ゼロ トラスト評価では、テナントの構成が確認され、 概要で説明されているようにセキュリティを向上させる方法が推奨されます。
[前提条件]
- PowerShell 7。 インストールするには、「Windows、 Linux、および macOS に PowerShell をインストールする」を参照してください。
- 必要なアクセス許可に初めて接続して同意するには、 グローバル管理者である必要があります。
- 後続の実行では、 グローバル閲覧者 ロールを使用できます。
- 以前のバージョンのゼロ トラスト評価をインストールした場合は、 先 に進む前にアンインストールしてください。
PowerShell モジュールをインストールする
評価をインストールまたは更新し、Microsoft Graph とテナントに接続するには、次の手順に従います。
新しい PowerShell 7 ウィンドウを開きます。
次のコマンドを実行して、
ZeroTrustAssessmentモジュールをインストールします。Install-Module ZeroTrustAssessment -Scope CurrentUser
Microsoft Graph と Microsoft Azure に接続する
ゼロ トラスト評価モジュールを実行するには、Microsoft Graph と Microsoft Azure に接続します。 ゼロ トラスト評価モジュールは、最初に Microsoft Graph に接続し、次に Microsoft Azure に接続します。
次のコマンドを実行して、Microsoft Graph に接続します。
Connect-ZtAssessment
Microsoft Graph PowerShell を使用して接続すると、次のアクセス許可が要求されます。
- AuditLog.Read.All
- CrossTenantInformation.ReadBasic.All
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementRBAC.Read.All
- DeviceManagementServiceConfig.Read.All
- Directory.Read.All (ディレクトリのすべてを読む)
- DirectoryRecommendations.Read.All
- EntitlementManagement.Read.All
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.Read.All(アイデンティティリスキーユーザー.リード.オール)
- Policy.Read.All
- Policy.Read.ConditionalAccess
- Policy.Read.PermissionGrant
- PrivilegedAccess.Read.AzureAD
- Reports.Read.All
- RoleManagement.Read.All
- UserAuthenticationMethod.Read.All
注
同意プロンプトは、Microsoft Graph PowerShell アプリにこれらのアクセス許可がまだない場合にのみ表示されます。 次回接続するときに、アクセス許可に再度同意する必要はありません。
Microsoft Graph にサインインする
- グローバル管理者として Microsoft Graph にサインインします。
- [Accept](承認) を選択します。
Microsoft Azure にサインインする
Microsoft Azure サインイン用の 2 番目のウィンドウが開きます。 メッセージが表示されたら、グローバル管理者として Microsoft Azure にサインインします。
監査ログとサインイン ログのエクスポートを確認するには、Microsoft Azure サインインが必要です。 Microsoft Azure をお持ちでない場合は、サインインせずにウィンドウを閉じて、警告を無視します。 評価では、Microsoft Azure に依存するテストがスキップされます。
複数のサブスクリプションがある場合は、メッセージが表示されたら、テナントとサブスクリプションを選択します。
評価を実行する
ゼロ トラスト評価は読み取り専用です。 すべてのデータが実行され、デスクトップにローカルに格納されます。 評価レポートを安全に保存し、評価が完了したら、生成されたフォルダーとその内容をローカル ドライブから削除することをお勧めします。
最初の実行でアクセス許可にグローバル管理者の同意を与える場合、以降の実行はグローバル閲覧者として実行できます。
評価を実行するには、次のコマンドを使用します。
Invoke-ZtAssessment
評価により、結果が現在の作業フォルダー .\ZeroTrustReport\ZeroTrustAssessmentReport.htmlに保存されます。 評価が完了すると、既定のブラウザーでレポートが自動的に開きます。
注意事項
レポートとエクスポート フォルダーには、脅威アクターが利点を得るために使用する可能性がある機密性の高いテナント情報が含まれています。 レポートとフォルダーは、組織内の承認された担当者とのみ共有します。
-Path パラメーターを使用して、評価レポートを格納するカスタムの場所を指定します。 たとえば、次のコマンドは、レポートをフォルダー C:/MyAssessment01/ZeroTrustAssessmentReport.htmlに保存します。
Invoke-ZtAssessment -Path C:\MyAssessment01
ヒント
大規模なテナントの場合、ゼロ トラスト評価の実行には 24 時間以上かかる場合があります。 評価が警告またはエラーをログに記録した場合でも、実行中に評価を停止しないでください。
評価結果を確認する
評価の実行後、レポートは既定のブラウザーで [ 概要 ] タブを開きます。 [ 概要 ] タブには、テナントに関する重要なゼロ トラスト情報が表示されます。
![[概要] タブの評価結果のスクリーンショット。](media/results-overview-full.png#lightbox)
[ID] タブと [デバイス] タブには、テナントに対して実行されたテストの結果の一覧が表示されます。 結果には、各テストの リスク と結果の 状態が 表示されます。
![[ID] タブの評価結果のスクリーンショット。](media/results-identity.png#lightbox)
テストの詳細を表示するには、結果を選択します。 詳細では、テストされた内容を説明し、テナント構成に対処するための推奨される修復アクションを一覧表示します。 各チェックで使用される用語の詳細については、 用語集を参照してください。
ゼロ トラスト評価モジュールを削除する
ゼロ トラスト評価モジュールを削除するには:
- PowerShell モジュールを削除します。
- アプリの登録と同意を削除します。
- ゼロ トラスト評価モジュールが作成したフォルダーを削除します。
FAQs
以前のバージョンをアンインストールする
次のコマンドを実行して、過去のすべてのバージョンのモジュールがアンインストールされていることを確認します
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
PowerShell を再起動し、 最新バージョンをインストールします。
ファイルまたはアセンブリ Microsoft.Graph.Authentication を読み込めませんでした
このエラーは、競合するバージョンの Microsoft Graph PowerShell がインストールされている場合に発生します。
このエラーを解決するには、システムにインストールされているすべての Microsoft Graph PowerShell モジュールをアンインストールすることをお勧めします。 uninstall-graph.merill.net などのヘルパー モジュールを使用して、クリーンアップを実行できます。
Microsoft Graph をアンインストールする場合は、Zero Trust Assessment のすべてのバージョンをアンインストールし、PowerShell を再起動してから 、最新バージョンをインストールする必要もあります。
Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph
スクリプトの機能を知る方法
この評価のコードはオープン ソースです。
https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershellで確認します。
なぜ "'DuckDB.NET.Data.DuckDBConnectionStringBuilder' の型初期化子が例外をスローしました" という例外エラーが発生したのでしょうか?
Windows の新規インストール時に、次のエラーが表示されることがあります。
'DuckDB.NET.Data.DuckDBConnectionStringBuilder' の型初期化子が例外をスローしました。 内部例外: DLL 'duckdb' またはその依存関係の 1 つを読み込むことができません:指定されたモジュールが見つかりませんでした。 (0x8007007E) 内部例外の種類: DllNotFoundException
このエラーは、 Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64を含まないシステムで実行しているために発生します。 VCRedist は通常、Microsoft Office や Microsoft Entra Connect Sync などの Microsoft 製品をインストールするときにインストールされます。新しいデバイスを使用している場合は、このコンポーネントを手動でインストールすることが必要になる場合があります。
最新の Microsoft Visual C++ 再頒布可能パッケージ バージョンを参照してください。
ARM64 デバイスでの Windows のサポートは、現時点では利用できません。
サポートを受ける方法は?
ゼロ トラスト評価 GitHub リポジトリにサポートの問題を提起します。