Microsoft Entra Agent ID 入門編

この記事の目的

Agent ID が登場し、Microsoft Entra のさまざまな機能に導入されました。
本記事では、Agent ID によって具体的にどのようなことができるのかをイメージしやすくすること を目的に、情報を整理しています。
また、実際に 検証環境で試した内容 についても紹介していく予定です。
（内容が多くなるため、別記事として公開する可能性があります）

注意
Agent ID は、本記事公開時点では パブリック プレビュー の機能です。
今後、仕様や挙動が変更される可能性がありますので、最新の情報については Microsoft の公式ドキュメントをご確認ください。

Microsoft Entra Agent ID とは

Microsoft Entra Agent ID は、その名の通り AI Agent を Microsoft Entra 上で管理するための新しい種類の ID です。

ユーザーを示す ID や、アプリケーションを示す ID とは異なる種類の ID であり、
AI Agent によって実行される操作 と ユーザーやアプリケーションによって実行される操作 は性質が異なります。
そのため、それぞれの特徴を考慮した管理・運用を行う目的で、Agent ID が導入されました。

各 ID の特徴

例えば、各 ID には以下のような特徴があります。

• アプリケーション ID
  長期的に使用されることを前提としており、安定性が求められます。

• ユーザー ID
  認証情報や、組織階層、メールアドレスなどのユーザー属性と関連付けられています。

• Agent ID
  自動化プロセスの中で動的に作成される ID であり、
  ワークフロー内で 1 日に何千回も作成・破棄される ケースもあります。
  ユーザー認証は行わないものの、ユーザーであるかのように振る舞う シナリオも存在します。

Agent ID が存在する理由や、他の ID との違いについては、以下の公式ドキュメントでも解説されています。
エージェント ID とは - Microsoft Entra Agent ID | Microsoft Learn

Microsoft Entra Agent ID ではどんなことができるのか

Microsoft Entra Agent ID によって、現時点では主に以下の 5 つのこと が可能になります。

1. Agent の登録と管理
2. Agent ID の条件付きアクセス
3. Agent のガバナンス（Governance Agent ID）
4. 攻撃や不正な Agent の阻止（Agent ID の ID Protection）
5. セキュア ネットワーク アクセス（Global Secure Access for Agents）

以降では、それぞれの項目について順番に解説していきます。

1. Agent の登録と管理

Microsoft Entra Agent Registry を利用することで、組織内で登録されたすべての Agent を 一元的に管理・可視化 することができます。

Agent Registry への登録方法

Microsoft Entra Agent Registry への登録プロセスは、Agent がどのように作成されたか によって異なります。
以下の Microsoft 製品によって作成された Agent は、自動的に Microsoft Entra Agent Registry に登録されます。

• Microsoft Copilot Studio
• Microsoft 365 Agents
• Microsoft Foundry

一方で、上記以外の Microsoft プラットフォーム や Microsoft 以外のプラットフォーム で作成された Agent については、Microsoft Graph API を使用したセルフサービス登録 が必要です。

登録方法の詳細：
エージェントをエージェント レジストリに登録する | Microsoft Learn

Agent に紐づく情報

各 Agent には、以下の 2 種類の情報 が格納されます。
Agent をレジストリに登録するには、これらの作成が必要です。

• エージェント インスタンス
  Agent の実行や管理に必要な 操作情報 が含まれます。
  具体例：エージェントをエージェント レジストリに登録する | Microsoft Learn

• エージェント カード マニフェスト
  他の Agent やアプリケーションが、Agent を 検索・発見し、操作できるようにするための検出メタデータ を提供します。
  具体例：エージェントをエージェント レジストリに登録する | Microsoft Learn

登録された Agent の確認方法

登録された Agent は、以下の場所から確認できます。

• Microsoft Entra 管理センター(https://entra.microsoft.com)
  → Agent ID
  → Microsoft Entra Agent Registry

参考になる公開情報

• Microsoft Entra Agent Registry とは | Microsoft Learn

2. Agent ID の条件付きアクセス

Agent ID および Agent ユーザーによるアクセス に対して、条件付きアクセス ポリシー を適用し、アクセス制御を行うことができます。

以下に、Agent ID の条件付きアクセスを理解するための前提として、まず Agent ID に関する基本的な概念 とそれをイメージしやすくするための 構成イメージ図 を紹介します。
(この部分は少し理解するのが難しい可能性があり別記事で解説予定です、追記します！)

図の出典：
ガバナンス エージェント ID (プレビュー) - Microsoft Entra ID Governance | Microsoft Learn

条件付きアクセスの対象となるのは、Agent ID または Agent ユーザー が何らかのリソースにアクセスした際に開始される トークン取得フロー のみです。
以下のようなケースでは 条件付きアクセスは適用されません。

典型的なシナリオ

特定の Agent のみリソースへのアクセスを許可したい

このようなシナリオでは、カスタム セキュリティ属性 を作成し、エージェントやエージェント ブループリントに割り当てた上で、条件付きアクセス ポリシーの対象とする方法が推奨されています。

• カスタム セキュリティ属性の作成例
  
  

• 制御する Agent の指定
  アクセスを許可したい Agent のみを、条件付きアクセス ポリシーの 対象から除外 します。
  本例では、AgentAttributes 属性セットの AgentIDApprovalStatus 属性がIT_Approved の Agent をポリシーから除外しています。

  

• 制御するターゲット リソースの指定
  ターゲット リソースにおいても、アクセスを許可したいリソースを条件付きアクセス ポリシーの 対象外 とします。
  本例では、ResourceAttributes 属性セットの Department 属性が IT のリソースをポリシーから除外しています。
  

• アクセス制御
  条件付きアクセス ポリシーの アクセス制御 では、「ブロック」 を選択します。

参考になる公開情報

• Microsoft Entra でのエージェント ID の条件付きアクセス | Microsoft Learn

3. Agent のガバナンス / Governance Agent ID

Governance Agent ID を使用することで、「適切なユーザーが、適切なアプリやサービスに、適切なタイミングで、適切なアクセス権を持っているか」を継続的に確認・管理することができます。

アクセス ライフサイクルの管理

Agent ID には、エージェントのライフサイクル全体を監視する責任者が割り当てられます。
これにより、エージェントのアクセス権が 必要以上に長く保持されない ように管理できます。

スポンサー（Sponsor）とは
Agent ID に割り当てられ、更新・延長・削除など、エージェントのライフサイクルに関する判断を行います。

アクセス パッケージによるアクセス制御

アクセス パッケージ を使用すると、Agent ID に以下のリソースを割り当てることができます。

• セキュリティ グループ
• Graph のアクセス許可を含むアプリケーション ロールおよびAPI アクセス許可
• Microsoft Entra ロール

アクセス パッケージの割り当て方法

アクセス パッケージの割り当て方法は、主に以下の 3 つです。

1. Agent ID 自身による要求
   Agent ID は、accessPackageAssignmentRequest を作成することで、操作に必要なタイミングで プログラムからアクセス パッケージを要求 できます。

2. スポンサーによる要求
   エージェントのスポンサーは、Agent ID に代わってアクセスを要求し、アクセス要求プロセスにおいて人間による監視を提供できます。
   詳細は以下を参照してください。
   エージェント ID に代わってアクセス パッケージを要求する (プレビュー)

3. 管理者による直接割り当て
   管理者は、Agent ID または Agent ユーザーをアクセス パッケージに直接割り当てることができます。

アクセス パッケージ割り当ての流れ

アクセス パッケージの割り当ては、以下のようなフローで進みます。

アクセス要求が アクセス パッケージの承認者 にルーティングされる
↓
有効期限が設定されている場合、スポンサーに通知 が送信される
↓
(ポリシーで許可されている場合) 有効期限の 延長 または 期限切れ を選択
↓
新しいサイクルの承認プロセスに進む、または 自動的に期限切れ となる

エージェントの管理

Agent の所有者およびスポンサーは、以下のポータルを使用して Agent ID を管理できます。

マイ アカウント ポータル

• Agent の 有効化 / 無効化 など、ID ライフサイクルの管理
• アクセス、アクティビティ、ライフサイクルに関する情報の確認

マイ アクセス ポータル

• Agent ID のスポンサーおよび所有者が、Agent ID に代わって アクセス パッケージを要求 可能

エージェントのスポンサー管理

Agent ID のリソース アクセスを最新の状態に保つため、常に委任された人間のユーザー（スポンサー） が Agent に割り当てられている必要があります。

• スポンサーが組織を離れた場合、Agent ID のスポンサーは 自動的にマネージャーへ変更 されます
• Agent のスポンサー管理には スポンサー ワークフロー を使用します

詳細については、以下の公開情報を参照してください。
ライフサイクル ワークフローのエージェント ID スポンサー タスク (プレビュー) | Microsoft Learn

参考になる公開情報

• ガバナンス エージェント ID (プレビュー) - Microsoft Entra ID Governance | Microsoft Learn

4. 攻撃と不正 Agent の阻止 / Agent ID の ID Protection

Microsoft Entra ID の既存機能である Microsoft Entra ID Protection を使用することで、Agent ID に関連する リスクの検出・可視化・制御 も行うことができるようになりました。

Agent に関するリスクの検出

Microsoft Entra ID Protection では、以下のような Agent に関するリスク を検出できます。

危険な Agent レポート
検出された Agent のリスク レベルや、リスクの詳細情報を確認できます。

リスクベースの条件付きアクセス

Agent ID に対しても、リスクベースの条件付きアクセス ポリシー を作成することが可能です。
以下は、リスクが高いと判定された Agent ID をブロックする 条件付きアクセス ポリシーの一例です。

条件付きアクセス ポリシー例

• 対象とする Agent の指定
  ポリシーの対象としたい Agent ID を選択します。
  

• Agent risk を条件に指定
  条件として Agent risk を指定します。
  

• アクセス制御
  「ブロック」 を選択します。

このように設定することで、Microsoft Entra ID Protection によって リスク高と検出された Agent ID によるリソース アクセスを自動的にブロックできます。

Microsoft Graph API によるリスク情報の取得

Microsoft Graph API を使用して、Agent に関するリスク情報をクエリの実行で取得することも可能です。

• riskyAgents
  riskyAgent リソースの種類 - Microsoft Graph beta | Microsoft Learn

• agentRiskDetections
  agentRiskDetection リソースの種類 - Microsoft Graph beta | Microsoft Learn

参考になる公開情報

• エージェントの ID 保護 - Microsoft Entra ID Protection | Microsoft Learn

5. セキュア ネットワーク アクセス / Global Secure Access for Agents

Global Secure Access for Agents を使用することで、Agent が外部リソースへアクセスする際の アクション、ナレッジ、ツール などの利用方法を制御できます。

例えば、以下のような ネットワーク セキュリティ ポリシー を Agent のトラフィックに対して適用することが可能です。

• Web コンテンツ フィルタリング
• 脅威インテリジェンス フィルタリング
• Agent トラフィックに対するネットワーク ファイル フィルタリング

Copilot Studio エージェントへの適用

Microsoft Copilot Studio のエージェントにネットワーク セキュリティ ポリシーを適用するには、Agent のトラフィックを Global Secure Access のプロキシ サービスに転送 する必要があります。

具体的な設定手順については、以下の公開情報をご参照ください。
Configure Secure Web and AI Gateway for Microsoft Copilot Studio agents | Microsoft Learn

参考になる公開情報

• Learn about Secure Web and AI Gateway for Microsoft Copilot Studio agents | Microsoft Learn

まとめ

現時点で Agent ID によって実現できること の具体例として、本記事では以下の5 つを紹介しました。

1. Agent の登録と管理
2. Agent ID の条件付きアクセス
3. Agent のガバナンス（Governance Agent ID）
4. 攻撃や不正 Agent の阻止（Agent ID の ID Protection）
5. セキュア ネットワーク アクセス（Global Secure Access for Agents）

これらはそれぞれ、既存の Microsoft Entra ID の機能が Agent ID にも拡張された と捉えることができます。

ぜひ、これらの機能を パブリック プレビュー の段階から試してみてください！
Microsoft Entra によるセキュアなエージェント アクセス | Microsoft Security