Microsoft Entra の条件付きアクセス最適化エージェントには、組織が新しい条件付きアクセス ポリシーを安全かつ効率的に展開するのに役立つ段階的なロールアウト機能が含まれています。 Microsoft Entra のこの Microsoft Security Copilot 機能を使用すると、管理者はポリシーを段階的に導入し、影響を監視し、中断を最小限に抑えることができます。 この段階的なロールアウト機能により、エンド ユーザーに広範な中断が発生する可能性を最小限に抑え、手動による分析と計画の必要性を減らし、数週間の労力を節約するために、新しいポリシーを段階的に展開できます。 条件付きアクセスの最適化エージェントのすべての側面と同様に、管理者はグループの選択やロールアウトのペースなど、ポリシーの変更を完全に制御できます。 透明性を維持するために、ロールアウト計画の明確な理由も提供されます。
この記事では、段階的なロールアウト プロセスのしくみについて説明し、前提条件の概要を説明し、スムーズな展開を実現するために役立つ組み込みのセーフガードについて説明します。
[前提条件]
- 少なくとも Microsoft Entra ID P1 ライセンスが必要です。
- 使用可能な セキュリティ コンピューティング ユニット (SCU) が必要です。
- セキュリティ閲覧者 ロールと グローバル閲覧者 ロールは、エージェントと提案を表示できますが、アクションを実行することはできません。
- 条件付きアクセス管理者、 セキュリティ管理者、 およびグローバル管理者 ロールは、エージェントを表示し、提案に対してアクションを実行できます。
- テナントには、段階的ロールアウト計画を生成するためにエージェントの条件付きアクセス ポリシーで現在使用されている、少なくとも 5 つの定義済みグループが必要です。
動作方法
条件付きアクセス最適化エージェントは、レポート専用モードで新しいポリシーを作成するときに、段階的なロールアウトでポリシーを有効にすることをお勧めします。 エージェントは、サインイン データと既存のポリシーを分析して、段階的なロールアウト計画を定義します。
すべてのユーザーに適用され、有効にする必要があるポリシーは、段階的なロールアウトの対象となります。 ロールアウト計画には 5 つの異なるフェーズがあるため、ロールアウト計画を適用するには少なくとも 5 つのグループが必要です。 使用するグループを決定するために、エージェントは、以前または現在条件付きアクセス ポリシーで使用されているグループを確認します。 エージェントはこれらのグループを調べて、他の条件付きアクセス ポリシーがそれらに与えた影響を確認し、潜在的な影響を測定します。 エージェントはグループのサイズを確認し、これらすべての要因を使用して、影響の低いグループから始まり、影響の大きいグループで終わるフェーズにグループを割り当てます。
段階的ロールアウト プロセスには、次の 3 つの手順があります。
各フェーズに含まれるグループと各フェーズ間の日数を確認し、段階的ロールアウトの前後に変更を加えることができます。 ロールアウト中はいつでも、エージェントによってプランを実行するか、プランの各フェーズを手動で実行することができます。
プランの実行方法やプランに変更を加えた場合に関係なく、最初のフェーズが開始されると、最初のフェーズに含まれるグループに対して 新しい ポリシーが作成され、有効になります。 元のレポート専用モード ポリシーはそのまま残ります。
エージェントがレポートのみに限定されたポリシーを段階的にロールアウトして作成する
エージェントはレポート専用ポリシーを作成し、別の段階的ロールアウト計画を作成します。 ロールアウト計画には、小規模でリスクの低いグループから始まり、より大きなリスクの高いグループに進む 5 つのフェーズが含まれます。
エージェントからの提案の一覧で、[エージェントによって実行されるアクション] 列で[推奨される段階的ロールアウト]を探します。
管理者がロールアウト計画を確認、編集、承認する
管理者は、各フェーズに含まれるグループ、各フェーズのタイミング、プランの実行方法など、プランの詳細を確認する必要があります。
少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。
条件付きアクセス最適化エージェントを参照し、段階的なロールアウトを含むポリシー提案の [提案の確認] ボタンを選択します。
ポリシーの詳細ページで、[ フェーズの確認] を選択します。
[ グループの編集] を選択して、フェーズに含まれるグループを編集します。
![[グループの編集] ボタンが強調表示された状態で編集できるフェーズのスクリーンショット。](media/conditional-access-agent-optimization-phased-rollout/phased-rollout-edit-groups-button.png)
[ 自動ロールアウト フェーズ ] ボタンの下矢印を選択して、実行モードを選択します。
- フェーズの自動ロールアウト: エージェントは、タイミングと影響信号に基づいて、各フェーズを自動的にロールアウトします。
- フェーズを手動でロールアウトする: 管理者はロールアウトの各フェーズを手動で進めます。
![[グループの編集] ボタンが強調表示された状態で編集できるフェーズのスクリーンショット。](media/conditional-access-agent-optimization-phased-rollout/phased-rollout-edit-groups-button.png#lightbox)
ヒント
自動および手動ロールアウト計画を使用して、いつでも介入できます。 ロールアウト中にいつでも実行モードを変更することもできます。
フェーズ間の時間を調整するには:
- 条件付きアクセスの最適化エージェントから [設定] タブに移動します。
- 段階的 ロールアウト セクションのフェーズ間の日数を調整します。
- [保存] ボタンを選択して変更を適用します。
詳細については、 段階的ロールアウトの設定を確認してください。
エージェントまたは管理者が承認済みのロールアウト計画を実行する
段階的ロールアウトの管理に使用できるオプションは、自動実行と手動実行では異なります。
フェーズを自動的にロールアウトする
自動ロールアウトを選択した場合、エージェントは、最初のフェーズのすべてのグループに適用される新しい有効なポリシーを作成することで、プランを自動的に実行します。 ロールアウトが開始されると、ロールアウトを管理するためのコントロールがいくつか表示されます。
エージェントは、定義されたスケジュールに基づいて、次のフェーズでグループにポリシーをデプロイします。 段階的ロールアウト中はいつでも、プランの実行を一時停止するか、残りのフェーズを手動でロールアウトすることを選択できます。
ポリシーが期待どおりに動作することを確認するために、ロールアウトの各フェーズ間で引き続き監視できます。 ポリシーがロールアウトされている間、元のレポート専用ポリシーは残りのフェーズではレポート専用モードのままです。 段階的なロールアウトが完了すると、エージェントは次回の実行時にレポート専用ポリシーを削除することをお勧めします。そのため、クリーンなポリシー 一覧を維持できます。
フェーズを手動でロールアウトする
段階的ロールアウト計画を手動で実行することを選択した場合は、各ステップを管理するためのオプションがいくつか用意されています。
ロールアウトの各フェーズを進めるためには、[ 次のフェーズに移動 ] を選択する必要があります。 どのフェーズでも、前のフェーズに戻すか、エージェントが残りのフェーズを自動的にロールアウトするように選択できます。
組み込みのセーフガード
段階的なロールアウトが開始されると、ポリシーの許可コントロールを更新することはできません。 許可コントロールに変更が加えられた場合、段階的なロールアウトは取り消されます。 任意のフェーズで 10% を超えるサインインが新しいポリシーによってブロックされた場合、ロールアウトはすぐに一時停止されます。 詳細を確認して変更できるように、管理者に通知されます。
よく寄せられる質問
段階的なロールアウト機能はどのように機能しますか?
各フェーズが適用されるグループを選択すると、エージェントは、最初のフェーズのグループのみを含む重複する条件付きアクセス ポリシーを作成します。 元の条件付きアクセス ポリシーはレポート専用モードで保持され、すべてのユーザーを対象とするため、引き続きデータを収集できます。 展開が次のフェーズに進むと、グループのバッチが有効な条件付きアクセス ポリシーに追加されます。 エージェントは、各ステージがこのポリシーに関連付けられているサインインに与える影響を監視します。 成功率が 90%を下回ると、段階的なロールアウトが停止し、有効なポリシーがレポート専用モードに戻されます。 その後、段階的なロールアウトを再試行する前に、ログを確認してサインインが失敗した理由を判断できます。
段階的なロールアウトを有効にする必要がありますか?
段階的ロールアウト機能は、既定で有効になっています。 オフにするには、[条件付きアクセスの最適化エージェント] ページの [設定] タブに移動します。 [ 段階的ロールアウト]で、トグルを オフに切り替えます。