はじめに
2025 年 7 月 14 日に一般提供 (GA) されたばかりの Microsoft Entra 条件付きアクセス最適化エージェント を、さっそく触ってみました!
基本的な検証の流れ、エージェント利用のイメージをスクリーンショット ベースでご紹介できればと思います。
「Copilot で 条件付きアクセス ポリシーを自動整理できるらしい」「どう使うの?」「費用はいくらくらい?」と思っている方の参考になりましたら幸いです。
この記事でわかること
- Entra 条件付きアクセス最適化エージェントの初期セットアップ手順
- エージェントが提案する “ポリシー統合” の例
- SCU(Security Compute Units)の消費状況
条件付きアクセス最適化エージェントとは?
既存の条件付きアクセスポリシーを評価し、構成内容や対象が類似しているものを自動検出し、統合候補として提案してくれるエージェントです。
Microsoft 公式ドキュメントより引用:
条件付きアクセスの最適化エージェントは、多要素認証 (MFA) の要求、デバイス ベースの制御 (デバイス コンプライアンス、アプリ保護ポリシー、ドメイン参加済みデバイス) の適用、レガシ認証とデバイス コード フローのブロックなどのポリシーを評価します。 エージェントは、既存のすべての有効なポリシーを評価して、同様のポリシーの潜在的な統合を提案します。 エージェントが提案を識別したら、関連するポリシーをワンクリックで更新するようエージェントに指示できます。
条件付きアクセス最適化エージェントの主な機能
-
自律的な保護を毎日提供
条件付きアクセスポリシーで保護されていない新規ユーザーやアプリを自動的に検出し、手動監査の隙間をついたリスクを低減してくれます。 -
リアルタイムで納得感のある提案を提示
エージェントの提案には、「なぜこの判断に至ったのか」が一目でわかるように、分かりやすい要約と、意思決定までの流れを視覚化したアクティビティ マップが用意されています。 -
組織のニーズに柔軟に適応
エージェントはカスタム ルールに対応しており、例えば「break-glass」というユーザーは対象外にしてほしいといったフィードバックから学習して、提案の内容を最適化してくれます。 -
操作履歴をすべて記録・可視化
エージェントの操作(インストール、有効化、無効化、推奨など)はすべて監査ログに記録され、コンプライアンスと運用の透明性を確保します。
以下の公式ブログにより詳細な紹介があります。
使ってみる
以下の順に検証を行っていきます。
すでに Security Copilot を利用している方は、 ⓪ の手順は不要です。
⓪ Security Copilot の利用を開始する (SCU の登録)
① 条件付きアクセス ポリシーの作成
② Entra 条件付きアクセス最適化エージェントの起動
③ エージェントによる提案の確認と実施
④ エージェントが消費した SCU の確認
⓪ Security Copilot の利用を開始する (SCU の登録)
早速試したいあまり、急いで Entra 管理センターの [エージェント] 画面を開いたところ、
「組織には Entra の Security Copilot がありません」と表示され、エージェントを起動できない状態でした。
このメッセージは、SCU(Security Compute Units)が未割り当ての状態で表示されます。
まずは、Security Copilot を利用するために SCU を登録します。
Azure Portal から、Microsoft Security compute capacities を検索し、SCU を登録していきます。
[作成] を選択します。
SCU(Security Compute Units)は、Security Copilot の処理に必要な演算リソースの量を示す単位です。質問内容や裏側の AI 処理の複雑さに応じて消費量が変動します。そのため私は、どれくらい Security Copilot が頭を使うことができるのか、の単位と考えたりもしています。
① 条件付きアクセス ポリシーの作成
今回はテスト用として、ポリシー 1、ポリシー 2 をあえて 重複した内容 で作成します。
異なるのはポリシー名だけにして検証してみました。エージェントの統合提案を確認するためです。
Microsoft Entra 管理センターへ移動し、[条件付きアクセス] > [概要] > [新しいポリシーの作成] を選択します。
ここで、ポリシー 1 とポリシー 2 を作成します。アクセス制御の [許可] として、[多要素認証を要求する] を選択したポリシーを 2 つ作りました。
こちらはポリシー 2。
以下のように効果の同じポリシーが 2 種類作成された状態となります。エージェントはこのポリシーの重複を検出し、ポリシーの統合を提案してくれるのでしょうか?
③ Entra 条件付きアクセス最適化エージェントの起動
Microsoft Entra 管理センターから [エージェント] > [詳細の確認] > [エージェントを開始する] を選択します。
すると、エージェントが実行されたのち、条件付きアクセスに関するエージェントからの提案を確認できるようになります。
④ エージェントによる提案の確認と実施
③ でエージェントを起動後、以下のように条件付きアクセスについての提案を確認できるようになりました。
そして、期待通り ポリシー 1 とポリシー 2 を統合するべきと提案されました。[ポリシーを有効にする] を選択します。
数秒後、提案された新しいポリシーが有効になったと管理センターに通知されます。
実際に条件付きアクセスのポリシーの一覧を確認すると、エージェントによって新しい条件付きアクセス ポリシーが生成されていました。また、条件付きアクセス最適化エージェント が作成者として表示されていることが確認できました。
⑤ エージェントが消費した SCU の確認
Security Copilot の専用ポータルで、使用料の監視を選択します。
今回の検証でエージェントが使用した SCU は 0.6 でした。個人的に、「セキュリティ レポートを作成してもらう」などのシナリオと比べて SCU の消費は低めだと感じたので、エージェントを試してみるには挑戦しやすいかと感じました。
✍ まとめ
条件付きアクセスの整理・最適化は手間がかかるものだったかもしれませんが、エージェントを使えば、エージェントがポリシーの重複や抜け漏れを見つけて提案してくれるので、今まで人力でやっていた作業を一気に効率化できそうです。
SCU の消費量が控えめなのも嬉しいポイントだと思います。
MFA ポリシーが多くなってきた環境や、既存ルールの棚卸しをしたい方には特に価値があると感じました。
記事について誤った表現など修正すべき個所がありましたら、コメントいただけますと幸いです。