権限
概要
このページでは、このエージェントの権限、構成要件、およびアクセスモデルについて説明します。 エージェントは次を使用します 読み取り専用アクセス Microsoft Purview および Microsoft Security Copilot のデータへのアクセス。 目的は、設定を変更することなくデータ分類パターン、DLP ポリシーの活動、およびセキュリティのインサイトを分析することです。
仕組み
エージェントは Microsoft Graph API エンドポイントを使用してテナントに安全に接続し、Microsoft Purview の分類および DLP データを読み取ります。 これらのシグナルを分析してパターンを特定し、カバレッジを評価し、データ保護体制を改善するための推奨を提供します。
すべてのやり取りは次の原則に従います:
読み取り専用アクセス: エージェントは構成、ポリシー、または分類子を変更または作成しません。
最小特権: Purview とセキュリティ データを読み取るために必要な最小限の権限のみが要求されます。
透明性: すべてのデータアクセスはドキュメント化された Graph API エンドポイントを通じて行われ、Microsoft Entra で監査可能です。
必要な Entra ID ロール
エージェントをインストールおよび実行する管理者アカウントに以下のロールを割り当ててください:
コンプライアンス データ管理者
Microsoft Purview の分類および DLP データへの読み取り専用アクセスを提供します。
セキュリティリーダー
セキュリティ イベントおよびアラートへの読み取り専用の可視性を付与します。
グローバルリーダー (オプション)
クロスドメインのデータ相関のために Microsoft 365 サービス全体への読み取り専用アクセスを許可します。
これらのロールは最小特権の原則に従います。組織のセキュリティおよびコンプライアンス要件に基づいて調整してください。
データアクセスの透明性
以下の表は、エージェントがアクセスできるデータとその目的を示しています。
Purview の分類およびラベリング データ
読み取り専用
データの機密性の分布とポリシーの有効性を評価するため。
DLP ポリシーのマッチイベント
読み取り専用
データ損失の傾向を分析し、カバレッジ改善が必要な領域を特定するため。
セキュリティのインサイトおよびアラート
読み取り専用
データ保護イベントをより広範なセキュリティシグナルと相関させるため。
テナントの構成メタデータ
読み取り専用
構成を変更することなく結果に文脈を付与するため。
データの取り扱い:
エージェントは 顧客データをテナント境界の外に 変更またはエクスポートしません。
すべてのアクセスは Microsoft Graph API 委任権限またはアプリケーション権限を使用して制限されます。
すべてのアクティビティは記録されます Microsoft Entra 監査ログ 透明性およびコンプライアンス検証のため。
エージェント設定
エージェントを実行する際、分析の深さと時間範囲を制御するために次のパラメーターを構成できます。
TimeRange
30, last_30_days, 2025-01-01/2025-01-31
分類および DLP イベント分析の時間ウィンドウを定義します。
モード
quick, standard, deep
分析の深さとリソース使用量を決定します。
• quick — 限られた推奨事項による高速分析。
• standard — 深さとパフォーマンスのバランス(推奨)。
• deep — 詳細な統計と拡張されたインサイトを伴う包括的な分析(より多くの SCU を使用)。
エージェントは次を必要とします 少なくとも 30 日分の分類と検出データ 有意な結果を得るために。
セキュリティおよびコンプライアンスの考慮事項
Microsoft Graph とのすべての通信は HTTPS を使用して暗号化され、Microsoft のアイデンティティ サービスによって保護されます。
エージェントは Microsoft の ゼロトラスト および 最小特権 の原則に従います。
アクセスはいつでも次を通じて見直しまたは取り消すことができます: Entra ID のロール割り当て または アプリケーション同意管理.
次のステップ
管理者アカウントに必要なすべてのロールが割り当てられていることを確認してください。
Purview の分類および DLP ポリシーが少なくとも 30 日分のデータで有効であることを確認してください。
最終更新
役に立ちましたか?