権限

概要

このページでは、このエージェントの権限とアクセスモデルについて説明します。 エージェントは 読み取り専用アクセス を介して Microsoft Purview のポリシー、分類、およびコンプライアンス データにアクセスします。 Security Copilot プラグイン。 これは、構成を変更することなく、欠落しているポリシーの検出、保護範囲の分析、および Microsoft 365 ワークロード全体のコンプライアンス準備状況の検証を目的としています。

仕組み

エージェントは Security Copilot プラグインを通じて Microsoft Purview に安全に接続し、ポリシー定義、分類結果、およびアクティビティ ログを収集します。 現在の DLP、ラベリング、および保持ポリシーを評価して、構成のギャップや潜在的なコンプライアンスの盲点を特定します。

すべてのやり取りは次の原則に従います:

• 読み取り専用アクセス: エージェントはポリシー、ラベル、またはルールを変更または作成しません。

• 最小権限: Purview のコンプライアンス データを読み取るために必要な権限のみを使用します。

• 透明性: すべてのアクセスは Microsoft Entra 内で監査可能であり、Microsoft のコンプライアンスおよびガバナンス基準に整合しています。

必要な Entra ID ロール

エージェントをインストールおよび実行する管理者アカウントに次のロールを割り当ててください:

データアクセスの透明性

以下の表は、エージェントがアクセスできるデータとその使用方法の概要を示しています。

データの取り扱い:

• エージェントは データを テナント境界の外に変更、削除、またはエクスポートしません。

• すべてのアクセスは Security Copilot プラグイン 委任またはアプリケーション レベルの権限を使用して行われます。

• すべてのアクティビティは Microsoft Entra 監査ログ に記録され、透明性と追跡可能性が確保されます。

エージェント設定

エージェントを実行する際に、分析の範囲と深さをカスタマイズするためのオプション設定を構成できます。

クエリの例

• 「Purview 環境のポリシーのギャップを特定する」

• 「GDPR のコンプライアンス適用範囲を検証する」

• 「SharePoint の DLP ポリシーのギャップを表示する」

• 「どこで機密ラベルの保護が欠けていますか？」

• 「保持ポリシーの完全性を確認する」

データ要件

正確で意味のある結果を得るために、次を確認してください:

• Purview ポリシー が展開され、アクティビティ データを生成していること。

• データ分類 が主要なワークロード全体で実行されていること。

• 機密ラベル は利用可能で使用されていること（採用が不完全でもよい）。

• 規制要件 は GDPR や ISO のようなフレームワークに対して検証する場合に定義されていること。

• ワークロードのインベントリ は最新であること（エージェントが保護の欠落を特定できるように）。

セキュリティおよびコンプライアンスに関する考慮事項

• Security Copilot プラグインを介したすべての通信は HTTPS を使用して暗号化され、Microsoft のアイデンティティ サービスによって保護されています。

• エージェントは Microsoft の ゼロ トラスト および 最小権限 の原則に従います。

• アクセスはいつでも次を通じてレビューまたは取り消すことができます: Entra ID のロール割り当て または アプリケーション同意の管理.

次のステップ

• 管理者アカウントに必要なすべてのロールが割り当てられていることを確認してください。

• エージェントを実行して、Purview 環境全体のポリシーおよびコンプライアンス適用範囲のギャップを特定してください。

• Security Copilot で所見を確認し、修復の優先順位付けとガバナンスポスチャの強化を行ってください。