Security Copilot プラグイン。 構成を変更することなく、PIMの有効化、特権アクセスの挙動、およびコンプライアンス指標を分析するように設計されています。

仕組み

エージェントはSecurity Copilotプラグインを介してMicrosoft Entra環境に安全に接続し、PIMの有効化データ、監査ログ、およびサインイン情報を取得します。 ロール使用パターン、有効化ポリシーの準拠、および特権アクティビティにおける異常検出を評価します。 オプションで、継続的なPIM監視と可視化のためにAzure Workbookを生成できます。

すべてのやり取りは次の原則に従います：

• 読み取り専用アクセス： エージェントはロールの変更や割り当て、PIM設定の変更、監査データの改変を行いません。

• 最小特権： PIMおよび監査データの読み取りに必要な権限のみを使用します。

• 透明性： すべてのデータアクセスはMicrosoft Entraで監査可能であり、Microsoftのコンプライアンス基準に従います。

必要な Entra ID ロール

エージェントをインストールおよび実行する管理者アカウントに以下のロールを割り当ててください：

データアクセスの透明性

以下の表は、エージェントがアクセスできるデータとその目的を示しています。

データの取り扱い：

• エージェントは 顧客データをテナント境界の外に テナント境界の外に変更、削除、またはエクスポートしません。

• すべてのアクセスは Security Copilot プラグイン 委任されたまたはアプリケーションレベルの権限を使用して制限されています。

• アクセスイベントは次に記録されます： Microsoft Entra 監査ログ 可視性と追跡性のために。

エージェント設定

エージェントを実行するとき、分析およびレポート出力を調整するためのオプション設定を構成できます。

クエリの例

• 「過去30日間のPIM有効化を分析する」

• 「今週のグローバル管理者アクセスを表示して」

• 「前四半期のPIMコンプライアンスレポートを生成して」

• 「Azure Workbookで特権アクセスの異常を検出して」

Azure Workbook の生成

次の場合 GenerateWorkbook: true が指定されると、エージェントは Azure Workbook 構成ファイル を生成し、継続的なPIM監視のためにデプロイできます。

ワークブックには以下のダッシュボードが含まれます：

• リアルタイムのPIM有効化トレンド

• 失敗した有効化試行

• ロール使用と頻度の指標

• 有効化理由の準拠トラッキング

• 異常アラートとリスクの可視化

Azure ポータルでワークブックをデプロイする場所： モニター → ワークブック → インポート → 構成ファイルをアップロード

データ要件

正確で意味のある結果を得るために、次を確認してください:

• PIMが積極的に使用されており、 ロールの有効化が定期的に発生しています。

• 有効化理由 はコンプライアンス分析のためにPIMポリシーで必須です。

• で有効になっていること。 7〜30日分の有効化データ 30〜90 日の使用データ

• PIM有効化に対してMFAが適用されています。 PIM有効化のためにMFAが強制されています。

• 監査ログ はMicrosoft Entraで有効になっています。

セキュリティおよびコンプライアンスの考慮事項

• Security Copilot プラグインを通じたすべての通信は HTTPS を使用して暗号化され、Microsoft のアイデンティティサービスで認証されます。

• エージェントは Microsoft の ゼロトラスト および 最小特権 の原則に従います。

• アクセスはいつでも次を通じて見直しまたは取り消すことができます： Entra ID のロール割り当て または アプリケーション同意管理.

次のステップ

• アプリケーションの同意管理

• エージェントを実行してPIM有効化のアクティビティとコンプライアンス状況を分析してください。

• 継続的な特権アクセス監視のために、オプションのAzure Workbookをデプロイしてください。