agent のユーザー アカウント は、Microsoft Entra エージェント ID によって提供される特殊な ID の種類です。 この ID の種類は、エージェントと人間のユーザー機能の間のギャップを埋めるために設計されています。 エージェントのユーザー アカウントを使用すると、AI を利用したアプリケーションは、適切なセキュリティ境界と管理制御を維持しながら、ユーザー ID を必要とするシステムやサービスと対話できます。 これにより、組織は、人間のユーザーと同様の機能を使用してエージェントのアクセスを管理できます。
エージェントがサインインユーザー の委任されたコンテキスト内で動作する代理フローとは対照的に、エージェントのユーザー アカウントは実際にはユーザーであり、デジタル ワーカーとして機能します。 たとえば、自分のメールボックスを持つチーム メンバーとして機能するデジタル従業員は、チャット アクセスを行い、チーム メンバーとして共同作業ワークフローに参加します。
このモデルでは、管理者がディレクトリにユーザー アカウントを作成し、エージェントの ID にリンクします。 そこから、他のユーザー アカウントと同じです。 メールボックスや予定表などのMicrosoft 365リソースにアクセスするためのライセンスを割り当てることができます。また、アカウントは、人間のユーザー アカウントと同様に、管理単位とセキュリティ グループに追加できます。
条件付きアクセスは、このモデルでは動作が異なります。 アクセス トークンはユーザー (トークンのサブジェクト) に発行されますが、ポリシーはユーザー (エージェントのユーザー アカウント) に対して評価されます。 現時点では、"すべてのエージェントがユーザーとして機能する" という 1 つのスコープでこれをターゲットにすることができます。
Important
条件付きアクセス ポリシーを構成する前に、 エージェント ID の条件付きアクセスに関する 記事を参照してください。 認証フロー、サービスの境界、制限事項について説明し、すべてのシナリオに対応し、企業のデータとサービスが十分に保護されていることを確認します。
条件付きアクセス ポリシーを作成する
次の手順に従って、すべてのエージェントのユーザー アカウントに適用される条件付きアクセス ポリシーを構成し、ID が危険にさらされたときにリソースへのアクセスをブロックします。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [新しいポリシー] を選択します。
- ポリシーの名前を設定してください。 ポリシーの名前にわかりやすい標準を作成します。
- [割り当て] で [エージェント] を選択します。
- [ ユーザーとしてアクティブなエージェントの選択] を選択し、[ すべてのエージェントのユーザー アカウント] を選択します。
- [ターゲット リソース] で、すべてのリソースを選択します
- [ 条件] で、ポリシーを適用するために必要な エージェント リスク を選択します。
- [ アクセス制御>許可] で、[ アクセスのブロック] を選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを有効化します。
ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。
サインイン ログを使用したポリシー評価の調査
管理者はサインイン ログを使用して、Microsoft Entra サインイン イベントで説明されているように、条件付きアクセス ポリシーが適用された理由または適用されなかった理由を調査できます。 これらのイベントは、 ユーザー サインイン (非対話型) に表示されます。