条件付きアクセスの最適化エージェントのナレッジ ベース

条件付きアクセス ポリシーを使用してリソースへのアクセスを保護する組織は、基準とパターンを確立して整理する必要があります。 たとえば、一貫性のある名前付け規則を使用すると、ポリシーの重複やギャップを防ぎ、整理を維持できます。 条件付きアクセスの最適化エージェントは、これらの標準をマッピングするあなたの組織のドキュメントを活用し、設計されたパターンを適用して、その文脈を考慮に入れながら操作を行うことができます。

エージェントには、一般的なベスト プラクティスのみに依存するのではなく、ポリシーの名前付け方法、管理者を通常のユーザーから分離する方法、常に除外する必要があるアカウントなど、組織独自の規則が組み込まれています。 これにより、テナントでの条件付きアクセスの管理方法をより適切に反映する推奨事項が生成されます。

ナレッジ ベースは、次のような環境で特に役立ちます。

  • 異なるユーザー ペルソナには、管理者、従業員ユーザー、請負業者などの個別のポリシー セットが必要です
  • ポリシーの名前付け標準が適用される
  • Breakglass アカウントは一貫して除外する必要があります
  • 必要な条件付きアクセス ポリシーの定義済みのセットをテナント全体で維持する必要がある

ナレッジ ベースのしくみ

ナレッジ ベースを設定して使用する一般的なプロセスは次のとおりです。

  1. アップロード ガイダンス: 管理者は、組織の条件付きアクセス標準を記述した 1 つの Word (.docx) または PDF ドキュメントをアップロードします。 テンプレートをダウンロードすることも、独自のドキュメントをアップロードすることもできます。

  2. エージェントによる解釈: エージェントは、より広範なガバナンスまたは運用ドキュメントに埋め込まれている場合でも、ドキュメントを解析し、条件付きアクセス関連のガイダンスを抽出します。

  3. 構造化された理解: エージェントは、アップロードされたガイダンスの理解を表す自然言語の概要を生成します。

  4. 今後の推奨事項へのアプリケーション: 承認された理解は、エージェントによって生成される今後の条件付きアクセスの推奨事項に適用されます。 既存の推奨事項はさかのぼって変更されません。

ナレッジ ベース ファイルのコンポーネント

使用可能で効果的なナレッジ ベース ファイルは、詳細、具体的、構造化されている必要があります。 このファイルには、条件付きアクセス最適化エージェントが情報に基づいた意思決定を行うために使用できる、明確で実用的な情報が含まれている必要があります。

エージェント設定からテンプレートをダウンロードして、開始点として使用できます。 このテンプレートには、サポートされている各カテゴリのセクションを含む構造化された形式が用意されているため、組織の特定の詳細を入力できます。

ナレッジ ベース テンプレートのダウンロード オプションのスクリーンショット。

ペルソナベースのポリシー設計

条件付きアクセス ポリシーを使用して、組織内のさまざまなユーザー集団をセキュリティで保護する方法について説明します。 複数のポリシーが同じ制御 (MFA など) を適用する場合、エージェントはこのガイダンスを使用して、ユーザーのペルソナに基づいて適切なポリシーを選択します。 その例は次のとおりです。

  • 通常の従業員ユーザーがベースライン ポリシーに含まれる
  • 管理者は、ベースライン ポリシーと、特定のニーズに合わせて専用のポリシー セットに含まれる場合があります。
  • 請負業者は、ベースラインとは別の独自のポリシーによって管理されます

条件付きアクセス戦略で特定のポリシーを正社員に適用する場合は、正社員の定義方法について説明します。 たとえば、これらの従業員は特定のユーザー属性またはグループ メンバーシップで定義されていますか?

明示的にする。 個人ベースのポリシー設計がロールに基づいている場合は、Microsoft Entra ID の組み込みロールの正式な名称を正確に指定してください。 たとえば、「管理者特権を持つユーザー」ではなく「条件付きアクセス管理者」と言います。

ポリシーの名前付け規則

必要な構造、順序、用語など、条件付きアクセス ポリシーの名前付け方法を指定します。

エージェントは、次の場合にこのガイダンスを使用します。

  • 新しいポリシーの作成
  • 同様のポリシーのマージ
  • ポリシー名の変更に関する推奨事項の生成

Breakglass アカウントの処理

緊急アクセス (ブレークグラス) ID を表すアカウントまたはグループと、それらの除外方法を定義できます。

エージェントは、次の場合にこのガイダンスを適用します。

  • 新しいポリシーの作成
  • 不足している除外の特定
  • 既存のポリシーに対する更新プログラムの推奨

望ましい条件付きアクセス ポリシー

組織がテナント全体に配置する予定の条件付きアクセス ポリシーのセットを定義します。 目的のポリシーごとに、ポリシーで適用する必要があるターゲット ユーザー、アプリケーション、条件、および許可コントロールについて説明します。

エージェントでは、このガイダンスを使用して次の操作を行います。

  • 現在の条件付きアクセス ポリシーを目的の状態に対して監査する
  • 必要なポリシーが不足しているか不完全であるギャップを特定する
  • カバー範囲の不足を解消し、組織で意図している構成に合わせるための新しいポリシーを提案する

たとえば、クラウド アプリケーションにアクセスするときに、すべてのゲスト ユーザーが MFA で認証を行う必要がある組織の場合は、その期待をナレッジ ベースで記述します。 エージェントは、テナントで現在構成されているポリシーと目的の状態を比較し、不足しているポリシーの推奨事項を表示します。

必要な各ポリシーを完全な命令として記述します。 例えば次が挙げられます。

  • "Windowsまたは macOS からOffice 365にアクセスするすべてのユーザーに MFA と準拠デバイスを必要とする条件付きアクセス ポリシーを作成します。 ブレーク グラスとサービス アカウントを除外します。 ポリシーをレポート専用に設定します。
  • "すべてのアプリにアクセスするすべてのユーザーのレガシ認証をブロックする条件付きアクセス ポリシーを作成します。 EmergencyAccess グループを除外します。 ポリシーを有効に設定します。

ナレッジ ベースにファイルを追加する

セットアップ プロセスを簡略化するために、開始点として使用するテンプレートをダウンロードできます。 テンプレートは、エージェント設定で直接使用できます。

  1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

  2. 条件付きアクセス最適化エージェント>Settings>Knowledge ソースを参照します。

  3. [ ファイル テンプレートのダウンロード ] を選択して、ナレッジ ベース テンプレート ファイルをダウンロードします。

  4. テンプレート (CA_Knowledge_Base_Template.docx) を開き、プレースホルダーコンテンツを組織の特定の条件付きアクセス標準、名前付け規則、ブレークグラス アカウント、および必要なポリシーに置き換えます。

  5. ファイルをWord (.docx) または PDF ドキュメントとして保存します。

  6. [ナレッジ ソース] セクションに戻り、[アップロード] ボタンを選択します。

    ナレッジ ベース テンプレートオプションのスクリーンショット。

  7. 開いたパネルにファイルをドラッグ アンド ドロップするか、[ファイルの アップロード ] を選択してコンピューター上のファイルに移動します。

    ナレッジ ベースのアップロード パネルのスクリーンショット。

エージェントはファイルを処理して分析し、必要な情報が含まれていることを確認します。

Note

テンプレートを使用する必要はありません。 組織の条件付きアクセス標準を含む任意のWord (.docx) または PDF ドキュメントをアップロードできます。 このテンプレートは、サポートされている各カテゴリのセクションを含む便利な開始点を提供します。

ナレッジ ベースの影響を受けた推奨事項

ナレッジ ベースにガイダンスを正常に追加すると、条件付きアクセスの最適化エージェントは、次のシナリオのガイダンスに従うことができます。

  • ベースライン ポリシーの作成: 新しく推奨されるポリシーは、テナントの名前付け基準に従い、正しい除外を含めます。

  • ポリシーのマージの提案: 同様のポリシーが統合されると、結果のポリシーには組織の標準が反映されます。

  • ユーザー ドリフトの修復: 新しいユーザーが既存の対象範囲外になると、エージェントはペルソナのガイダンスに基づいて適切なポリシーを選択します。

  • Breakglass の修復: 緊急アクセスアカウントを除外するための推奨事項には、適切なユーザーまたはグループが含まれます。

  • ポリシーの名前付けの修復: ポリシーが定義された名前付け基準に従っていない場合、エージェントは適切な名前の置換を推奨します。

  • 必要なポリシー監査: 目的の条件付きアクセス ポリシーを定義すると、エージェントはそれらを現在の構成と比較し、ギャップを埋めるために新しいポリシーを推奨します。

ナレッジ ベースを使用する必要がある場合

組織が次の場合は、ナレッジ ベースの使用を検討してください。

  • 厳密な条件付きアクセスの名前付け標準を維持する
  • ユーザー ペルソナまたはリスク プロファイルによってポリシーを分離します
  • 条件付きアクセス ポリシーを定期的に監査する
  • 内部ガバナンス プロセスに合わせて推奨事項が必要
  • テナント全体で特定の条件付きアクセス ポリシーのセットを定義して適用する必要がある

ナレッジ ベース ドキュメントを記述するためのベスト プラクティス

エージェントの推奨事項の品質は、ナレッジ ベース ドキュメントの明確さと特定性によって異なります。 最適な結果を得るには、次のガイドラインに従ってください。

  • 明示的かつ具体的である。 オブジェクト名、グループ名、ロール名Microsoft Entra正確に使用します。 たとえば、"管理者特権を持つユーザー" ではなく"条件付きアクセス管理者" と言います。
  • 完全な手順を記述します。 各ステートメントは、単独でアクション可能である必要があります。 箇条書きを一覧表示する代わりに、意図した動作を記述する完全な文を記述します。
  • 用語を定義します。 組織で "Admin" や "Guest" などのペルソナを使用している場合は、ロール、グループ メンバーシップ、またはユーザー属性を使用して、各ペルソナに属するユーザーを正確に定義します。
  • 各要件に適用範囲を含めます。 適用するユーザー、アプリ、条件、コントロール、除外を指定します。 不足している情報をエージェントに推測させないでください。
  • 指定されたテンプレートを使用します。 エージェント設定の [ナレッジ ソース ] セクションからナレッジ ベース テンプレートをダウンロードして、ドキュメントが想定される構造に従っていることを確認します。

ナレッジ ベース テンプレートには、次のセクションが含まれています。

  • 名前付け規則: 条件付きアクセス ポリシーに名前を付けるための正確なパターンと許可される値。
  • Breakglass アカウント: 緊急アクセスとして指定された ID またはグループと、それらを除外するための規則。
  • ペルソナの定義とポリシー カバレッジ: ユーザーの母集団をセグメント化する方法と、各ペルソナに適用されるポリシー。
  • ベースライン ポリシーの要件: 組織が適用する最小限のアクセス制御を説明する、予想されるポリシーの状態の一覧。

Tip

テンプレート内のすべてのプレースホルダー テキストをテナント固有の情報に置き換えます。 一般的またはあいまいな説明により、エージェントが関連する提案を生成する能力が低下します。

スコープと制限事項

ナレッジ ベースには、次の制約があります。

  • テナントごとに 1 つのナレッジ ベース ドキュメント
  • サポートされているファイル形式: Word (.docx) と PDF
  • 最大ファイル サイズ: 5 MB
  • ナレッジ ベースは、今後のエージェントの実行にのみ適用されます

ドキュメントが一覧の条件を満たしていない場合、アップロード プロセスが失敗する可能性があります。 ドキュメントに秘密度ラベルが適用されている場合は、アップロードも失敗する可能性があります。 組織は秘密度ラベルの条件をカスタマイズできるため、特定の秘密度ラベルを提案することはできません。

  • Last updated on