自律エージェントに推奨されるポリシー

このガイドを使用して、サインインしているユーザーなしで、自分の ID で認証するエージェントの条件付きアクセスを構成します。 アクセス パターンは、 既知のクライアント資格情報フローです。 エージェントは、ユーザーの代わりに、独自の資格情報 (エージェント ID ブループリントによって管理される証明書またはマネージド ID とペアになっているクライアント ID) を使用して認証します。 このアクセス パターンは、次のシナリオで適用されます。

  • 独立して動作する自律エージェント:
    • これらのエージェントはバックグラウンドで実行され、イベントに応答するか、スケジュールに従って実行されます。 典型的な例は、日次レポートを生成し、結果を従業員のグループに送信するエージェントです。 このシナリオでは、ユーザーが存在せず、エージェントが単独で動作します。
  • 常にユーザーに代わって動作するとは限らないエージェント:
    • エージェントが完全に単独で動作する場合があります。 たとえば、ユーザーがアクセスできないバックエンド SMS サービスなどです。 このシナリオでは、OBO フローは適用されず、エージェントは独自の ID で直接認証することでターゲット リソースにアクセスします。
  • 一般に使用するために Web で公開されたエージェント:
    • これらのエージェントは、ユーザーを認証しないか、ダウンストリーム リソースへのユーザーのコンテキストの委任をサポートしていません。

このようなシナリオでは、エージェントはアクセスを要求し、発行されたアクセス トークンのサブジェクトはユーザーではなく エージェント ID です。 その結果、条件付きアクセス ポリシースコープは、ユーザーではなく エージェント ID に適用されます。

重要

条件付きアクセス ポリシーを構成する前に、 エージェントの条件付きアクセスに関する記事を 参照してください。 認証フロー、サービスの境界、制限事項について説明し、すべてのシナリオに対応し、企業のデータとサービスが十分に保護されていることを確認します。

特定のエージェントのみにリソースへのアクセスを許可する

条件付きアクセス ポリシーがエージェントを効果的に管理するのに役立つ 2 つの主要なビジネス シナリオがあります。 最初のシナリオでは、承認されたエージェントのみがリソースにアクセスできるようにすることができます。 これを行うには、ポリシーを対象とする カスタム セキュリティ属性 を使用してエージェントとリソースにタグを付けるか、拡張オブジェクト ピッカーを使用して手動で選択します。

拡張オブジェクト ピッカーを使用して条件付きアクセス ポリシーを作成する

または、拡張オブジェクト ピッカーを使用して条件付きアクセス ポリシーを作成し、組織によってレビューおよび承認されたエージェントを除くすべてのエージェントをブロックすることもできます。

拡張オブジェクト ピッカーは、ポリシー構成の割り当てとターゲット リソースの両方のセクションで、以前のフラット リスト エクスペリエンスを置き換えます。 新しいエクスペリエンスは、ポリシーでスコープを設定する項目の選択を簡略化するためのものです。

  1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
  2. Entra ID>Conditional Access>Policies に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーの名前を設定してください。 ポリシーの名前にわかりやすい標準を作成します。
  5. [ 割り当て] で、[ ユーザー、エージェント、またはワークロード ID] を選択します
    1. [ このポリシーの適用対象] で、[エージェント] を選択 します
      1. 含める」で、「すべてのエージェント ID」を選択します。
      2. [除外] で、次のようにします。
        1. [ 個々のエージェント ID の選択] を選択します
        2. 拡張オブジェクト ピッカーを使用して、[ すべて]、[ エージェント ブループリント プリンシパル]、および [エージェント ID ] タブを切り替えて、環境内での使用が承認された個々のエージェント ブループリントやエージェント ID を選択します。
        3. 選択 を選択します。
  6. 対象リソース」の下:
    1. [ 含める] で、[ すべてのリソース ] (以前の [すべてのクラウド アプリ]) を選択します。
  7. [アクセス制御]>[付与] で:
    1. [ブロック] を選択します。
    2. 選択 を選択します。
  8. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  9. [作成] を選択して、そのポリシーを作成します。

ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。

リスクの高いエージェントが組織のリソースにアクセスできないようにする

2 つ目のシナリオでは、組織は Microsoft Entra ID 保護 からのシグナル に基づいて高リスクのエージェントをブロックする条件付きアクセス ポリシーを作成できます。 エージェントのリスク検出の種類と対応アクションの詳細については、エージェントの Identity Protection に関するページを参照してください。

次の手順では、すべての危険度の高いエージェントが組織のリソースにアクセスするのをブロックする条件付きアクセス ポリシーを作成します。

  1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
  2. Entra ID>Conditional Access>Policies に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーの名前を設定してください。 ポリシーの名前にわかりやすい標準を作成します。
  5. [ 割り当て] で、[ ユーザー、エージェント、またはワークロード ID] を選択します
    1. [ このポリシーの適用対象] で、[エージェント] を選択 します
      1. 含めるで、すべてのエージェント IDを選択します。
  6. ターゲット リソース の下:
    1. [ 含める] で、[ すべてのリソース ] (以前の [すべてのクラウド アプリ]) を選択します。
  7. [条件]>[Agent risk (プレビュー)]で、[構成][はい] に設定します。
    1. ポリシー を適用するために必要なエージェント リスク レベルの構成で、[ ] を選択します。 このガイダンスは Microsoft の推奨事項に基づいており、組織ごとに異なる場合があります。
  8. アクセス制御>付与の配下。
    1. [ブロック] を選択します。
    2. 選択 を選択します。
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  10. [作成] を選択して、ポリシーを有効化します。

ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。

自律エージェントのユーザー アカウントのポリシー

一部の自律エージェントは、独自のメールボックス、グループ メンバーシップ、エンタープライズ ID を持つユーザーのように動作できます。 これらのエージェントは、エージェント ID の代わりに (またはそれに加えて) エージェントの ユーザー アカウント を使用します。

条件付きアクセスは、これらのユーザーに似た自律エージェントにポリシーの適用を拡張します。 管理者は次のことをできます。

  • すべてのエージェント ユーザーをターゲットにするか、特定のエージェント ユーザーを選択する
  • カスタム セキュリティ属性を使用してポリシーを適用する
  • エージェントのリスク条件を適用して危険なエージェントをブロックする
  • エージェント実行環境 (クラウド、クラウドホスト型 VM、エンド ユーザー デバイス、オンプレミス) によるポリシーのスコープ設定
  • マネージド エンドポイントで実行されているエージェントにデバイス コンプライアンスを適用する
  • グローバル セキュア アクセス クライアントを使用してエージェントに準拠したネットワークの場所を適用する

独自の ID で動作するエージェントの条件付きアクセス ポリシーを作成するには、次の設定を使用します。

  • 割り当て: エージェント アクセス フローでは、アクセス トークンがエージェント ID (トークンサブジェクト) に発行されるため、ポリシーをエージェントまたはそのエージェント ID ブループリントに割り当てます。
  • ターゲット リソース: エージェントがアクセスする必要があるリソースを選択します。
  • 条件: エージェントが危険にさらされているかどうかを構成します。 詳細については、「 エージェントの ID 保護」を参照してください。
  • アクセス制御: このエージェントは独自の ID を使用してリソースにアクセスするため、修復は行われず、使用可能な唯一のオプションはアクセスをブロックすることです。

危険なエージェントのユーザー アカウントをブロックする

このポリシーは、Microsoft Entra ID 保護が中リスクまたは高リスクを検出したときに、ユーザーとして動作する自律エージェントをブロックします。

  1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
  2. Entra ID>Conditional Access>Policies に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーの名前を設定してください。 ポリシーの名前にわかりやすい標準を作成します。
  5. [ 割り当て] で、[ ユーザー、エージェント、またはワークロード ID] を選択します
    1. [ このポリシーの適用対象] で、[エージェント] を選択 します
      1. [ 含める] で、[ すべてのエージェント ユーザー (プレビュー)] を選択します。
  6. 対象リソース の下:
    1. [ 含める] で、[ すべてのリソース ] (以前の [すべてのクラウド アプリ]) を選択します。
  7. [条件]>[Agent risk (プレビュー)]で、[構成][はい] に設定します。
    1. ポリシー を適用するために必要なエージェント リスク レベルの構成で、[ ] と [ ] を選択します。
  8. アクセス制御>付与の配下。
    1. [ブロック] を選択します。
    2. 選択 を選択します。
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  10. [作成] を選択して、ポリシーを有効化します。

エージェントのユーザー アカウントに準拠しているデバイスを要求する

一部の自律エージェントは、コンピューターを使用するエージェントであり、人間のユーザーがアプリケーションと対話する方法と同様に、デスクトップ環境を操作してタスクを完了します。 これらのエージェントは、通常、Intune で管理される Windows デバイスである専用の Windows 365 エージェント用クラウド PC で実行されます。 クラウド PC はマネージド エンドポイントであるため、従業員のノート PC と同様に条件付きアクセスによってコンプライアンスの状態を評価できます。

ただし、すべてのエージェントがエンドポイントで実行されるわけではありません。 Microsoftインフラストラクチャで直接実行されているエージェントには、関連付けられたデバイスがありません。 この条件をスコープとするポリシーは、意図しないブロックを防ぐクラウドネイティブ エージェントには適用されません。

エージェント実行環境 (プレビュー) 条件は、エージェント ユーザー セッションがエンドポイントから開始されたときにのみ適用されるようにポリシーを制限することで、これを解決します。 デバイスのないクラウドネイティブ エージェントは、評価から完全に除外されます。

Note

エージェントは、技術的に任意のコンピューターで実行できます。 ただし、デバイス コンプライアンス チェックには Intune の登録が必要です。現在、エージェント用の Windows 365 クラウド PC でのみサポートされています。 このポリシーをスコープとする エージェント実行環境 の条件がないと、クラウド インフラストラクチャで実行されているエージェントは、コンプライアンスへのパスなしでブロックされます。

  1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
  2. Entra ID>Conditional Access>Policies に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーの名前を設定してください。 ポリシーの名前にわかりやすい標準を作成します。
  5. [ 割り当て] で、[ ユーザー、エージェント、またはワークロード ID] を選択します
    1. [ このポリシーの適用対象] で、[エージェント] を選択 します
      1. [ 含める] で、[ すべてのエージェント ユーザー (プレビュー)] を選択します。
  6. 対象リソース の下:
    1. [ 含める] で、[ すべてのリソース ] (以前の [すべてのクラウド アプリ]) を選択します。
  7. [ 条件>Agent 実行環境 (プレビュー) で、[ 構成][はい] に設定します。
    1. [ 含める] で、 エンドポイントから開始されたエージェント ユーザー セッションを選択します
  8. アクセス制御>付与の配下。
    1. [ アクセス権の付与] を選択します。
    2. [デバイスは準拠としてマーク済みである必要があります] を選択します。
    3. 選択 を選択します。
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  10. [作成] を選択して、ポリシーを有効化します。

ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。

関連するコンテンツ

  • Last updated on