Copilot Studioのアプリ登録、エージェント ID、認証

この記事では、Copilot Studio エージェントのアプリ登録、エージェント ID、認証について説明します。

エージェント ID について

Copilot Studioは、認証のためにエージェントをどのように識別しますか?

Copilot Studioは、チャネル (Teams、オムニチャネルなど) やサービスと通信できるように、各エージェントに一意の識別子を割り当てます。 Copilot Studioは、これらの ID を自動的に作成および管理します。

エージェント ID には次の 2 種類があります。

  • Entra Agent ID: Microsoft Entra のサービス プリンシパルで、「Agent」サブタイプを持つもの。 環境に対して Entra エージェント ID を有効にすると、新しいエージェントは自動的に Entra エージェント ID を受け取ります。

  • アプリの登録 (レガシ): Entra エージェント ID を有効にする前に作成した既存のエージェントは、従来のapp registrationsを引き続き使用します。

重要: サービス プリンシパルの中で、エージェント サブタイプを持つものが「エージェント ID」です。 基になる OAuth ベースの認証フローは変わりません。 エージェント ID は、従来のアプリ登録と比較して、ガバナンスの可視性と管理機能を強化します。

エージェントが Microsoft Entra ID に ID を持っているのはなぜですか?

エージェント ID を使用すると、チャネル (Teams、オムニチャネルなど) やサービスと通信するときにエージェントを安全に認証できます。 Copilot Studio ゼロ トラストセキュリティ原則に従って、これらの ID を自動的に作成および管理します。

Copilot Studio エージェントとエージェント ビルダー エージェントの違いは何ですか?

  • Copilot Studio エージェント: チャネルとサービスでの認証のために Entra エージェント ID (またはレガシ エージェントのアプリ登録) を受け取ります。 Power Platform 管理センターの環境レベルで Entra エージェント ID を有効にすることができます。

  • エージェント ビルダー エージェント: 現在、アプリ登録 ID またはエージェント ID は使用しません。 詳細については、Microsoft 365 CopilotAgent Builder を参照>。

エージェント ID の操作

エージェント ID を手動で作成または構成する必要がありますか?

No. Copilot Studioは、エージェント ID を自動的に管理します。

  • 新しいエージェント (Entra エージェント ID が有効になっている場合): Entra エージェント ID を自動的に取得する
  • 既存のエージェント: アプリの登録を引き続き使用する

Microsoftのセキュリティとコンプライアンスの標準は、すべての資格情報の自動管理をガイドします。 Microsoft Entra 管理センターで完全な可視性と制御を行い、そこで認証アクティビティを監視し、エージェント ID のライフサイクルを管理できます。

エージェントに属しているアプリの登録またはエージェント ID を確認するにはどうすればよいですか?

  1. Copilot Studioで、Settings>Advanced>Metadata に移動します。
  2. Entra ID を持つエージェントの Entra エージェント ID (GUID) を表示します。
  3. アプリが登録されているレガシ エージェントの場合、アプリケーション ID は同じセクションに表示されます。
  4. この GUID を使用して、Microsoft Entra 管理センターで ID を見つけます。

自分のエージェント ID またはアプリの登録を持ち込むことはできますか?

No. セキュリティ、コンプライアンス、チャネルやサービスとの統合を確保するために、Copilot Studioには自動管理が必要です。

Copilot Studioは、なぜエージェントの所有者をエージェントのIDに追加するのですか?

Copilot Studioは、次の情報を提供するエージェント所有者を追加します。

  • 各エージェントのガバナンスの追跡可能性
  • エージェントのライフサイクルに関するアカウンタビリティ
  • 組織の所有権ポリシーとの連携

Entra エージェント ID の場合: エージェント所有者は、完全な所有者と比較してアクセス許可が制限された スポンサー として追加されるため、アクセス許可の変更に関するセキュリティ上の懸念が軽減されます。 既存のエージェントの中には、まだスポンサーがいないものもあります。

レガシ アプリの登録の場合: エージェント所有者がアプリ登録の所有者として追加されます。 エージェント所有者の追加をオプトアウトするには、サポートにお問い合わせください。

セキュリティとアクセス許可

エージェントのIDを使用してトークンを生成できるのは誰ですか。

Entra エージェント ID の場合

Microsoft所有のblueprint プリンシパルは、フェデレーション ID 資格情報を使用してエージェント ID を作成および管理します。 テナント内の誰も (テナント管理者を含む) エージェント ID を使用してトークンを生成することはできません。 Microsoftブループリントと認証メカニズムを完全に制御します。

レガシ アプリの登録の場合

グローバル管理者アプリケーション管理者、またはクラウド アプリケーション管理者ロールを持つユーザーは、所有権を必要とせずに、テナント内の任意のアプリ登録用のクライアント シークレットまたは証明書を作成できます。 これらのロールを持たないユーザーには、トークンの生成に必要な資格情報を作成するために、特定のアプリ登録の所有権が付与されている必要があります。 Copilot Studioは、これらのアプリ登録に API スコープやアクセス許可を追加しないため、これらの ID から生成されたトークンは、顧客のデータやリソースにアクセスできません。

Important

Copilot Studio エージェント用に作成されたアプリの登録は、エージェントの使用専用に予約されています。 これらのアプリ登録の資格情報を変更または削除しないでください。 他の目的には使用しないでください。

自分のエージェントの Entra エージェント ID には、どのスコープが付与されていますか?

エージェントを発行すると、Copilot Studioは、エージェントが使用するように構成されている Power Platform コネクタを表すエージェントのEntra エージェント IDに API アクセス許可をアタッチします。 これらのスコープはコネクタアクセスのみを表し、 Mail.ReadFiles.Read.Allなどの未加工のリソースアクセス許可ではありません。

Note

Microsoft Entra ID のスコープ 可視性 は、チャネルに関係なく、すべてのエージェントに適用されます。 スコープの実行時の強制(エージェント ID に対するMicrosoft Entra 条件付きアクセスを含む)は現在、エージェントが Microsoft Teams で実行される場合にのみ適用されます。これは、Teams が現在、Entra エージェント ID トークンを使用したエンドツーエンド認証を実行する唯一のチャネルであるためです。 他のチャネルでは、既存の Power Platform コネクタ認証フローを使用してコネクタが引き続き呼び出されるため、管理者はスコープを確認できますが、エージェント ID の条件付きアクセスはそれらの呼び出しに対してまだ評価されていません。

スコープがMicrosoft Entra ID

各コネクタには、テナント内に独自のサービス プリンシパルがあります ( たとえば、Work IQ Calendar MCP Connector)。 作成者がエージェントを構成する方法に応じて、コネクタのサービス プリンシパルは、エージェントのEntra エージェント IDに対して次のアクセス許可の 1 つ以上を付与します。

  • Operations.Execute.All は、エージェント (ツール) レベルでコネクタを使用するようにエージェントが構成されている場合に付与されます。 エージェントは、コネクタが公開する任意の操作を呼び出すことができます。
  • 個々の操作スコープは、 メーカーがコネクタ全体ではなく特定のコネクタ アクションを追加したときに付与されます。 エージェントが実際に使用する操作のみが許可されます。
  • Azure API Connections Runtime.All は、詳細なスコープを定義しないコネクタの汎用フォールバックとして使用されます。

エージェント ID のサービス プリンシパルに対するこれらのアクセス許可は、Microsoft Entra 管理センターAPI アクセス許可で確認できます。

このモデルにより、Microsoft Entra ID管理者とMicrosoft 365管理者は、エージェントが実行できる操作を把握できます。 管理者は Power Platform 管理センターを開く必要がなく、作成者主導のポリシー 管理コネクタ モデルはそのまま維持されます。

  • 作成者は、テナントの 高度なコネクタ ポリシー (ACP)データ損失防止 (DLP) ポリシーによって事前に承認されているコネクタを使用して接続を追加し続けます。
  • Power Platform コネクタ ランタイムでは、これらのスコープのみが受け入れられます。 実行時に、コネクタ プラットフォームは、エージェントがテナントの ACP および DLP ポリシーの下でコネクタを呼び出すことができることを再検証します。 攻撃者がエージェントの ID を取得した場合、コネクタ プラットフォームはすべての呼び出しを仲介し、ガバナンス ポリシーを適用するため、これらのスコープを使用してMicrosoft Graph、Outlook、またはその他の API を直接呼び出すことはできません。
  • スコープはエージェントのEntra エージェント IDに対するファースト クラスの API アクセス許可であるため、管理者は Microsoft Entra 条件付きアクセス ポリシーを使用してそれらをターゲットにすることができます。 たとえば、エージェント ID の特定のコネクタ リソースに対してトークンを発行する前に、特定のネットワークの場所、デバイス のコンプライアンス状態、またはリスク レベルを要求できます。 現在、条件付きアクセスは、エージェントがMicrosoft Teamsで実行されている場合にのみ適用されます (このセクションの冒頭のメモを参照してください)。

要するに、スコープは エージェントが何を行うために構成されているかを 記述するのに対し、ACP と DLP は、実行時 に何を実行できるかを 決定します。

スコープが追加または削除されたとき

スコープは、エージェントの発行時に評価され、適用 されます。 エージェントに対してコネクタ (または特定のコネクタ アクション) を追加または削除し、エージェントを再発行すると、それに応じてスコープが更新されます。

これはレガシ アプリの登録に適用されますか?

No. コネクタ スコープは、 Entra エージェント ID にのみ追加されます。 従来のアプリ登録には、エージェント ID を使用してトークンを生成できるユーザーで説明されているとおり、引き続き API スコープは関連付けられていません。 現在、この動作はファースト パーティおよび認定 Power Platform コネクタに適用されます。エージェントに追加されたカスタム コネクタ、MCP サーバー、REST API ツールは、Entra エージェント IDに API アクセス許可を追加しません。

Entra エージェント アイデンティティ

Entra エージェント ID をオプトアウトできますか?

はい。現在、Power Platform 管理センターの環境レベルでオプトアウトできます。 手順については、「 Entra エージェント ID を自動的に作成する 」を参照してください。

Important

Entra エージェント ID をオプトアウトする機能は一時的なものです。 Entra エージェント ID は、今後すべての新しいエージェントで必須になります。

Entra エージェント ID を有効にすると、既存のエージェントはどうなりますか?

Entra Agent Identity が有効になる前に作成された既存のエージェントは、引き続きアプリの登録を使用します。 今後、エージェント ID に移行される予定です。

移行の特性:

  • GUID の保持: エージェント識別子は同じままです (重大な変更はありません)
  • ダウンタイムゼロ: エージェントは移行中も引き続き機能します
  • 自動: 手動操作は必要ありません
  • チャネルの互換性が維持される: Teams、オムニチャネル、スキルが引き続き機能する

エージェント ID を有効にすると、エージェントの認証方法は変わりますか?

No. エージェント ID は、従来のアプリ登録と同じ OAuth ベースの認証フローを使用する "エージェント" サブタイプを持つサービス プリンシパルです。 機能強化はガバナンスの可視性です。エージェント ID は、より多くのライフサイクル管理機能と監視機能を備えたMicrosoft Entra 管理センターに表示されます。

ブループリント プリンシパルとは

環境で最初のエージェント ID が作成されると、Copilot Studioはテナントに Microsoft Copilot Studio エージェント ID ブループリントを追加します。 このブループリント プリンシパルには、テナントにエージェント ID とエージェント ユーザーを作成する権限があります。

ブループリント ID (運用とテスト) などの詳細については、「 ブループリント プリンシパルについて」を参照してください。 技術的な詳細については、「 エージェント ID の作成方法」を参照してください。

Entra のクォータまたは制限のためにエージェントを作成できなかったのはなぜですか?

Copilot Studioが作成するすべてのEntra エージェント IDは、テナント内のディレクトリ オブジェクトであり、Microsoft Entra IDのテナントのリソース クォータに対してカウントされます。 エージェント ID は、エージェントが Copilot Studio で created されるときにプロビジョニングされます。 テナントがその時点でクォータに達した場合、Copilot StudioはEntra エージェント IDを作成できず、エージェントの作成に失敗します。

注意すべき最も一般的な制限は次のとおりです。

  • テナント リソース クォータ: 既定では 50,000 個のディレクトリ オブジェクト。テナントに検証済みドメインがある場合は 300,000 個。 セルフサービス サインアップによって作成されたテナントは、ドメインが検証された後も 50,000 のままです。 エージェント ID (およびその他のすべての Entra リソース) は、このクォータの 95% 以下を使用できます。
  • 新しいテナントの制限: テナントが作成された後の最初の 2 日間、クォータは一時的に 600 個のディレクトリ オブジェクトに制限されます。

Copilot Studio のブループリントは Microsoft が所有しているため、ブループリントごとの 250 個のエージェント ID の上限は Copilot Studio には 適用されません

制限の完全な一覧とクォータの計算方法については、「Microsoft Entra サービスの制限と制限を参照してください。 テナントのリソース クォータを引き上げるには、その記事のガイダンスに従ってください。

エージェントのライフサイクル

エージェントを削除すると、エージェント ID はどうなりますか?

Copilot Studioからエージェントを削除すると、関連付けられているエージェント ID (またはアプリの登録) がMicrosoft Entra IDから削除されます。

詳細については、「エージェントの 削除」を参照してください。

  • Last updated on