脆弱性修復エージェントは、AI を利用した分析を使用してマネージド デバイス全体の脆弱性を特定して優先順位を付け、Intune管理センターを通じて段階的な修復ガイダンスを提供します。
エージェントを設定したら、脆弱性評価を実行し、優先順位付けされた提案を確認し、修復の進行状況を経時的に追跡できます。
ヒント
脆弱性修復エージェントは、エージェントとエンドポイントの両方のセキュリティ ノードからIntune管理センターからアクセスできます。 各パスは、同じエージェントへのアクセスを提供します。 このドキュメントでは、その場所への参照で エージェント ノードを使用します。
この記事では、次のような脆弱性修復エージェントを使用する方法について説明します。
- 脆弱性評価の実行
- 提案の確認と管理
- 修復ガイダンスについて
- 適用された修復の追跡
エージェントとその設定方法については、Microsoft Intuneの脆弱性修復エージェントに関するページを参照してください。
前提条件
開始する前に、 脆弱性修復エージェントに関 する記事の要件を確認してください。
脆弱性修復エージェントを調べる
構成後、[脆弱性修復エージェント] ウィンドウからエージェントを管理します。
Microsoft Intune管理センターで、[エージェント>Vulnerability Remediation Agent (プレビュー)] を選択します。 詳細については、次のタブを選択してください。
- 概要 - エージェントの現在の状態、エージェントが特定した最も優先度の高い脆弱性、および最近のエージェント アクティビティの記録を表示します。
- 提案 - ここでは、エージェントが特定した脆弱性の完全な一覧を確認できます。
- [設定] - このタブには、エージェントの構成の詳細が表示されます。
[概要] タブには、次のものが含まれます。
- エージェントの状態 - さまざまなタイルによってエージェントが導入され、エージェントが使用可能かどうかと現在の実行状態が詳細に示されます。
- エージェントの提案 – これは、対処する必要がある上位の脆弱性の短い一覧です。
- アクティビティ – この領域は、エージェントの現在および過去の実行アクティビティを追跡します。 エージェントがまだアクティブに実行されている場合、[状態] 列に [実行中] と表示されます。 状態列には、過去のエージェント実行の完了が表示されます。
エージェントの実行が完了すると、[概要] タブが更新され、確認と対処が必要な上位の脆弱性が表示されます。 このタブには、一度に表示される候補はわずかです。完全な一覧は、[提案] タブで使用できます。いずれかのタブを使用して、推奨事項をドリルダウンして確認または管理します。
![提案の一覧が表示された [提案] タブを表示するスクリーンショット。](images/vulnerability-remediation-agent/suggestions-tab.png)
脆弱性修復エージェントを実行する
エージェントを実行して、Defender からの新しいデータを評価し、検出された脆弱性に関するエージェントの提案を更新します。 エージェントは、評価が完了するまで実行されます。停止または一時停止することはできません。
エージェントは、割り当てられたIntune管理者アカウントの ID とアクセス許可を使用します。 その操作は、そのアカウントのアクセス許可に制限されます。 エージェントが 90 日間連続して実行されない場合、その認証は期限切れになり、ID が更新されるまで後続の実行は失敗します。
エージェントはスケジュールされた実行をサポートしていないため、結果を更新するたびに手動で開始する必要があります。
脆弱性修復エージェントを手動で実行するには:
Microsoft Intune管理センターで、[エージェント>Vulnerability Remediation Agent (プレビュー)] に移動します。
[ 概要 ] タブで、[ エージェントの開始] を選択します。 このオプションは、エージェントがセットアップされ、最初の実行が完了するまで使用できません。
エージェントの提案を管理する
[脆弱性修復エージェント] ノードを使用して、Intune管理センターで脆弱性の提案を確認および管理します。 エージェントの提案は、Microsoft Defender 脆弱性の管理からのデータに基づいて特定された上位の脆弱性の優先順位付けされた一覧です。
[ 概要 ] タブと [提案] タブの両方から [エージェント の提案 ] を選択できます。
エージェントの提案について
エージェントの提案には、次の情報が表示されます。
推奨される次の手順: 推奨 される各次の手順 は、詳細な修復ガイダンスを含む [推奨されるアクション ] ウィンドウを開くリンクです。
影響:Microsoft Defender 脆弱性の管理によって識別される露出スコアに基づく潜在的な影響。
公開されているデバイス: 影響を受けるデバイスの数。 エージェントによって表示される CVE 数は、Windows クライアント オペレーティング システム エディションを持つデバイスに対してのみであり、サーバー エディションは含まれません。
ステータス: 既定では、報告された脆弱性の状態は [未適用] に設定されています。 修復を実装した後で、提案を適用済みとしてマークできます。
最後に適用された: 修復ガイダンスを適用済みとしてマークした日時。
推奨されるアクションの操作
推奨される次の手順を選択すると、[ 推奨されるアクション ] ウィンドウには、次のような詳細情報が表示されます。
- 関連する脆弱性の詳細 (Intune マネージド デバイスの場合)
- 脅威を修復するために実行する推奨されるアクション
- Intune設定カタログから使用可能な設定を含む [構成] セクション
- 修復を適用済みとしてマークするオプション
修復ガイダンスのカテゴリ
修復ガイダンスは、次のカテゴリに分類されます。
アプリ: アプリの脆弱性を修復するために、エージェントは次のことをお勧めします。
- 更新されたアプリ バージョンのデプロイ
- アプリの動作を管理し、セキュリティ リスクを軽減するためのIntune プロファイルのデプロイ
オペレーティング システム: Windows などのオペレーティング システム (OS) の脆弱性を修復するには、一般的な推奨事項を次に示します。
- 品質更新ポリシーの展開
- Windows 更新プログラム リングを使用した品質更新プログラムの迅速な展開
推奨事項に Windows 更新プログラムが含まれている場合、エージェント ガイダンスには、更新プログラムの制御されたロールアウトを管理するのに役立つ 更新リング の使用に関する詳細が含まれています。
重要
推奨される Windows 更新プログラムの推奨事項の一部は、 Expedite から始まります。 CVE の共通脆弱性スコアリング システム (CVSS) スコアがリスク値 9.0 以上に達すると、エージェントはこの形式を使用します。 このレベルのリスクの場合、エージェントは、これらの更新プログラムをデバイスにすぐに迅速化することをお勧めします。 このガイダンスには、 品質更新プログラムの迅速なインストール を使用して、推奨される更新プログラムをより迅速に展開する方法が含まれています。
構成に関する推奨事項
注:
脆弱性修復エージェントに影響を与えるアクティブな一時的な問題があります。 解決されるまで、エージェントは、この脅威に使用する設定に推奨される 構成 を提供できません。 エージェントは引き続き脅威を識別し、その背景を説明し、ステップ バイ ステップアクションを提供します。
構成に関する推奨事項は、問題が解決されると自動的に再開されます。
[ 構成 ] セクションで、エージェントは設定カタログから使用可能な設定を使用してデバイス構成ポリシーを作成するための詳細を提供 します。 このガイダンスは、脆弱性に対する攻撃面を減らすのに役立ち、次のものが含まれます。
- Intune設定カタログ ポリシーを使用して構成できる関連する設定の一覧
- 各設定には、推奨される構成が表示されます
- 設定の横にある引用アイコンを選択すると、その設定の説明が表示され、基になる Configuration Service Provider (CSP) ドキュメントへのリンクが含まれる場合があります
展開する推奨デバイス構成設定がない場合、[構成] セクションは、推奨設定カタログ ポリシーの構成が使用できないことを示します。
![推奨される操作ウィンドウの [構成] セクションの例を示すスクリーンショット。](images/vulnerability-remediation-agent/configurations.png)
適用された修復を追跡する
エージェントの提案を確認し、推奨される修復を適用した後、[適用 済みとしてマーク] を選択することで、それらの修復の適用を自己証明できます。 このアクション:
- 修復手順が完了したことを確認します
- エージェントによってデバイスの変更がトリガーされない
- 修復がいつ実装されたかを追跡するために 、適用済みとしてマークされた Last というタイムスタンプを追加します
その後エージェントを実行すると、提案が更新される可能性があります。 以前の提案が適用済みとしてマークされている場合は、[更新プログラムを適用済みとして マークする] を選択することで、最新の提案を適用することを自己証明できます。 これにより、 適用されたタイムスタンプとしてマークされた Last が現在の時刻に更新されます。
オプションですが、推奨されるアクションを適用済みとしてマークすると、推奨される修復が実装されたタイミングを追跡するのに役立ちます。 適用済みとしてマークされた推奨事項は、エージェントの提案リストに保持され、将来の実行のベースラインとして機能し、同じ脆弱性の新しい結果と変更を時間の経過と同時に比較できます。
エージェント アクティビティを表示する
[アクティビティ] セクションでは、エージェントの現在および過去の実行アクティビティが追跡されます。
- エージェントがアクティブに実行されている場合、[状態] 列に [実行中の実行] と表示されます
- 状態列に、過去のエージェント実行の 完了 が表示されます
このセクションでは、次の情報を表示します。
- エージェントが最後に実行されたとき
- 各実行が完了するまでにかかった時間
- 各実行の成功または失敗の状態
エージェント ログ
すべてのエージェント管理アクション (作成、削除、実行) とアクセス許可エラーは、Security Copilot ログで使用できます。 検出された脆弱性のログ記録や、修復が適用された場合は使用できません。 代わりに、 オプションを使用して、修復された脆弱性を適用済みとしてマーク します。
一般的なエラー
SCU が不足しているためにエージェントの実行が失敗する可能性がありますが、発生する可能性のあるその他のエラーがあります。 このセクションでは、エージェントの使用中に発生する可能性がある一般的なエラー メッセージと、説明と推奨されるアクションの一覧を示します。
エージェントが正確な提案を提供しない
この場合、エージェントに正確な提案を生成するのに十分なデータがない場合や、その設定がorganizationの環境と完全に一致しない可能性があります。
今後の提案の改善に役立てるには、各提案 
利用可能な [いいね/嫌い] ボタンを使用してフィードバックを共有します。
このエージェントにアクセスできない - ライセンス
詳細: このエージェントにアクセスするために必要なライセンスがありません。
このエージェントのライセンスとプラグインの要件を確認し、必要なライセンスと構成がテナントに割り当てられていることを確認します。
このエージェントにアクセスできない - ワークスペース
詳細: このエージェントにアクセスするために必要なワークスペースの一部ではありません。
このメッセージは、Security Copilotがテナントに追加されるときに構成されているSecurity Copilot ワークスペースを表示または使用するアクセス許可がアカウントにないことを示します。 Security Copilot サブスクリプションをインストールまたは管理している管理者に問い合わせて、アクセス権を取得する方法については、「Microsoft Security Copilotでの認証について」を参照してください。
このエージェントにアクセスできない - アクセス許可
詳細: このエージェントにアクセスするために必要なアクセス許可がありません。
エージェントを使用するためのロール要件を確認します。 Intune管理者と連携して、アカウントに必要なアクセス許可を割り当てます。
エージェントでエラーが発生し、実行が完了しませんでした。 エージェントをもう一度実行してみてください。
詳細: エージェント インスタンスの実行を開始できなかったか、正常に完了できませんでした。 エラーの詳細を特定できません。 実行または完了に失敗した場合でも、管理者は、過去の実行からのエージェントの提案を引き続き表示および管理できます。
エージェントが失敗し続ける場合、ID アカウントに対する承認が失われ、再認証されるまで実行できない可能性があります。 承認が失われる原因として考えられるのは、次のとおりですが、これらに限定されません。
- エージェントの承認期間が 90 日に達しました。
- エージェントがインストールされたユーザー アカウントは、定期的な再認証を必要とするポリシーの対象となります。
- アクセス トークンが取り消されました。
エージェントの再認証では、エージェントを削除してから、もう一度設定する必要があります。
警告
エージェントが削除されると、既存のすべてのエージェント候補が削除されます。 これには、 適用済みとしてマークされた提案の詳細が含まれます。