朝風呂・散歩・昼食のあいだに、Claude が Microsoft 365 を 5 ラウンド武装化していた話
2026-05-10 / 第7号 / 公開時点では下書き
朝、Claude にひとこと頼んだ。「Intune とセキュリティを確認して改善点を修正していきたい」。それだけ。
その間、私は家事をして、朝風呂でのんびり温まって、散歩に出て、戻ってきて昼食の準備をして、食べ終わった。
気づけば Microsoft 365 テナントのセキュリティが 5 ラウンドかけてハーディングされていた。今、その記事を書いている。
「ほぼ自動」が手触りとして来た
第1〜6号までは、Claude に何かを頼むときも「指示しながら隣で見守る」感覚が強かった。提案を読んで、自分で判断して、コピペして、結果を貼り戻して…という往復。
第7号の今日は違った。「総合的に確認して改善」とだけ言って、Claude が 監査範囲を自分で組み立て、ブラウザを直接操作し、必要なときだけ私に承認を求める、というワークフローで進んだ。私の関与は OAuth 承認と、ときどきの「進めて」だけ。
これは 関係の質が一段変わった 瞬間だった。前回(第6号)の時点でブラウザ操作はもう経験していたけれど、今回は 「タスクの設計から監査・修正まで全部 Claude が走る」 モードを試した感覚。
その間、私の 1 日は
・朝、コーヒーを淹れて Claude に投げる
・家事をする
・朝風呂でのんびり温まる
・散歩に出る
・戻ってきて昼食を準備する
・食べる
・今、ここに座ってこの記事を書いている
たまにスマホで進捗を覗く。エラーが出ていたらリロードしてあげる。それぐらい。
その間、Claude が走った 5 ラウンド
あとから整理すると、こうなっていた。
Round 1:Break Glass アカウント整備
昨日仕掛けた緊急用管理者アカウントを完成形にした。専用のセキュリティグループ「Break Glass Accounts」を作って、緊急用アカウントを所属させ、CA ポリシーから除外する基盤を整えた。
Round 2:CA ポリシー総点検と認証方法の整備
管理者向け CA 4 本に Break Glass グループの除外を一括適用。Phishing-resistant CA は user-by-user 除外をグループ除外に統一して整理。あわせて新フレームワークの認証方法ポリシーを点検し、Microsoft Authenticator と FIDO2 を有効化。レガシ MFA 廃止予定(2025-09-30)に備える。
Round 3:高・中・低の優先項目をまとめて
Block legacy auth から普段使い管理者の除外を外す(A)。メール OTP の見直し(B)。SharePoint 共有のデフォルト引き締め(C:既定リンクを「組織内のみ」、既定アクセスを「表示」、有効期限 90 日)。Intune iOS / Android のコンプライアンスポリシー追加(D)。コンプライアンス必須の CA を Report-only モードで作成(E)。Windows セキュリティベースラインの確認(G:すでに 4 デバイスに展開済み)。
Round 4:Intune とセキュリティ全体の総合監査
13 領域を横断的に確認。ウイルス対策、ディスク暗号化(BitLocker)、ファイアウォール、EDR、ASR、アカウント保護、設定プロファイル 14 件、デバイス(6 台、全て準拠)、Defender for Endpoint の高度な機能(全 ON)、アプリ保護、テナント設定、監査ログ、Defender XDR ダッシュボード(0% 非準拠)。想定よりずっと整っていた。
1 件だけ見つけた弱点:Defender for Office 365 の「標準セキュリティポリシー」がオフだったので 有効化。これでフィッシング・スパム・マルウェア対策が Microsoft 推奨設定で一気に揃う。
Round 5:中・低の仕上げ
なりすまし防止に 本人を保護対象として明示登録(私を装ったメールの検出強化)。カスタムの Safe Attachments ポリシー を作って、未知マルウェアが添付されてきたメールはブロック(検疫はメール管理者だけ閲覧可)。監査ログ保持を 90 日 → 1 年 に延長。最後に、Security Baseline で 4 件出ていたエラー表示を調査して 誤検知(個別 354 設定はすべて成功)と判明。
気がついたら全部、6 デバイスに自動展開されていた
うちの環境には Windows 4 台、iPad、Android Phone の 6 デバイスが Intune に登録されている。今日触ったポリシーは、メール系(テナント全体)もデバイス系(「すべてのデバイス」対象)も、個別に手で配る作業がいっさい要らなかった。
Defender XDR で念のため確認 → 5 デバイスがエンドポイント保護にオンボード済み(Android はモバイルアプリ保護でカバー)、未管理デバイスはネットワーク上に 0 件。
「デバイス側で何か設定する必要はないですか?」と Claude に聞くまでもなく、Claude のほうから「次回チェックイン時に反映されます。最大 8 時間、通常 1 時間以内」と教えてくれていた。聞く前に答えがある という体験が増えた。
怖さも一応、書いておく
正直に言うと、ぼーっと風呂に浸かっている間に テナント全体に関わる設定が次々と書き換わっていく のは、ちょっと怖さもある。
怖さを和らげているのは:
・Claude が 勝手に踏み込まない領域(OAuth 承認・パスワード入力・ライセンス購入・コスト判断)を毎回明示的に止めて私に渡してくる
・コンプライアンス必須の CA は Report-only モード で開始(いきなり遮断しない)
・Break Glass アカウントが事前にちゃんと整備されている(万一ロックアウトしてもリカバリーできる)
・全工程をドキュメント化して残してくれる(あとで「何を変えたか」が再構成できる)
この 4 つがあるから「任せられる」状態が成立している。1 個でも欠けたら、たぶん私はこの密度で任せていない。
「クロードに慣れる」が何を意味するか
第1号から振り返ると、たぶん 4 段階あった:
1. 提案を読んで自分で実装(第1〜3号)
2. 提案 + コピペ支援を受けて実装(第4〜5号)
3. Claude にブラウザを操作させて、私は承認だけ(第6号)
4. 「総合的に確認して改善」とだけ言って、あとは Claude がワークフローも組み立てて走る(第7号)
段階 4 は、段階 3 とまったく違う体験。違いを言葉にすると 「タスクの設計を Claude に渡せるようになった」。やり方ではなく、「何を達成すべきか」を渡せばいい。
これは万能ではない。今回うまくいったのは、対象が Microsoft 365 という、世界中のドキュメントが整っていて Claude が型を知っている領域 だったから。同じ手触りで karaha.org の写真同意システムを「総合的に改善して」と頼んだら、おそらく違う結果になる(あれは うちにしかない仕様 なので、Claude は推測で動かざるを得ず、私の判断が要る瞬間が増える)。
残ったもの
・FIDO2 セキュリティキーの購入判断
・Entra ID Premium P2 の費用対効果評価
・karaha.org の Cloudinary 自動削除(第6号からの持ち越し)
・Compliance ベース CA の Report-only → 本番切替(1〜2 週運用観察してから)
これらは「人間が判断する」ところなので、Claude には保留にしてもらった。次に手をつけるタイミングは、私の頭の中で熟成してから。
次回
第8号は、第6号で残した「メンバー名簿への実際の登録 → 一斉送信」の運用回になりそう。あれこそが karaha.org の本番。
あるいは、今日整えた Microsoft 365 のハーディングを 「他の組織でも使える型」 として書き出す回になるかもしれない。esynet.jp 経由で、似た規模の小組織に展開できる気がしている。
どっちにしろ、たぶん来週には書く。今日はこのへんで。これからお茶でも淹れる。