Microsoft Intuneのポリシー構成エージェント

Intune ポリシー構成エージェントは、Security Copilotで生成的な AI を利用した機能を使用します。 IT 管理者は、複雑な要件と業界標準のドキュメントを実用的なIntune設定に変換するのに役立ちます。

管理者は、組織または規制のベースラインに合わせたIntune設定カタログ ポリシーを迅速に生成できます(強化イニシアチブを含む)。

エージェントでは、次の手順を実行します。

• ドキュメントまたは業界ベンチマークをアップロードし、エージェントは関連する一致するIntune設定を識別します。

  セキュリティ技術実装ガイド (STIG) や国立標準技術研究所 (NIST) ガイドラインなど、コンプライアンス標準と一般的な業界ベンチマークをアップロードできます。

• organizationのセキュリティ ポリシーやコンプライアンス要件など、内部ポリシードキュメントとベースラインをアップロードできます。

• アップロードしたドキュメントに基づいて、関連する構成設定と実用的な提案を取得します。

• 提案をカスタマイズして、環境に合ったベースラインを作成できます。 たとえば、organizationに CIS 規則の例外がある場合は、最終的なポリシーからその規則を削除できます。

エージェントは、提案を使用してポリシーを作成する方法についても説明し、organizationのニーズに基づいて各設定を構成するのに役立ちます。 これらの提案を確認して保存できます。

この記事の内容:

• エージェントを使用するための前提条件を一覧表示します
• エージェントのしくみについて説明します
• エージェントを設定する方法を示します
• エージェントを更新または削除する方法を示します

エージェントの使用方法については、「 ポリシー構成エージェントを使用する」を参照してください。

前提条件

エージェントのしくみ

大まかに言うと、エージェントは次の手順を実行します。

1. 入力インジェスト: ポリシー要件を持つ入力をエージェントに与えます。 アップロードするドキュメントや、 All laptops must have BitLocker enabled with AES-256 encryptionなどの直接テキスト入力を指定できます。

   エージェントは、カスタム ドキュメントと要件の箇条書きをサポートします。

2. 自然言語の処理と解析: 入力に対してエージェントを実行すると、エージェントはSecurity Copilotを使用して入力を解析してマップします。 言語を読み取り、テキストが記述する個々の設定を識別します。

   たとえば、ドキュメントに "USB ストレージ デバイスの使用を禁止する" と表示されている場合、エージェントはテキストを外部ストレージ ポリシーに関する要件として解釈します。

   Security Copilotは、テキストによる説明から一般的なポリシー ステートメントと技術コントロールを認識するように調整されています。 複雑な文言やさまざまな形式を処理できます。

3. ルールをIntune設定にマップする: 解析された要件ごとに、エージェントは、その目標を達成する対応する設定カタログ設定の検索を試みます。 エージェントは、Intuneの機能に関する組み込みの知識を使用して、要件を満たす正しい設定と設定値を選択します。

4. ポリシーの提案を生成する: エージェントは、推奨される設定を使用して、マッピング結果をドラフト Intune構成プロファイルにコンパイルします。

5. 確認と確認管理: 何かを適用する前に、エージェントの出力を確認します。 管理センターで、エージェントの提案を選択して詳細を表示します。 推奨される設定 (サポートされているマッピング) の一覧と、サポートされていない項目またはマップされていない項目の個別のリストが表示される場合があります。

   この段階では、次の操作を行う必要があります。

   • 詳細の表示 - 推奨される各設定をドリルインして、根拠を読んで調整できます。 たとえば、ベースラインが at least 12しているため、エージェントは 14 文字のパスワード長を提案する場合があります。
   • 削除または除外 - 実装しない特定の提案がある場合は、エージェントにデバイス構成ポリシーを作成するように指示したときに削除できます。
   • [サポートされていないアイテムの確認] - Intune適用できない要件については、それらを処理する計画を文書化するか、確認してください。 エージェントの役割は情報であり、ギャップを認識していることを確認します。

6. ポリシーの作成: 提案を確認したら、すべての推奨設定を含む新しい構成プロファイルを作成できます。 この設定カタログ ポリシーは、手動で作成したIntune ポリシーと同様に、割り当てるまで適用されません。

   この段階では、ポリシーは通常のIntuneポリシーです。 適切なグループに割り当てて、ポリシーの名前を変更できます。

7. 展開と監視: ポリシーが割り当てられると、デバイスは新しい設定でレポートを開始します。 エージェントのジョブは、もう一度実行するまで実行されます。

エージェント ID

エージェントは、このセットアップ中に使用されるアカウントの ID とアクセス許可で実行されます。 アクションは、そのアカウントのアクセス許可に制限され、実行ごとに ID が更新されます。 そのため、アカウントのアクセス許可に対する変更は、次回の実行時にエージェントの機能に影響します。

エージェントを設定するには、Security Copilot所有者ロールでサインインすることをお勧めします。 一部のロールには、必要なアクセス許可が自動的に付与される場合があります。 詳細については、「Security Copilot ロール」を参照してください。

エージェントを設定する

エージェントを有効にする前に、次の手順を実行します。

• 管理者はエージェントを手動で開始する必要があります。 開始すると、エージェントを停止または一時停止するオプションはありません。
• エージェントは、Intune管理センターからのみ開始できます。
• Microsoft Security Copilot ポータルのセッションの詳細は、エージェントを設定したユーザーにのみ表示されます。
• テナントごとにサポートされるエージェント インスタンスは 1 つだけです。

エージェントを設定するには、次の手順に従います。

1. Intune管理センターで、[エージェント>Policy 構成エージェント] を選択します。

2. [ 概要] で、[ エージェントのセットアップ] を選択します。

   [ ポリシー構成エージェントのセットアップ ] ウィンドウには、エージェントを設定するために必要なアクセス許可が一覧表示され、セットアップ要件の詳細が表示されます。

3. [ エージェントのセットアップ] を選択します。

完了すると、エージェントを使用する準備が整います。 エージェントの使用の詳細については、「 ポリシー構成エージェントを使用する」を参照してください。

エージェントを更新する

エージェントを 90 日間使用しない場合、エージェントの承認は期限切れになり、エージェントの実行は再認証まで失敗します。 エージェント認証はいつでも更新できます。

有効期限が近づくと、Intuneエージェントの概要ページに、各 Copilot 所有者と Copilot 共同作成者が確認できる警告が表示されます。 警告は、エージェント ID の更新を求めるメッセージを表示します。

エージェント ID を再認証するには、[ 認証の更新] を選択します。 エージェント認証を更新すると、エージェントは自動的にサインインした資格情報を使用します。 サインインした資格情報を使用しない場合は、エージェント > [Settings] タブ>別の ID を選択します。

更新後、警告バナーが消え、トースト通知によって更新が成功したことが検証されます。

エージェントを削除する

エージェントを削除すると、提案やアクティビティを含めて生成されたすべての関連データが削除されます。 以前に適用された提案は変更されません。

エージェント インスタンスを削除する手順:

1. Microsoft Intune管理センターで、[エージェント] を選択します。
2. 削除するエージェント インスタンスを選択します。
3. [ エージェントの削除] を 選択し、削除を確認します。

削除後:

• エージェント ペインは元の状態に戻ります。
• 管理者は、セットアップ プロセスを繰り返すことで、後でエージェントを再インストールできます。

Intune エージェントの未来を形成する

Intune エージェント フィードバック フォーラムに参加して、分析情報を共有し、Microsoft Intuneの今後の機能に影響を与える。

サインアップして詳細を確認する: https://aka.ms/IntuneAgentsForum

関連コンテンツ

• ポリシー構成エージェントを使用する
• IntuneでのエージェントのSecurity Copilot - 概要
• IntuneでのSecurity Copilot - 概要