Microsoft Entra エージェント IDについてよく寄せられる質問

Microsoft Graph /ownedObjects、/deletedItems、/owners などのエージェント ID を含むリレーションシップをサポートする API では、エンティティの種類によるフィルター処理はサポートされていません。 既存の API を使用し、 odata.type プロパティを使用してクライアント側で結果をフィルター処理して、応答内のエージェント ID オブジェクトを識別します。

エージェント ID ブループリントまたはエージェント ID が削除されると、関連付けられているエージェントのユーザー アカウントはテナントに残ります。 無効化や削除は表示されませんが、認証はできません。 Microsoft Graph API または Microsoft Entra PowerShell を使用して、孤立したエージェントのユーザー アカウントを手動で削除します。

Microsoft Graph API を使用してエージェント ID オブジェクトを連続して作成すると、400 Bad Request: Object with id {id} not found などのエラーで要求が失敗する可能性があります。 この動作をトリガーする一般的なシーケンスは次のとおりです。

• エージェント ID ブループリントを作成した後、すぐにブループリント プリンシパルを作成します。
• ブループリント プリンシパルを作成した後、すぐにブループリントを使用してエージェント ID を作成します。
• エージェント ID を作成した後、すぐにエージェントのユーザー アカウントを作成します。

これらのエラーは、アプリ専用のアクセス許可を使用する場合に一般的です。 委任されたアクセス許可を可能な限り使用し、指数バックオフを含む再試行ロジックを要求に追加します。

Yes. アプリ専用のアクセス許可を使用するMicrosoft以外のプラットフォームは、テナントごとに 250 個のアクティブなエージェント ID ブループリントに制限され、これらのブループリントはそれぞれ 250 個のアクティブなエージェント ID に制限されます。 管理者ユーザーからの委任されたアクセス許可要求は、この制限にはカウントされません。 Microsoft Agent 365 などのMicrosoft所有プラットフォームには、この制限はありません。

詳細については、「Microsoft Entra サービスの制限と制限を参照してください。 シナリオでこれらの制限を超える必要がある場合は、Microsoft担当者にお問い合わせください。

エージェント ID ブループリントの承認のための組み込みの通知メカニズムはありません。 テナント管理者がエージェントのエージェント ID ブループリントを作成または承認した場合、Microsoft EntraまたはMicrosoft Graphを通じて通知されません。

ブループリントが特定のテナントで承認されているかどうかを確認するには、アプリケーションに関連付けられているブループリント プリンシパル オブジェクトについて Microsoft Graph APIにクエリを実行します。 管理者がまだブループリントを承認していない場合、クエリはそのテナントの結果を返しません。

カスタム ロール定義では、エージェント ID を管理するためのアクションはサポートされていません。 すべての エージェント ID 管理 には、組み込みのエージェント ID 管理者ロールと エージェント ID 開発者 ロールを使用します。

エージェント ID、エージェント ID ブループリント、およびエージェント ID ブループリント プリンシパルを管理単位に追加することはできません。 エージェント ID の owners プロパティを使用して、特定のオブジェクトを管理できるユーザーを制限します。

エージェント ID 管理者ロールには、エージェントのユーザー アカウントの写真を更新するアクセス許可がありません。 このタスクには ユーザー管理者 ロールを使用します。

動的グループ メンバーシップ ルールでは、エージェントのユーザー アカウントをターゲットにすることはできません。 割り当てられたグループを使用して、エージェントのユーザー アカウントのグループ メンバーシップを管理します。

エージェント ID は、Microsoft Entra IDサインイン ページにサインインできません。つまり、OpenID Connect または SAML プロトコルでシングル サインオンを使用することはできません。 利用可能なウェブAPIを利用して、エージェントを職場のアプリやサービスと統合しましょう。

Microsoft Entra ID admin 同意ワークフローは、エージェント ID によって要求されたアクセス許可に対して正しく機能しません。 ユーザーは、Microsoft Entra テナント管理者に連絡して、エージェント ID に直接アクセス許可を付与するよう要求する必要があります。

エージェント ID の同意フローには、リスクベースのステップアップが適用されます。 ユーザーの同意がブロックされている場合、回避策はありません。 ユーザーは、同意を続行する前にフラグ付きリスクを解決する必要があります。

監査ログでは、既定では、エージェント ID と他のMicrosoft Entra ID の種類は区別されません。

• エージェント ID、ブループリント、ブループリント プリンシパルに対する操作は、 ApplicationManagement カテゴリに記録されます。
• エージェントのユーザー アカウントに対する操作は、 ユーザー管理 カテゴリに記録されます。
• エージェント ID によって開始される操作は、サービス プリンシパルとして表示されます。
• エージェントのユーザー アカウントによって開始された操作は、ユーザーとして表示されます。

エージェント ID 関連のアクティビティを識別するには、監査ログのオブジェクト ID を使用してMicrosoft Graphクエリを実行し、エンティティの種類を決定します。 サインイン ログの関連付け ID を使用して、アクティビティに関係するアクターまたはサブジェクトの ID を特定することもできます。

Microsoft Graphアクティビティ ログでは、現在、エージェント ID が他の ID の種類と分離されていません。

• エージェントのアイデンティティからのリクエストはアプリケーションとしてログされ、エージェントのアイデンティティは appID の列に含まれています。
• エージェントのユーザー アカウントからの要求は、 UserID 列のエージェント ユーザー ID を持つユーザーとしてログに記録されます。

Microsoft Entraサインイン ログと結合して、エンティティの種類を決定します。

使用する SDK は、シナリオによって異なります。

Microsoft Agent 365 CLI と SDK は、ほとんどの開発者に推奨される開始点です。 CLI は、エージェント ID のプロビジョニング、ブループリントの作成、アクセス許可の配線を 1 つのコマンドで処理します。 SDK は、実行時にトークンの取得を処理します。 詳細については、Microsoft Entra Agent 365 SDK のドキュメントを参照してください。

Microsoft。Identity.Web には、.NET アプリケーションでエージェント ID のトークンを取得するための上位レベルの API が用意されています。 Microsoft.Identity.Web.AgentIdentities パッケージを使用して、エージェントIDの管理を簡素化します。

Microsoft Entra SDK コンテナーは、サイドカー コンテナーとしてデプロイされる Web サービスとして、Microsoft.Identity.Web をラップします。 このオプションは、エージェントが Kubernetes で実行されている場合や、.NETに組み込まれていない場合に使用します。 詳細については、「Microsoft Entra SDK for Agent ID」を参照してください。

Microsoft Graph API は、他のオプションがシナリオに合わない場合にエージェント ID 管理を提供します。 詳細については、「エージェント ID ブループリントのMicrosoft Graph API」を参照してください。