Microsoft Entraの条件付きアクセス最適化エージェントには、組織が新しい条件付きアクセス ポリシーを安全かつ効率的に展開するのに役立つ段階的なロールアウト機能が含まれています。 Microsoft EntraのこのMicrosoft Security Copilot機能により、管理者はポリシーを段階的に導入し、影響を監視し、中断を最小限に抑えることができます。 この段階的なロールアウト機能により、エンド ユーザーに広範な中断が発生する可能性を最小限に抑え、手動による分析と計画の必要性を減らし、数週間の労力を節約するために、新しいポリシーを段階的に展開できます。 条件付きアクセスの最適化エージェントのすべての側面と同様に、管理者は、グループの選択、ロールアウトのペース、展開など、ポリシーの変更を完全に制御できます。 透明性を維持するために、ロールアウト計画の明確な理由も提供されます。
この記事では、段階的なロールアウト プロセスのしくみについて説明し、前提条件の概要を説明し、スムーズな展開を実現するために役立つ組み込みのセーフガードについて説明します。
[前提条件]
- 少なくとも Microsoft Entra ID P1 ライセンスが必要です。
- 使用可能な セキュリティ コンピューティング ユニット (SCU) が必要です。
- 条件付きアクセス管理者 ロールと セキュリティ管理者 ロールは、段階的なロールアウト設定を変更できます。
- テナントには、段階的ロールアウト計画を生成するためにエージェントの条件付きアクセス ポリシーで現在使用されている、少なくとも 5 つの定義済みグループが必要です。
動作方法
すべてのユーザーに適用されるレポートのみのポリシーは、段階的なロールアウトの対象となります。 エージェントは、作成するポリシーの段階的なロールアウト計画を提案したり、管理者はすべてのユーザーを対象とする既存のレポート専用ポリシーに段階的なロールアウトを適用したりできます。 エージェントは、サインイン データと既存のポリシーを分析して、段階的なロールアウト計画を定義します。
ロールアウト計画には 5 つの異なるフェーズがあるため、ロールアウト計画を適用するには少なくとも 5 つのグループが必要です。 使用するグループを決定するために、エージェントは、以前または現在条件付きアクセス ポリシーで使用されているグループを確認します。 エージェントはこれらのグループを調べて、他の条件付きアクセス ポリシーがそれらに与えた影響を確認し、潜在的な影響を測定します。 エージェントはグループのサイズを確認し、これらすべての要因を使用して、影響の低いグループから始まり、影響の大きいグループで終わるフェーズにグループを割り当てます。
段階的ロールアウト プロセスには、次の 3 つの手順があります。
各フェーズに含まれるグループを確認し、段階的ロールアウトの前後に変更を加えることができます。 最初のフェーズが開始されると、最初のフェーズに含まれるグループに対して 新しい ポリシーが作成され、オンになります。 元のレポート専用モード ポリシーはそのまま残ります。
エージェントがレポート専用の段階的ロールアウトポリシーを識別する
エージェントは、新しいポリシーを作成するとき、またはすべてのユーザーを対象とする既存のレポート専用ポリシーに対して段階的なロールアウト計画を提案できます。 ロールアウト計画には、小規模でリスクの低いグループから始まり、より大きなリスクの高いグループに進む 5 つのフェーズが含まれます。
エージェントによって作成されたポリシーについては、提案の一覧のエージェントによって実行されたアクション列で、推奨される段階的ロールアウトを探します。
既存のレポート専用ポリシーについては、[条件付きアクセス - ポリシー] ページで、利用可能な段階的ロールアウト (プレビュー) を探します。
管理者がロールアウト計画を確認、編集、承認する
管理者は、各フェーズに含まれるグループ、各フェーズのタイミング、プランの実行方法など、プランの詳細を確認する必要があります。
Microsoft Entra管理センターに少なくとも Security Administrator としてサインインします。
条件付きアクセスの最適化エージェントまたは条件付きアクセス - ポリシーを参照し、段階的なロールアウトの提案があるポリシーを選択します。
- [ 条件付きアクセス - ポリシー] ページで 、開いたパネルから [ プランの生成 ] を選択します。
[条件付きアクセスの最適化エージェント ポリシーの詳細] ページ、またはプランが生成された後に、[フェーズを確認する] を選択します。
[ グループの編集] を選択して、フェーズに含まれるグループを編集します。
![[グループの編集] ボタンが強調表示された状態で編集できるフェーズのスクリーンショット。](media/conditional-access-agent-optimization-phased-rollout/phased-rollout-edit-groups-button.png)
ポリシーの詳細パネルまたは 段階的ロールアウト の詳細ページから、[段階的ロールアウトの開始] ボタンを選択します。 エージェントは、レポート専用モードで新しいポリシーを作成します。
![[グループの編集] ボタンが強調表示された状態で編集できるフェーズのスクリーンショット。](media/conditional-access-agent-optimization-phased-rollout/phased-rollout-edit-groups-button.png#lightbox)
ヒント
ロールアウトを一時停止したり、ロールアウトをいつでも完了に設定したりできます。
管理者が承認済みのロールアウト計画を実行する
段階的なロールアウトを開始すると、エージェントが進行に役立ちます。 段階的なロールアウトの提案はロールアウト プロセス全体に存在し、アクションが不要であることを示したり、次のフェーズに進むことを提案したり、ロールバックを提案したりできます。 このガイダンスは、条件付きアクセスの最適化エージェントの提案リストと条件付きアクセス - ポリシーの一覧の両方に表示されます。 どちらのポリシーも、段階的なロールアウトのデプロイが進行中であることを示しています。
デプロイ中に段階的なロールアウトを管理するためのオプションがいくつか用意されています。 各フェーズで、エージェントはポリシーに関連するアクティビティを監視して、エラーや問題がないことを確認します。 まだ開始していないフェーズのグループを調整できます。 フェーズ間の移動またはデプロイの完了は、ページの上部にあるボタンを使用して行われます。
ロールアウト の各フェーズを 進める場合は、[次のフェーズに移動] を選択します。
[ 前のフェーズにロールバック] を選択して現在のフェーズをキャンセルし、前のフェーズに戻ります。
[ ロールアウトを完了としてマーク する] を選択して、新しいポリシーをすべてのグループに適用し、デプロイを完了します。
ロールアウト の各フェーズを 進める場合は、[次のフェーズに移動] を選択します。
[ 前のフェーズにロールバック] を選択して現在のフェーズをキャンセルし、前のフェーズに戻ります。
[ ロールアウトを完了としてマーク する] を選択して、新しいポリシーをすべてのグループに適用し、デプロイを完了します。
組み込みのセーフガード
段階的なロールアウトが開始されると、ポリシーの許可コントロールを更新することはできません。 許可コントロールに変更が加えられた場合、段階的なロールアウトは取り消されます。 任意のフェーズで 10% を超えるサインインが新しいポリシーによってブロックされた場合、ロールアウトはすぐに一時停止されます。 詳細を確認して変更できるように、管理者に通知されます。
よく寄せられる質問
段階的なロールアウト機能はどのように機能しますか?
各フェーズが適用されるグループを選択すると、エージェントは、最初のフェーズのグループのみを含む重複する条件付きアクセス ポリシーを作成します。 元の条件付きアクセス ポリシーはレポート専用モードで保持され、すべてのユーザーを対象とするため、引き続きデータを収集できます。 展開が次のフェーズに進むと、グループのバッチが有効な条件付きアクセス ポリシーに追加されます。 エージェントは、各ステージがこのポリシーに関連付けられているサインインに与える影響を監視します。 成功率が 90%を下回ると、段階的なロールアウトが停止し、有効なポリシーがレポート専用モードに戻されます。 その後、段階的なロールアウトを再試行する前に、ログを確認してサインインが失敗した理由を判断できます。
段階的なロールアウトを有効にする必要がありますか?
段階的ロールアウト機能は、既定で有効になっています。 オフにするには、[条件付きアクセスの最適化エージェント] ページの [設定] タブに移動します。 [ 段階的ロールアウト]で、トグルを オフに切り替えます。
関連コンテンツ
Microsoft Security Copilot - 条件付きアクセス最適化エージェントの概要