circle-info
この記事は人工知能によって自動翻訳されたものであり、誤りや不正確な表現が含まれている可能性があります。
search
Go to glueckkanja Website

権限

hashtag
概要

このページは、このエージェントの権限とアクセスモデルについて説明します。 エージェントは、 読み取り専用アクセス Microsoft Entra ID のロール割り当て、特権アクセス管理 (PIM) の構成、および特権アクセスログへのアクセスを介して Security Copilot プラグイン。 これは、恒常的な管理者権限を特定し、Zero Standing Privilege (ZSP) 実装の準備状況を評価し、構成変更を行うことなく Just-In-Time (JIT) アクセスへの移行手順を推奨するように設計されています。

hashtag
仕組み

エージェントは Security Copilot プラグインを通じて Microsoft Entra に安全に接続し、PIM 構成、特権ロール割り当て、および関連するサービスプリンシパルに関する情報を収集します。 環境を評価して、不必要または恒常的な管理アクセスを強調表示し、権限の肥大化を検出し、JIT アクセスへの体系的な移行パスを提案します。

すべてのやり取りは次の原則に従います:

  • 読み取り専用アクセス: エージェントはロール割り当てや構成を変更または削除しません。

  • 最小特権: 特権アクセスおよび PIM データを読み取るために必要なロールのみが必要です。

  • 透明性: すべてのデータアクセスは Microsoft Entra 内で監査可能であり、Microsoft のガバナンスおよびコンプライアンス基準に準拠しています。

hashtag
必要な Entra ID ロール

エージェントをインストールおよび実行する管理者アカウントに以下のロールを割り当ててください:

ロール
説明

特権ロール管理者

PIM ロール構成とアクティベーションの可視化を提供します。

セキュリティリーダー

セキュリティインサイト、特権アクセスログ、および監査データへのアクセスを付与します。

レポート リーダー

ロール使用状況のレポートと傾向分析の可視化を可能にします。

グローバルリーダー

テナント全体の可視性を許可し、包括的なロール評価を行います。

hashtag
Azure リソース分析のためのオプションロール

ロール
説明

リーダー (Azure サブスクリプション レベル)

Azure RBAC 割り当てにおける恒常的権限の分析を可能にします。

circle-info

これらのロールは最小権限の原則に従います。Azure を割り当ててください リーダー Azure RBAC 分析を含める予定がある場合にのみロールを割り当ててください。

hashtag
データアクセスの透明性

次の表はエージェントがアクセスできるデータとその目的を示しています。

データ型
アクセスレベル
目的

特権ロールの割り当て

読み取り専用

恒常的な権限および過剰に割り当てられた管理アクセスを特定するため。

PIM の構成とアクティベーション

読み取り専用

JIT および Zero Standing Privilege の準備状況を評価するため。

サービスプリンシパルとアプリ登録

読み取り専用

恒常的な権限を必要とする自動化およびサービスアカウントを検出するため。

監査および特権アクセスログ

読み取り専用

過去のアクティベーションを追跡し、異常を特定し、コンプライアンスを検証するため。

データの取り扱い:

  • エージェントは 顧客データをテナント境界の外に テナント境界の外に変更、削除、またはエクスポートしません。

  • すべてのアクセスは Security Copilot プラグイン 委任されたまたはアプリケーションレベルの権限を使用して制限されています。

  • すべてのアクティビティは Microsoft Entra 監査ログ トレーサビリティとコンプライアンス検証のため。

hashtag
エージェント設定

エージェント実行時に、分析および移行の推奨をカスタマイズするためのパラメータを構成できます。

設定
説明

TimeRange

30, 90、または 2025-01-01/2025-03-31

PIM および特権アクセスデータの分析ウィンドウを定義します。

IncludeAzureRBAC

true

分析に Azure のロールベースアクセス制御 (RBAC) データを含めます。

出力形式

概要 または 詳細

生成されるレポートの詳細レベルを指定します。

MigrationMode

シミュレーション または 計画

エージェントが準備状況評価を実行するか、移行計画を生成するかを決定します。

hashtag
クエリの例

  • 「すべての恒常的な管理者権限を見つける」

  • 「ゼロ・スタンディング・プリビレッジを実装するための計画を作成する」

  • 「環境内の権限の肥大化を特定する」

  • 「不要な管理者アクセスを削除するスクリプトを生成する」

  • 「特権管理のためのゼロトラスト準備状況を評価する」

hashtag
移行に関する考慮事項

Zero Standing Privilege または JIT アクセスの推奨を実装する前に、慎重に確認し計画を立ててください:

領域
推奨事項

緊急アクセスアカウント

ブレイクグラスアカウントが機能し続け、JIT ワークフローから除外されていることを確認してください。

パイロットテスト

広範な展開前に少人数のユーザーで JIT アクティベーションワークフローをテストしてください。

PIM 承認者

重要なロールの承認者構成が設定されていることを確認してください。

自動化アカウント

自動化のために必要な場合、サービスプリンシパルが適切な恒常的権限を保持していることを検証してください。

変更の周知

ロール制限を実装する前に、影響を受ける管理者やチームに通知してください。

ワークフローの検証

アクティベーション要求、MFA の適用、および承認プロセスが期待どおりに機能することを確認してください。

エージェントは次を含む体系的な推奨を提供します:

  • 移行の優先順位ランキング: まず迅速に実行できる対策を特定し、複雑な移行は後回しにします。

  • サービスアカウントの検出: JIT アクセスに適さない非対話型アカウントにフラグを立てます。

  • 緊急アクセスの検証: ブレイクグラスアカウントを特定して保護します。

  • 自動化アカウントの取り扱い: 恒常的権限を必要とするサービスプリンシパルを強調表示します。

hashtag
セキュリティおよびコンプライアンスの考慮事項

  • Security Copilot プラグインを通じたすべての通信は HTTPS を使用して暗号化され、Microsoft のアイデンティティサービスで認証されます。

  • エージェントは Microsoft の ゼロトラスト および 最小特権 の原則に従います。

  • アクセスはいつでも次を通じて見直しまたは取り消すことができます: Entra ID のロール割り当て または アプリケーション同意管理.

hashtag
次のステップ

  • 管理者アカウントに必要なロールが割り当てられていることを確認してください。

  • エージェントを実行して恒常的権限を特定し、ZSP 準備レポートを生成してください。

  • JIT または PIM の変更を実施する前に、Security Copilot でエージェントの移行推奨を確認してください。

前へ概要次へ変更履歴

最終更新

役に立ちましたか?