アクセス審査エージェント

時間のかかる研究と、急いだ決定の不確実性にさよならを言う。 アクセス レビュー エージェントは、自動的に分析情報を収集し、推奨事項を生成することで、レビュー担当者に対して機能します。 次に、レビュー担当者がMicrosoft Teamsで自然言語を使用して、簡単な要約と提案された決定と共にレビュー プロセスを導き、自信を持って明確な最終決定を下すことができます。

[前提条件]

• Microsoft Entra ID Governance または Microsoft Entra Suite ライセンスが必要です。
• 少なくとも 1 つの security コンピューティング ユニット (SCU) がプロビジョニングされた状態で、Security Copilot にオンボードする必要があります。
  • 20 件の決定を含むアクセス レビューを完了すると、平均で 4.5 SCU が消費されます。 これには、エージェントとのMicrosoft Teamsで分析情報を収集し、推奨事項を生成するエージェントとレビュー担当者の自然言語の会話が含まれます。 SCU の使用量は、レビュー担当者とエージェントの間の会話の長さによって異なる場合があります。
• Microsoft Entra管理センターでエージェントを設定および管理するには、管理者には少なくとも以下のすべての役割が必要です: all 。
  • ID ガバナンス管理者
  • ライフサイクル ワークフロー管理者
  • Security Copilot の協力者
• レビュー担当者がアクセス レビュー エージェントを使用するには、Microsoft Teamsにアクセスでき、アクティブなアクセス レビューが割り当てられている必要があります。 また、少なくとも Security Copilot Contributor ロールが割り当てられている必要があります。
• Microsoft Security Copilotでプライバシーとデータセキュリティを確認します

制限事項

• エージェントを起動すると、エージェントを停止または一時停止することはできません。 実行には数分かかる場合があります。
• Microsoft Entra管理センターからエージェントを実行することをお勧めします。

サポートされるシナリオ

次の表は、レビュー シナリオに基づく現在のアクセス レビュー エージェントのサポートを示しています。

動作方法

アクセス レビュー エージェントは、エージェントによる処理のフラグが設定されたテナント内のアクティブなアクセス レビューを事前にスキャンします。 エージェントは、追加の分析情報を収集して識別されたレビューを分析し、各決定の推奨事項 (承認/拒否) と正当な理由の概要を生成します。 エージェントは、推奨事項と対応する理由の概要を分析すると、Microsoft Teamsのレビュー プロセスを通じて、自然言語でレビュー担当者をガイドできます。 レビュー担当者は、Microsoft Teamsの自然言語チャット エクスペリエンスを通じてレビューを完了できます。 エージェントがレビューを案内すると、推奨事項の背後にあるエージェントの推論を確認し、レビュー自体のコンテキストで質問を行い、最終的に独自の情報に基づいた意思決定を行うことができます。

各決定に対するエージェントの推奨事項 (承認/拒否) は、複数のシグナルを利用する決定論的スコアリング メカニズムに依存します。 その後、レコメンデーションに使用されるシグナルを使用して、大規模言語モデル (LLM) を使用して、エンド ユーザーフレンドリな正当な理由の概要を提供します。 Microsoft Teamsでのその後の自然言語チャット エクスペリエンスは、以前に生成された推奨事項と理由の概要を使用可能なコンテキストとして備えた大規模な言語モデルによって容易になります。

エージェントは次のシグナルを考慮します。

• ユーザーの非アクティブ: ユーザーがサインインしている場合
• ユーザーからグループへの所属: ユーザーがこのアクセス権を持つ他のユーザーとの 所属が低い 場合
• アカウントが有効: ユーザーのアカウントが有効になっている場合 (accountEnabled プロパティ)
• 雇用状態: ユーザーの雇用が終了した場合 (employeeLeaveDateTime プロパティ)
• ライフサイクル ワークフロー履歴: ユーザーが過去 30 日間にムーバー ワークフローを実行した場合
• 以前のレビューからの決定: 定期的なレビューでは、以前のレビューイテレーションからの決定が考慮されます
• アクセス要求履歴: アクセス パッケージの割り当てレビューでは、要求と承認の履歴が考慮されます

管理者は、推奨事項 (承認/拒否) と理由の概要を確認できます。 詳細については、「 Access Review Agent のログとメトリック (プレビュー)」を参照してください。 エージェントの推奨事項は、Microsoft Entra管理センターのマイ アクセス ポータルとアクセス レビュー エクスペリエンスに表示される推奨事項とは異なる場合があることに注意してください。

作業の開始

アクセス レビュー エージェントの設定

1. 少なくとも 全ての 次のロールを持つアカウントで、Microsoft Entra管理センターにサインインします。

   • ID ガバナンス管理者
   • ライフサイクル ワークフロー管理者
   • Security Copilot Contributor

2. 新しいホーム ページで、エージェント通知カードから [ エージェントに移動 ] を選択します。

   • 左側のナビゲーション メニューから [エージェント] を選択することもできます。

3. [アクセス レビュー エージェント] タイルで [ 詳細の表示 ] を選択します。

4. [ エージェントの開始] を選択して、最初の実行を開始します。

   • PIM によってアクティブ化されたロールを持つアカウントを使用しないでください。
   • 右上隅に "エージェントが最初の実行を開始しています" というメッセージが表示されます。
   • 最初の実行が完了するまでに数分かかる場合があります。

既存のアクセス レビューに対してアクセス レビュー エージェントを有効にする

アクセス レビュー エージェントが開始されたら、アクセス レビュー エージェントによって処理されるようにアクセス レビューにフラグを設定する必要があります。 アクセス レビュー エージェントは、新しいアクセス レビューと既存のアクセス レビューの両方を処理できます。 次のセクションでは、アクセス レビュー エージェントによって処理されるアクセス レビューにフラグを設定する手順について説明します。

既存のグループとアプリケーションのアクセス レビューに対してアクセス レビュー エージェントを有効にする

Access Review エージェントによって処理される既存のアクセス レビューを更新するには、次の手順を実行します。

1. Microsoft Entra管理センターに少なくとも Identity Governance Administrator としてサインインします。

2. ID ガバナンス>Access のレビューを参照します。

3. エージェントでサポートするアクセス レビューを選択します。

4. アクセス レビューの概要ページで、[1 回限りのレビューの場合は管理] の下の [ 設定] を選択し、定期的なレビューの場合は [系列] の下の [設定] を選択します。

5. [ 詳細設定] で、[ アクセス レビュー エージェント (プレビュー)] という設定のチェック ボックスをオンにします。

6. 保存を選びます。

既存のアクセス パッケージの割り当てレビューに対してアクセス レビュー エージェントを有効にする

Access Review エージェントによって処理される既存のアクセス レビューを更新するには、次の手順を実行します。

1. Microsoft Entra管理センターに少なくとも Identity Governance Administrator としてサインインします。

2. ID ガバナンス>エンタイトルメント管理>アクセスパッケージに移動します。

3. エージェントでサポートするアクセス パッケージを選択します。

4. アクセス パッケージの概要ページで、[ ポリシー] を選択し、更新するポリシーを選択し、[ 編集] を選択します。

5. [ポリシーの編集] ページで、[ライフサイクル] を選択 します。

6. [ライフサイクル] タブで、[高度なアクセス レビューの設定] を選択し、Access Review Agent (プレビュー) という設定の [有効] ボックスをオンにします。

7. 保存を選びます。

レビュー担当者がアクセス レビュー エージェントを使用できることを確認する

レビュー担当者は、Microsoft Teams App を介してアクセス レビュー エージェントにアクセスします。 組織のMicrosoft Teams 組織全体のアプリ設定で Microsoft アプリケーションを許可している場合、アクションは必要ありません。 組織が組織全体のアプリ設定Microsoft Teamsで Microsoft アプリを無効にしている場合、組織のMicrosoft Teams管理者はアプリを明示的に承認する必要があります。

また、エージェントを使用してレビューを完了できるように、すべてのレビュー担当者が少なくとも Security Copilot Contributor ロールを持っていることを確認する必要があります。 これは、Microsoft Teamsの自然言語の会話がバックグラウンドでMicrosoft Security Copilot セッションを開いているために必要です。 参加するレビュー担当者は、Microsoft Teamsを介してエージェント エクスペリエンスにアクセスしますが、ロールの割り当てにより、Security Copilot ポータルまたは他の Microsoft Security 管理ポータルのセキュリティ Copilot エクスペリエンスにアクセスできます。 レビュー担当者がMicrosoft Teams外のセキュリティ Copilotにアクセスする場合、Security Copilot を使用したデータ アクセスには、引き続き 既定のユーザー アクセス許可が適用されます。

アクセスレビューエージェントをレビュー担当者として使用する

アクセス レビュー エージェントが開始され、レビュー担当者に適切なアクセス許可が割り当てられ、アプリが利用可能になったので、レビュー担当者はエージェントの助けを借りてレビューを完了する準備が整いました。 アクセス レビュー エージェントは、Microsoft Teams (direct リンク) 内で直接アクセスできます。 レビュー担当者に送信されたアクセス レビューの電子メール通知には、Microsoft Teamsへの直接リンクも含まれます。

1. レビュー担当者として割り当てられたユーザーとしてサインインしているMicrosoft Teams アプリケーションを開きます。

2. [Access Review Agent]\(アクセス レビュー エージェント\) リンクを選択してエージェントを開きます

3. [アプリ] ページで、 Access Review Agent を検索し、[追加] を選択 します。

4. エージェントが追加されたら、[ 開く] を選択します。

5. 開いているときは、使用可能なプロンプトを選択してエージェントとのチャットを開始できます。

設定

エージェントが有効になったら、いくつかの設定を調整できます。 Microsoft Entra管理センターで次の操作を行うことで、設定にアクセスできます。

• Agents>Access Review Agent>Settings から。

トリガー

エージェントは、最初に構成された時間に基づいて 24 時間ごとに実行するように構成されます。 トリガー の設定をオフに切り替え、その後オンに戻すことで、特定の時刻にいつ実行したいか実行できます。

エージェントの削除

アクセス レビュー エージェントを使用しなくなった場合は、エージェント ウィンドウの上部から [ エージェントの削除 ] を選択します。 既存のエージェントのアクティビティとメトリックは削除されますが、既に処理されたレビューの推奨事項と正当な理由はエージェントによってMicrosoft Teamsに保持され、レビュー担当者がこれらのレビューを引き続き支援できます。 削除を完了するには、以前にエージェントによって処理されるフラグが設定されたアクセス レビューのフラグを解除する必要もあります。

既存のグループとアプリケーションのアクセス レビュー エージェントを無効にする

1. Microsoft Entra管理センターに少なくとも Identity Governance Administrator としてサインインします。

2. ID ガバナンス>アクセス レビューを参照します。

3. エージェントのサポートが有効になっているアクセス レビューを選択します。

4. アクセス レビューの概要ページで、[1 回限りのレビューの場合は管理] の下の [ 設定] を選択し、定期的なレビューの場合は [系列] の下の [設定] を選択します。

5. [ 詳細設定] で、[ アクセス レビュー エージェント (プレビュー)] という設定のチェック ボックスをオフにします。

6. 保存を選びます。

既存のアクセス パッケージの割り当てレビューに対してアクセス レビュー エージェントを無効にする

1. Microsoft Entra管理センターに少なくとも Identity Governance Administrator としてサインインします。

2. ID ガバナンス>エンタイトルメント管理>アクセスパッケージに移動します。

3. エージェントでサポートするアクセス パッケージを選択します。

4. アクセス パッケージの概要ページで、[ ポリシー] を選択し、更新するポリシーを選択し、[ 編集] を選択します。

5. [ポリシーの編集] ページで、[ライフサイクル] を選択 します。

6. [ライフサイクル] タブで、[アクセス レビュー エージェント (プレビュー)] という設定の [無効] ボックスをオンにします。

7. 保存を選びます。

セキュリティ Copilot アクセスの取り消し

他のシナリオでセキュリティ Copilotにアクセスする必要がない場合は、レビュー担当者の Security Copilot 共同作成者 アクセスを取り消すことができます。

ID とアクセス許可

エージェントが有効になると、一意のエージェント ID が作成されます。 詳細については、「 エージェント ID の管理」を参照してください。

エージェントはこの ID を使用して、アクティブなアクセス レビューのテナントをスキャンし、追加の分析情報を収集し、レビュー担当者の推奨事項と理由を保存します。 詳細については、「しくみ」を参照してください。

Permissions

• アクセスレビューの詳細を確認する
• ユーザー、グループ、アプリ、アクセス パッケージの詳細とライフサイクル ワークフロー履歴の読み取り
• アクセス レビューの推奨事項と理由を保存する

Microsoft Teams会話を通じて送信された最終的な決定は、レビュー担当者の ID を使用します。

エージェント設定ページには、エージェントに現在割り当てられている ID が表示されます。

エージェントが管理者の ID を使用して以前に構成されている場合は、専用エージェント ID に移行する必要があります。 エージェントの概要ページまたはエージェント設定ページの青いバナーにある [エージェント ID の作成] オプションを選択して、この移行を完了します。

フィードバックの提供

エージェント ウィンドウの上部にある [ Microsoft フィードバックの提供 ] ボタンを使用して、エージェントに関するフィードバックを Microsoft に提供します。

FAQs

Microsoft Teamsのエージェントが"アクセス レビュー エージェントがまだ組織で有効になっていないか、予期しない問題が発生したようです" と応答するのはなぜですか。 サポートについては、IT 部門にお問い合わせください。 それまでの間、マイ アクセス ポータルで保留中のレビューを完了できますか?

エージェントがこのメッセージで応答した場合、エージェントの開始、レビュー担当者のセキュリティ Copilot アクセスの割り当て、既存のレビューに対するエージェントの有効化など、エージェントのセットアップが完了していない可能性があります。

Microsoft Teamsのエージェントが"現時点では少しビジー状態で、現在要求を処理できませんでした" と応答するのはなぜですか。 しばらくしてからもう一度お試しください。 急いで利用している場合は、マイ アクセス ポータルを常に使用できます。'?

テナントがプロビジョニングされておらず、セキュリティCopilot容量を超過している場合、エージェントはこのメッセージで応答します。

関連コンテンツ

• Access Review Agent のログとメトリック (プレビュー)
• アクセス レビューの推奨事項を確認する
• Microsoft Security Copilot