注:
脆弱性修復エージェントは現在、限定されたパブリック プレビュー段階にあり、一部の顧客グループのみが使用できます。 アクセス権の取得に関心がある場合、または詳細を確認したい場合は、営業チームに連絡して詳細と次の手順を確認してください。
IntuneのSecurity Copilotの脆弱性修復エージェントは、Microsoft Defender 脆弱性の管理のデータを使用して、マネージド デバイス上の一般的な脆弱性と露出 (CVEs) を特定します。 結果は修復の優先順位付けされ、Intuneを使用して脅威を修復するための手順が含まれています。 この Copilot エージェントは、脅威の調査、特定、修復にかかる時間を短縮し、最終的にorganizationの全体的なセキュリティ体制を改善するのに役立ちます。
エージェントを実行すると、Microsoft Defender 脆弱性の管理からのデータが分析され、Intune管理センターに表示される候補の優先順位付けされた一覧が提供されます。 各候補にドリルインして、次のような詳細を表示できます。
- 関連する脆弱性 (CVEs) の数
- Copilot 支援の要約された影響分析
- 推奨されるアクション
- 影響を受けるシステム
- 公開されているデバイス
- 潜在的な影響
- Intuneを使用して修復するための詳細なガイダンス
エージェントの提案を修復したら、エージェントに適用済みとしてマークし、時間の経過に伴う修復アクションの追跡に使用できるレコードをエージェントに保持させることができます。
CVE の詳細と推奨される修復ガイダンスは時間の経過と同時に変化する可能性があるため、エージェントの後続の実行により、新しい詳細、デバイス数、修復手順が提供される場合があります。 脅威に関する後続のレポートを管理する際に、以前に適用したソリューションの記録は、以前の修復に基づいて特定のリスクへの変更を追跡するのに役立ちます。
ヒント
脆弱性修復エージェントは、エージェントとエンドポイントの両方のセキュリティ ノードからIntune管理センターからアクセスできます。 各パスは、同じエージェントへのアクセスを提供します。 このドキュメントでは、その場所への参照で エージェント ノードを使用します。
この記事の内容:
- エージェントを使用するための前提条件を一覧表示します
- エージェントのしくみについて説明します
- エージェントを設定する方法を示します
- エージェントを更新または削除する方法を示します
Intuneのその他のSecurity Copilot エージェントと一般的な機能については、「Microsoft IntuneのエージェントSecurity Copilot」を参照してください。
前提条件
クラウド要件
エージェントはパブリック クラウドでのみサポートされます。 政府のクラウドではサポートされていません。
ライセンス要件
Microsoft IntuneでエージェントSecurity Copilot使用するには、次のライセンスが必要です。
- Microsoft Intune プラン 1 サブスクリプション
- 十分なセキュリティ コンピューティング ユニット (SKU) を使用したMicrosoft Security Copilot
- Microsoft Defender 脆弱性の管理 - この機能は、Microsoft Defender for Endpoint P2 または Defender 脆弱性の管理 スタンドアロンによって提供されます。
プラグインの要件
プラグインを使用すると、Security Copilot エージェントが Microsoft サービスに接続し、特殊なアクションを実行できます。 このエージェントには、次のプラグインが必要です。
Intuneで Copilot を使用する場合、Intune プラグインは既に有効になっています。 プラグインの詳細については、こちらをご覧ください。
デバイス プラットフォームの要件
脆弱性修復エージェントは、次のプラットフォームとアプリケーションの評価と推奨事項をサポートします。
- Windows
- Intuneのアプリ
ロールの要件
エージェントを 有効にして構成 するには、次のロールを持つアカウントを使用します。
Intuneロール:
- 次のアクセス許可を持つ読み取り専用オペレーターまたはカスタム ロール:
- マネージド アプリ/読み取り
- モバイル アプリ/読み取り
- デバイス構成/読み取り
Microsoft Defenderロール:
- エージェントが ID に使用するアカウントには、MICROSOFT DEFENDER XDR RBAC 構成に合ったアクセス許可が割り当てられている必要があります。
- 統合 RBAC:セキュリティ閲覧者 ロール
- きめ細かい RBAC: 統合 RBAC セキュリティ閲覧者ロールと同等のアクセス許可を持つカスタム RBAC ロール
Security Copilotロール:
エージェントを 使用 して結果を表示するには、次のロールを持つアカウントを使用します。
- 読み取り専用オペレーター または同等のアクセス許可
エージェントのしくみ
脆弱性修復エージェントは、自動評価を実行して、マネージド デバイスの脆弱性を特定し、優先順位を付けます。 次に、動作のしくみを示します。
1. データ収集 - エージェントはMicrosoft Defender 脆弱性の管理から脆弱性データを収集し、マネージド デバイス全体の一般的な脆弱性と露出 (CVEs) を分析します。
2. 分析と優先順位付け - エージェントは脆弱性データを評価し、CVSS スコア、露出の影響、デバイス数などの要因に基づいて脅威の優先順位を付け、最も重要な問題に最初に焦点を当てます。
3. 修復ガイダンス - 特定された脆弱性ごとに、エージェントは、ポリシーの推奨事項や構成ガイダンスなど、Intune機能に合わせて調整された段階的な修復手順を提供します。
4. 追跡とレポート - エージェントは推奨される修復の記録を保持し、適用されたソリューションを時間の経過と同時に追跡し、セキュリティ改善の取り組みを測定できます。
エージェント ID
既定では、脆弱性修復エージェントは、エージェントの設定に使用される管理者アカウントの ID とアクセス許可の下で実行されます。 セットアップ後に、 この ID を変更できます。
ID を変更しても、エージェントの実行履歴には影響しません。これは引き続き使用可能です。
エージェントの動作は、エージェントが実行するユーザー ID のアクセス許可に制限されます。
エージェントは、エージェントの ID として割り当てられているIntune管理者アカウントの ID とアクセス許可で永続的に実行されます。
エージェント ID は、エージェントの実行ごとに更新され、エージェントが 90 日間連続して実行されない場合は有効期限が切れます。 有効期限が近づくと、各 Copilot 所有者と Copilot 共同作成者は、エージェントの概要ページを表示すると、エージェント ID の更新に関する警告バナーを受け取ります。 エージェント認証の有効期限が切れると、認証が更新されるまで、後続のエージェントの実行は失敗します。 認証の更新の詳細については、「 エージェントの更新」を参照してください。
重要
エージェント 認証が更新されると、エージェントは [認証の更新] ボタンをクリックした個人の資格情報の使用を開始します。
運用上の考慮事項
脆弱性修復エージェントを実行する前に、次の点に留意してください。
- 管理者はエージェントを手動で開始する必要があります。 エージェントが起動すると、エージェントを停止または一時停止するオプションはありません。
- エージェントは、Microsoft Intune管理センター内からのみ開始します。
- 関連する CVEs には、Windows クライアント オペレーティング システム エディションのデバイスの CVEs の数が含まれますが、Windows Server エディションのデバイスは除外されます。 CVEs は、CVSS (共通脆弱性スコアリング システム) スケールに従って、低、中、高、およびクリティカルに分類されます。
- 公開されているデバイスの一覧には、Microsoft Entraにあるデバイスのみが含まれており、Windows Serverエディションではありません。
- エージェントでは、パブリック プレビューでのスコープ タグはサポートされていません。
- Microsoft Security Copilot ポータルでセッションの詳細を表示できるのは、エージェントを設定したユーザーだけです。
重要
エージェントが報告するデータは、エージェントの提案を通じて表示されます。 このデータは、Intune管理センター内のエージェントを表示するためのアクセス権を持つ管理者に表示される場合があります。そのデータが、ロールまたはスコープIntune割り当てられている管理者の外部にある場合でも可能です。
エージェントを設定する
エージェントは、セットアップ中に使用されるアカウントの ID とアクセス許可の下で実行されます。 そのアクションは、そのアカウントのアクセス許可に制限され、実行ごとに ID が更新されます。
エージェントを設定するには:
Microsoft Intune管理センターで、[エージェント>Vulnerability 修復エージェント] に移動します。
[ 概要] で、[ エージェントのセットアップ] を選択します。 このウィンドウにはエージェントに関する詳細が表示されますが、構成は必要ありません。
詳細を確認して要件が満たされていることを確認し、[ エージェントの開始 ] を選択してセットアップ ウィンドウを閉じ、エージェントの最初の実行を開始します。
![[脆弱性修復エージェントのセットアップ] ページと [エージェントの開始] ボタンを表示するスクリーンショット。](images/vulnerability-remediation-agent/set-up-and-start-agent.png)
セットアップが完了すると、エージェントを使用する準備が整います。 エージェントの使用の詳細については、「 脆弱性修復エージェントを使用する」を参照してください。
エージェントを更新する
エージェントを 90 日間使用しない場合、エージェントの承認は期限切れになり、エージェントの実行は再認証まで失敗します。 エージェント認証はいつでも更新できます。
有効期限が近づくと、Intuneエージェントの概要ページに、各 Copilot 所有者と Copilot 共同作成者が確認できる警告が表示されます。 警告は、エージェント ID の更新を求めるメッセージを表示します。
エージェント ID を再認証するには、[ 認証の更新] を選択します。 エージェント認証を更新すると、エージェントは自動的にサインインした資格情報を使用します。 サインインした資格情報を使用しない場合は、エージェント > [Settings] タブ>別の ID を選択します。
更新後、警告バナーが消え、トースト通知によって更新が成功したことが検証されます。
エージェント ID を変更する
既定では、エージェントは、テナントでエージェントを設定した管理ユーザーの ID で実行されます。 セットアップ後、別のユーザーがエージェントを 更新するときにエージェント ID を変更したり、エージェント設定を編集して新しいエージェント ID を明示的に割り当てたりすることで変更できます。
エージェント ID の変更は、エージェントの実行履歴には影響しません。
新しい ID を割り当てるには、Intune管理センターで[エージェント>Vulnerability Remediation Agent (プレビュー)] に移動し、[設定] タブを選択します。[ID] で、エージェントが実行されている現在のユーザー アカウントを確認できます。 [ 別の ID の選択] を選択 して、アカウントのサインイン プロンプトを開きます。 エージェント ID として使用する新しいアカウントを選択して認証します。
重要
エージェントの動作は、エージェントが実行されるユーザーの ID に割り当てられるアクセス許可のレベルに制限されます。 エージェントが実行されている ID を持つユーザーに十分なアクセス許可が与えられたとき、エージェントの実行に失敗します。
エージェントを削除する
エージェントを削除すると、提案やアクティビティを含めて生成されたすべての関連データが削除されます。 以前に適用された提案は変更されません。
エージェント インスタンスを削除する手順:
- Microsoft Intune管理センターで、[エージェント] を選択します。
- 削除するエージェント インスタンスを選択します。
- [ エージェントの削除] を 選択し、削除を確認します。
削除後:
- エージェント ペインは元の状態に戻ります。
- 管理者は、セットアップ プロセスを繰り返すことで、後でエージェントを再インストールできます。
注:
エージェント インスタンスを削除するには、アカウントがSecurity Copilot所有者である必要があります。
Intune エージェントの未来を形成する
Intune エージェント フィードバック フォーラムに参加して、分析情報を共有し、Microsoft Intuneの今後の機能に影響を与える。
サインアップして詳細を確認する: https://aka.ms/IntuneAgentsForum