次の方法で共有

条件付きアクセス最適化エージェントを使用してパスキー導入キャンペーンをデプロイする (プレビュー)

条件付きアクセスの最適化エージェントは、組織がより強力な認証方法に向けてユーザーを導くキャンペーンを計画および展開するのに役立ちます。 パブリック プレビューでは、エージェントはパスキー導入キャンペーンの展開をサポートし、組織が構造化されたインテリジェントで自動化された方法でフィッシングに強い認証を展開できるようにします。

エージェントは、大規模なキャンペーンの手動作業を削減するように設計されています。 エージェントは次のことができます。

  • ユーザーとデバイスの準備状況を評価する
  • 推奨される展開計画を生成する
  • 必要な手順をユーザーに案内する
  • ユーザーの準備ができたら、条件付きアクセス ポリシーを適用する

エージェントは、前提条件が満たされると、進行状況を継続的に評価し、キャンペーンを通じてユーザーを進めます。

前提条件

エージェントでパスキー キャンペーンを有効にする

条件付きアクセスの最適化エージェントに、Microsoft Entra 管理センターからパスキー導入キャンペーンを作成することを許可できます。

  1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

  2. 条件付きアクセス最適化エージェント>Settings に移動します

  3. [ エージェントの機能] で、[ エージェントによるパスキー導入キャンペーンの作成を許可する ] チェック ボックスをオンにします。

    パスキー キャンペーンの候補を有効にするエージェント設定のスクリーンショット。

この設定を有効にすると、エージェントはテナントの分析を開始して、パスキー キャンペーンの対象となるユーザーを特定します。 現在、エージェントは既定で特権管理者ユーザーを対象とします。 詳細については、「 サポートされる管理者ロール」を参照してください。

初期分析には数分かかる場合があります。 レビュー キャンペーンが表示されない場合は、提案カードで [実行分析] を選択するか、エージェントの次回のスケジュールされた実行を待つことができます。

キャンペーンの概要を表示する

パスキー キャンペーンを使用できる場合は、条件付きアクセス最適化エージェントの概要に関する提案として表示されます。

キャンペーンを確認するには:

  1. 条件付きアクセスの最適化エージェントを参照します。

  2. [ 最近の提案] で、 管理者向けのパスキー導入キャンペーンの展開の提案を 見つけます。

  3. キャンペーンのレビューを選択します。

    パスワードキャンペーンの結果が強調表示されているエージェント提案のスクリーンショット。

最初のキャンペーンの概要では、次のようなエージェントの提案されたプランの概要が示されます。

  • キャンペーンの目標
  • 対象ユーザー向けに AI によって生成された準備状況の Outlook
  • キャンペーンの主な指標は次のとおりです。
    • キャンペーンの推定期間
    • 対象ユーザーの数
  • ユーザーの準備状況の内訳:
    • デバイスの更新が必要なユーザー: 少なくとも 1 つのデバイスが Microsoft Entra に登録されているが、パスキーの最小 OS 要件を満たしていないユーザー。
    • パスキーを登録する必要があるユーザー:互換性のあるデバイスを持つが、パスキーが登録されていないユーザー。
    • 適用の準備ができているユーザー: 互換性のあるデバイスと登録済みのパスキーを持つユーザー。

このビューから、キャンペーンをすぐにデプロイするか、詳細なキャンペーン エクスペリエンスを開くことができます。 キャンペーンを展開する前に、詳細なキャンペーン計画を確認することをお勧めします。

パスキー キャンペーンの概要のスクリーンショット。

詳細なキャンペーン計画を確認してカスタマイズする

[ キャンペーンのレビュー ] を選択すると、詳細なキャンペーン エクスペリエンスが開きます。このエクスペリエンスでは、展開前にユーザーの準備状況をより詳細に確認し、キャンペーンの構成をカスタマイズできます。 パスキー キャンペーンには、次の 4 つのステージがあります。

  • パスキー キャンペーンの対象ユーザー
  • デバイスの準備状況を確認する
  • パスキーの登録が必要
  • パスキーの使用を強制する

対象ユーザーを確認する

詳細なキャンペーン ビューを使用すると、キャンペーンを対象とするすべてのユーザーを確認し、デプロイ前に調整を行うことができます。 キャンペーンのカスタマイズは、キャンペーンが [未開始 ] 状態の間にのみ使用できます。 デプロイが開始されると、これらの設定を変更することはできません。

  • キャンペーンの対象ユーザーを表示するには:そのカテゴリの集計ユーザー数リンクを選択します。
  • キャンペーンの対象ユーザーを編集するには、[対象ユーザーの 編集] ボタンを選択します。

ターゲット ユーザー オプションが強調表示されているパスキー キャンペーンの詳細のスクリーンショット。

ヒント

緊急アクセス管理者アカウントはキャンペーンから除外することをお勧めします。

[ デバイスの準備状況の確認 ] ステージには、キャンペーンの対象ユーザーの合計数と同じ数のユーザーが含まれていない場合があります。 すべてのユーザーが、パスキーをサポートする最新のオペレーティング システムを持つ現在のデバイスを持っている場合、このステージには含まれません。 このステージのユーザーがいない場合、キャンペーンは自動的に次のステージに移動します。

猶予期間を調整する

猶予期間は、ユーザーが必要なアクションを完了する必要がある期間を定義します。 猶予期間は、デバイスの更新、パスキーの登録、または情報通知と適用の間の時間に適用できます。

キャンペーンのステージの猶予期間を表示および調整するには:

  1. ステージの右上隅にある矢印を選択して、詳細を展開します。

  2. スライダーを調整するか、テキスト ボックスに数値を入力して、猶予期間を調整します。

    猶予期間オプションが強調表示されているパスキー キャンペーンの詳細のスクリーンショット。

ユーザーが必要なアクションを完了するための猶予期間を超えた場合、エージェントはキャンペーンを通じてそのユーザーの進行を続行しません。 これらのユーザーを表示するには、関連するキャンペーン カテゴリの集計ユーザー数を選択します。 [ 猶予期間超過 ] 列は、ユーザーが猶予期間を超えた日時を示します。

延期オプションを構成する

猶予期間に加えて延期を有効にして、ユーザーの柔軟性を高めることができます。 延期が有効な場合:

  • ユーザーは、必要なアクションまたは強制通知を一定期間延期することを選択できます。
  • 延期期間が終了すると、エージェントは、必要なアクションまたは今後の適用に関するリマインダーと通知を再開します。

延期の詳細を構成するには:

  1. パスキーキャンペーンの展開案としてレビューキャンペーンを選択します。

  2. [ユーザー延期を 有効にする] チェック ボックスをオンにします。

  3. 表示される新しいオプションから、日数を設定します。

    延期の詳細が強調表示されているパスキー キャンペーンの詳細のスクリーンショット。

非アクティブなデバイスをフィルター処理する

非アクティブなデバイスをフィルター処理して、古いデバイスまたは未使用のデバイスを持つユーザーが [ デバイスの準備状況の確認 ] ステージでスタックしないようにします。

この設定はキャンペーン レベルで適用され、管理者はアクティブなデバイスとして適格なものを定義できます。 エージェントは、指定された時間枠内に使用されていないデバイスを除外し、アクティブにサインインしているデバイスに基づいてユーザーが評価されるようにします。 既定では、エージェントは過去 1 年間に使用されたデバイスを考慮します。

[非アクティブなデバイス] オプションが強調表示されているパスキー キャンペーンの詳細のスクリーンショット。

キャンペーンを展開して実行する

詳細なキャンペーン計画を確認してカスタマイズしたら、キャンペーンをデプロイできます。

キャンペーンを開始するには、キャンペーンの概要または詳細なキャンペーン ビューから [キャンペーンの デプロイ ] を選択します。

通常、キャンペーンの展開は数分以内に完了します。 デプロイ時に、エージェントは必要なリソースを作成し、キャンペーンを通じてユーザーをガイドする準備をします。 デプロイが続行すると、進行状況の通知を受け取ります。 デプロイがタイムアウトするまれな場合は、再試行できるようにアクション ボタンが再び有効になります。

デプロイが完了すると、条件付きアクセスの最適化エージェントの概要ページでキャンペーンの状態が [進行中 ] に変わります。

キャンペーンの実行を監視および管理する

キャンペーンをデプロイすると、条件付きアクセスの最適化エージェントの概要ページで状態が [進行中 ] に変わります。 その後、エージェントはキャンペーンの実行を自動的に管理し、ユーザーが必要なアクションを完了すると進行状況を更新します。 キャンペーンの概要と詳細なキャンペーン ビューには、常に最新のキャンペーンの状態、ユーザー カテゴリの内訳、ユーザー レベルの詳細が反映されるため、管理者は進行状況を監視し、必要に応じて問題を調査できます。

キャンペーンの進行中:

  • キャンペーンの構成設定はロックされます (条件付きアクセス ポリシーの編集を除く)。
  • 詳細なキャンペーン ビューから実行を管理できます。

使用可能なアクションは次のとおりです。

  • 一時停止: すべてのエージェント アクションを一時的に停止します。 新しいユーザーは連絡されず、進歩もしません。
  • 終了: キャンペーンを完全に停止し、その状態を [未開始] にリセットします。

キャンペーンを一時停止または終了しても、既に完了したアクションは元に戻りません。

エージェントがユーザーをガイドする方法

キャンペーンがアクティブな間、条件付きアクセス最適化エージェントは 24 時間ごとに自動的に実行され、進行状況を評価し、現在の準備状況に基づいてユーザーを進められます。

実行中:

  • デバイスの更新が必要なユーザー
    • 最小 OS 要件を満たすようにデバイスを更新するように求めるMicrosoft Teams通知を受け取る
    • 構成された猶予期間にアラーム通知を受信する
  • パスキーを設定する必要があるユーザー
    • パスキーのセットアップ ガイダンスを使用して Teams の通知を受信する
    • 猶予期間にアラーム通知を受信する
  • 適用の準備ができているユーザー
    • 今後の適用について通知する通知を受け取る
    • 強制猶予期間が終了すると、フィッシングに対する耐性のある認証を必要とする条件付きアクセス ポリシー グループにユーザーが追加されます
    • 条件付きアクセス ポリシーはレポート専用モードで作成されます

条件付きアクセス ポリシーの動作

ユーザーが適用対象になると、エージェントは条件付きアクセス ポリシーを作成して、フィッシングに対する耐性のある認証を要求します。

  • ポリシーは、少なくとも 1 人のユーザーが強制通知の猶予期間を完了した後にのみ作成されます。
  • ポリシーは最初はレポート専用モードで作成され、管理者は認証要件を適用する前に影響を監視できます。
  • ポリシー構成は、条件付きアクセスから直接確認および管理できます。

既知の制限

  • 条件付きアクセスの最適化エージェントでは、現在、対象ユーザーが 認証方法ポリシーのパスキーに対して有効になっているかどうかは確認されていません。 キャンペーンを展開する前に、この前提条件が構成されていることを確認します。
  • キャンペーンの実行が開始された後は、ターゲット設定、猶予期間、延期設定などのキャンペーン設定を変更することはできません。
  • 条件付きアクセス ポリシーは、少なくとも 1 人のユーザーが強制通知の猶予期間を完了した後にのみ作成されます。
  • ポリシー管理オプションは、ポリシーが作成された後にのみ表示されます。
  • 現在、延期は、Security Copilot 所有者ロールまたは Security Copilot 共同作成者ロールを持つユーザーに対してのみサポートされています。 管理者は、Security Copilot 管理ポータルでこれらのロールを持つユーザーを確認できます。

サポートされている管理者ロール

  • 認証管理者
  • 請求管理者
  • クラウド アプリケーション管理者
  • 条件付きアクセス管理者
  • Exchange 管理者
  • グローバル管理者
  • ヘルプデスク管理者
  • Intune サービス管理者
  • パスワード管理者
  • 特権認証管理者
  • 特権ロール管理者
  • セキュリティ管理者
  • SharePoint管理者
  • Teams 管理者
  • ユーザー管理者
  • Last updated on