※本記事は Ignite 2025 の情報を参照しつつ、筆者個人の視点でまとめた考察記事です。
内容は私見であり、所属組織や Microsoft の公式見解を代表するものではありません。

Microsoft Ignite 2025では、企業内で急速に増えつつある“自律AIエージェント”を前提とした、新しいアーキテクチャが提示されました。

私はこれまで 「許可外テナントを通さない OAuth 実装（Slack/Box）」 や 「MCP × Cerbos/OPA での超細粒度 RBAC/ABAC」、「Cross App Access（XAA）/ ID-JAG の再解釈」 を書いてきましたが、これらが Ignite 2025 で提唱された世界観と完全に地続き にあると強く感じました。

本記事では、Ignite 2025 の主要発表（Agent 365 / IQスタック / モデル不可知論）を俯瞰しつつ、すでに私たちが取り組んでいる技術群とどう関係があるのか を整理していきます。

---

1. Agent 365 ── エージェントの「人事システム」というパラダイムシフト

Ignite 2025 で最も象徴的だったのが新しい制御プレーン Agent 365 です。

従来の「アプリ管理」ではなく、エージェントそのものを ID として扱い、登録し、能力を定義し、リネージ（系譜）を追跡し、必要ならキルスイッチで即停止する。

これはまさに「エージェントの人事システム」と呼べる概念です。

---

Agent 365 と既存技術の接続

Ignite 2025での発表	過去のブログで触れた技術	説明
Agent 365 (制御プレーン)	Cross App Access / ID-JAG	エージェント間連携（App↔App）を IdP が中央集約的に統制。Agent ID や連携ポリシーの一元管理に通じる。
キルスイッチ / ポリシー	Cerbos / OPA	「誰が／どのクライアントから／どのツールを／どんな引数で」実行できるかを直前で判定する PDP が不可欠。
Entra Agent ID / リネージ追跡（※Agent ID は Entra 側の機能で、Agent 365 はその上位の制御プレーン）	OAuth Resource Indicators / テナント検証	許可外テナントへの越境アクセスを防ぐため、Slack/Box のように「トークン受領後にテナントIDを確認し、不一致なら無効化する」方式が必須。
可観測性（思考・行動ログ）	Unity Catalog監査ログ	プロンプト単位で「誰が／何を／どこにアクセスし／何を出力したか」を完全に記録するという方向性が一致。

---

✔︎ 考察：エージェントのゼロトラストは「実行」と「テナント」の二重チェック

エージェントの危険性は、**「勝手に外部APIを叩く」＋「勝手に許可外テナントへ接続する」**という二重の意味でリスクが大きい。

Ignite で語られた Agent 365 はこれに対し、

• 実行のゼロトラスト（Cerbos/OPA）
• 接続のゼロトラスト（XAA / Resource Indicators）

をまとめて統治する “統合セーフティレイヤー” だと言えます。

---

2. IQスタック ── RAG を超えた「文脈の安全供給レイヤー」

AI の真の問題は「賢さ」ではなく「文脈」。
Ignite 2025 で提唱された IQスタック（Work IQ / Fabric IQ / Foundry IQ）は、この文脈を一元的に扱う「脳」に相当します。特に Work IQ は Microsoft 365 内のユーザー文脈を、Fabric IQ は企業データ基盤の文脈を、Foundry IQ は業務プロセスの推論文脈をそれぞれ担当し、三層で “文脈の供給網” を形成しています。

しかし、この全社文脈は 機密データの塊。
RAG がそうであるように、“権限制御が甘いと一発アウト” の領域です。

---

IQスタックと既存技術の接続

IQスタック	関連技術	説明
IQスタック全体	RAGの権限制御	「見えない文書はAIにも見えない」という原則。ACL/Governance が成否の鍵。
Fabric IQ (セマンティック層)	Vector DB のアクセス制御	Namespace 分離（Pinecone/Weaviate）や Metadata Filter（Qdrant）で、ユーザーごとに検索結果を制御。
Foundry IQ (計画/反復推論)	Web検索APIのZDR	外部検索時に “クエリが外部に保存される” 問題を回避するための ZDR（Zero Data Retention）が必須。

---

✔︎ 考察：IQスタックは「文脈の供給網」。安全設計が最重要

Fabric IQ がどれだけ優秀でも、Vector DB が権限制御を間違えた瞬間にすべて破綻します。

• Fabric IQ = 文脈データの倉庫
• Vector DB = 倉庫のセキュリティゲート
• Foundry IQ = 文脈を集めて推論する輸送者

このサプライチェーン全体で権限制御を通すことが、Ignite 2025 で語られた「LLM-02対策」の中核です。

---

3. モデルの不可知論化 ── “推論はどこで行われ、データはどこに残るのか”

Microsoft は今年、明確に「モデル不可知論（Model Agnostic）」に舵を切りました。
そして象徴的だったのが Azure での Claude 完全統合 と モデルルーター。

---

モデル不可知論と既存技術の接続

Ignite 2025	関連技術	説明
モデル不可知論 / モデルルーター	Databricks 経由の Claude	Foundation Model API 経由で Claude を即利用可能に。ベンダーロック解消。
最適モデル選択（コスト/速度）	データ保持ポリシーの差	Azure OpenAI は最大30日ログ保持（※申請でOFF可）。Ignite 2025 では ZDR（Zero Data Retention）の適用範囲がさらに拡大し、用途によっては完全ログレス運用も現実的になってきた。Databricks 経由 Claude は ZDRを前提とした利用が可能。
インフラ経済学 / 法規制	リージョンとデータ所在地	Azure OpenAI は日本リージョン内で完結。対して Claude 推論処理は米国側で実行される。

---

✔︎ 考察：モデル選択は「コスト × 速度 × 機密度 × データ保持」

モデルルーターは本来、

• 安い
• 速い
• 高品質

で選ぶべきですが、自律エージェント時代にはもう一つ軸が増えます。

👉 “データがどこに行くか”

• 機密度が高い → 国内完結モデル（Azure OpenAI）
• 機密は低い / ZDR優先 → Claude（Databricks経由）
• 多様な推論パターン → モデルガーデンから自動選択

という「機密度ルーティング」が新たな定石になっていきます。

---

結論：エージェント統治の三本柱 ── すべての技術が一つの方向を向き始めた

Ignite 2025 の発表は、自律エージェント時代の「基盤設計」がいよいよ固まりつつあることを示していました。

企業が安全にエージェント運用へ移行するための三本柱は次の通りです（これらは Ignite 2025 で示された方向性とも整合している、というのが本記事での見立てです）。

---

① 実行制御の細粒度化（Cerbos/OPA）

👉 “エージェントの手を動かす前に、必ず人間の意図と権限で止める最後の砦。”
エージェントが持つ「ツール実行」という強権に対し、
RBAC/ABACで直前ガードすることはもはや必須。

② ID と連携の統治（XAA / ID-JAG / Resource Indicators）

👉 “トークン受領後のテナント検証で、許可外システムへの越境を物理的に遮断する。”
許可外テナント越境の防止は、Slack/Boxの記事で書いた通り、
“トークン受領後のテナントチェック” が全ての基盤になる。

③ 文脈とモデルの安全選択（IQスタック × VectorDB × Model Router）

👉 “文脈サプライチェーンを全区間で制御し、機密データを漏らさず最適モデルへ届ける。”
文脈データの供給網を全区間で統治することで、
機密情報のRAG漏えいをゼロ化しつつ、高精度推論を実現。

---

最後に──エージェントの管理は「巨大なオーケストラの指揮」に近い

自律エージェントは、オーケストラの奏者のように勝手に演奏し始めます。

• Agent 365 は彼らに “楽譜（ポリシー）” を配り
• Cerbos/OPA は “音外れ演奏の直前チェック” を行い
• IQスタックは “楽曲の文脈（世界観）” を与え
• モデルルーターは “その場に最適な演奏者（モデル）” を選ぶ

企業はこの 指揮者 として、全体の調和を保ちながら、エージェントの力を最大化していく必要があります。

自律エージェント元年とも言える2025年。
これからは「人間主導 × エージェント活用」のオペレーティングモデルが、企業ITの標準設計として定着していくと感じています。特にセキュリティ・ID・文脈制御が “前提条件” になる点は、従来のAI導入との最も大きな違いです。