権限
概要
このページは、このエージェントの権限とアクセスモデルについて説明します。 エージェントは、 読み取り専用アクセス を通じて Microsoft Intune および Microsoft Entra ID のデータにアクセスします Microsoft Graph API と Security Copilot プラグイン。 環境に変更を加えることなく、構成設定、デバイス割り当て、ポリシー準拠を分析するように設計されています。
仕組み
エージェントは Microsoft Graph API エンドポイントを使用してテナントに安全に接続し、Intune と Entra ID のデータを取得します。 取得した情報を処理して、構成の健全性、割り当ての適用範囲、および準拠状況を評価します。
すべてのやり取りは次の原則に従います:
読み取り専用アクセス: エージェントは構成を変更、作成、または削除することはできません。
最小特権: Intune と Entra ID のデータを読み取るために必要最小限の権限のみが使用されます。
透明性: すべてのデータアクセスは文書化された Graph API エンドポイントを通じて行われ、Microsoft Entra で監査可能です。
必要な Entra ID ロール
エージェントをインストールおよび実行する管理者アカウントに以下のロールを割り当ててください:
Intune リーダー
Intune の構成、コンプライアンス、およびデバイス データへの読み取り専用アクセスを提供します。
ディレクトリ リーダー
Entra ID のユーザー、グループ、およびディレクトリ情報への読み取り専用アクセスを許可します。
セキュリティリーダー
変更権限なしでセキュリティ インサイトとレポートの可視性を可能にします。
これらのロールは最小権限の原則に従います。組織のセキュリティおよびガバナンスポリシーに基づいて調整してください。
データアクセスの透明性
以下の表は、エージェントがアクセスできるデータとその目的を示しています。
Intune の構成プロファイルとポリシー
読み取り専用
展開構成、コンプライアンス設定、およびポリシーのステータスを分析するため。
デバイスおよびユーザーの割り当て
読み取り専用
ターゲティング、コンプライアンス、および構成の適用範囲に関するインサイトを生成するため。
Entra ID のディレクトリ データ
読み取り専用
レポーティングのためにユーザー、グループ、およびデバイスの関係を相関させるため。
セキュリティのインサイトおよびアラート
読み取り専用
潜在的な誤設定やコンプライアンス リスクの可視性を向上させるため。
データの取り扱い:
エージェントは 顧客データをテナント境界の外に 変更またはエクスポートしません。
すべてのデータアクセスは以下に限定されます Microsoft Graph API 委任権限またはアプリケーション権限を使用して制限されます。
すべてのアクセス活動は次に記録されます Microsoft Entra 監査ログ トレース可能性とコンプライアンスのため。
エージェント設定
エージェントは分析の範囲と深さを調整するための設定可能なパラメーターをサポートします。
スコープ
デバイス, ポリシー, 割り当て
分析に含める Intune の領域を決定します。
モード
quick, standard, deep
分析の深さとパフォーマンスのトレードオフを定義します。
• quick — 構成の基本的な概要。
• standard — ほとんどの指標を含むバランスの取れた分析(推奨)。
• deep — 拡張レポートとクロスチェックを伴う詳細な検査。
エージェントを実行する前に、管理者アカウントに必要なすべてのロールが割り当てられていることを確認してください。
セキュリティおよびコンプライアンスの考慮事項
Microsoft Graph とのすべての通信は HTTPS を使用して暗号化され、Microsoft のアイデンティティサービスによって保護されています。
エージェントは Microsoft の ゼロトラスト および 最小特権 の原則に従います。
アクセスはいつでも次を通じて見直しまたは取り消すことができます: Entra ID のロール割り当て または アプリケーション同意管理.
次のステップ
管理者アカウントに必要なすべてのロールが割り当てられていることを確認してください。
組織の最小権限およびロール割り当てポリシーを確認してください。
最終更新
役に立ちましたか?