Microsoft Entra エージェント ID を使用してエージェント ID のソリューションを設計する
組織が AI エージェント (環境を認識し、意思決定を行い、アクションを実行するソフトウェア システム) を採用すると、既存の人間またはワークロードの ID モデルに適切に適合しない新しいカテゴリの ID が出現します。 セキュリティ アーキテクトは、この新しい ID の種類と、導入される固有のセキュリティ、ガバナンス、コンプライアンスの課題を考慮した ID 戦略を設計する必要があります。
Microsoft Entra エージェント ID は、Microsoft Entraのセキュリティ機能を AI エージェントに拡張します。これにより、組織は、人間のユーザーとワークロード ID に適用されるものと同じZero Trust フレームワークを使用して、エージェント ID を検出、管理、保護できます。
エージェント ID に専用設計が必要な理由
従来の ID モデルは、人間のユーザー (対話型認証、予測可能なスケジュール) とワークロード ID (プログラムによる認証、静的な動作) に対処します。 AI エージェントはどちらのカテゴリにも適合しません。 ユーザーと同様に、一部のエージェントはドキュメント、チーム チャネル、メールボックスなどの共同作業リソースにアクセスする必要があります。 ワークロード ID と同様に、エージェントはコンピューターの速度でプログラムによって認証されます。 どちらの場合も、エージェントは自律的な決定を行い、動的に適応し、他のエージェントと対話し、プロンプトインジェクションなどの AI 固有の攻撃ベクトルに直面します。
エージェントをワークロード ID として扱うと、ガバナンスのギャップ (スポンサーのアカウンタビリティなし、ライフサイクル管理なし) が残りますが、人間のユーザーとして扱うと、認証の摩擦とセキュリティシグナルの不整合が生じます。 Microsoft Entraエージェント ID は、エージェント ID を個別のファースト クラス ID の種類として確立することで、このギャップに対処します。
AI エージェントの種類
エージェント ID ソリューションでは、3 種類のエージェントを考慮する必要があります。それぞれに個別のセキュリティへの影響があります。
支援エージェントは 、ユーザーが開始したときに特定のタスクを実行し、要求するユーザーの委任されたアクセス許可内で動作します。 セキュリティ リスクは、エージェントが委任されたスコープを超えないようにすることです。
自律的なエージェントは 、独自の ID を使用して独立して動作し、人間の介入なしに意思決定を行います。 これらは最も高い本質的なリスクを提示します。侵害された自律エージェントは、見落とすことなくマシンの速度で動作することができます。
エージェント ユーザー は、永続的な ID、メールボックス アクセス、チーム メンバーシップ、会議への参加など、人間のユーザー特性を持つ機能を持ちます。 侵害されたエージェント ユーザーは、信頼できるチーム メンバーとして機能し、ドキュメントにアクセスし、想定された正当性の下で通信を送信する可能性があります。
エージェント ID アーキテクチャ
Microsoft Entra エージェント ID には、大規模な管理用に設計された階層を形成する専用の ID コンストラクトが導入されています。
| オブジェクト | Purpose |
|---|---|
| エージェント ID ブループリント | エージェントの種類の論理定義として、アプリケーションの登録とサービス プリンシパルが表されます。 ブループリントはリソースに直接アクセスできません。これらは、子エージェント ID に対する継承可能な OAuth 2.0 の委任されたアクセス許可を定義するテンプレートとして機能します。 |
| エージェント アイデンティティ ブループリント プリンシパル | テナント内のブループリントのサービス プリンシパルの表現。 マルチテナント エージェントの場合、ブループリント プリンシパルをリソース テナントにプロビジョニングして、テナント境界を越えたエージェント ID の作成を有効にすることができます。 |
| エージェント ID | トークンの取得を実行し、リソースにアクセスするインスタンス化された ID。 ブループリントが親となり、そこからアクセス許可を継承します。 |
| エージェント ユーザー | メールボックス アクセス、Teams メンバーシップ、コラボレーション ワークフローなど、ユーザー アカウントを必要とするシナリオの非人間ユーザー ID。 |
| エージェント リソース | エージェント間 (A2A) フローにおける別のエージェントのアクセス要求のターゲットとして機能するエージェントブループリントまたはエージェント ID。 エージェント リソースは、受信トークンを検証し、その機能へのアクセスを制御します。 |
この階層はアーキテクチャ上重要です。ブループリントに適用されたポリシーは、すべての子エージェント ID に自動的にカスケードされ、1 つのポリシー割り当てを通じて関連するエージェント ファミリの管理が可能になります。 プラットフォームでは OAuth 2.0 と OpenID Connect (OIDC) 標準が使用されるため、既存のトークンの検証、同意、および承認インフラストラクチャが適用されます。
設計上の決定を促進するエージェントセキュリティの課題
エージェント ID ソリューションを設計する場合、アーキテクチャでは、エージェントを他の ID の種類と区別するいくつかのカテゴリのリスクを軽減する必要があります。
攻撃対象領域の増加
AI エージェントは、特定の設計対応を必要とする方法で組織の攻撃対象領域を拡大します。
- 外部アクセシビリティ - 外部システムまたはパブリック インターネットと対話するエージェントは、敵対者がエージェントを侵害し、組織のリソースにピボットするための経路を作成します。
- アクセス許可のエスカレーション リスク - エージェントは、必要以上に広いアクセス許可でプロビジョニングされ、最小限の特権に違反することがよくあります。
- 自律的な意思決定- 購入機関または管理特権を持つ侵害されたエージェントは、マシンの速度で有害なアクションを実行する可能性があります。
- プロンプトインジェクション - エージェントによって処理されたデータに挿入された悪意のある命令は、AI に固有の攻撃ベクトルであるエージェントの動作を操作できます。
- エージェント間の伝達- 侵害されたオーケストレーション エージェントは、A2A フローを介して他のエージェントをターゲットにすることができ、エージェント エコシステム間で侵害を伝達できます。
エージェントの過剰展開
エージェントの急増は、適切な可視性、管理、またはライフサイクル制御なしで組織全体のエージェントを制御不能に拡張する、"エージェントスプロール" と呼ばれるガバナンスの課題を生み出します。 ビジネス ユニットが個別にエージェントを作成し (シャドウ AI)、一時的な目的で作成されたエージェントが無期限に運用環境に残り、アクセス許可がレビューなしで蓄積され、所有権のアカウンタビリティが失われると、エージェントのスプロールが発生します。 その結果として、セキュリティ体制の低下、コンプライアンス リスク、運用上の非効率性、データの公開、インシデント対応の損ないなどがあります。
エージェントのアイデンティティ設計では、登録されたアイデンティティ、割り当てられたスポンサー、および管理の行き届いたライフサイクルをすべてのエージェントに要求することで、事前に乱雑化に対処する必要があります。
エージェント ID ガバナンス戦略を設計する
Microsoft Entra ID Governanceエージェント ID まで拡張されるため、人間の ID に使用されるのと同じライフサイクルとアクセス管理制御を適用できます。 ガバナンス設計では、ライフサイクル管理、アクセス割り当て、スポンサーアカウンタビリティの 3 つの領域に対処する必要があります。
ライフサイクル管理
エージェント ID は、アクセス許可が制限され、親ブループリントから継承された OAuth 2.0 の委任されたスコープでのみ開始されます。 追加のアクセスは、管理されたプロセスを通じて明示的に要求、承認、および割り当てる必要があります。
エンタイトルメント管理によるアクセスの割り当て
エンタイトルメント管理アクセス パッケージは、セキュリティ グループ メンバーシップ、アプリケーション OAuth API のアクセス許可 (Microsoft Graph アプリケーションのアクセス許可を含む)、およびMicrosoft Entra ロールへのエージェント ID アクセスを割り当てます。 アクセスは、エージェント ID 自体 (プログラムによって)、エージェントのスポンサー、または管理者によって要求できます。
アクセス パッケージは有効期限ポリシーをサポートし、エージェントのアクセスが期限切れであることを確認します。 有効期限が近づくと、スポンサーは通知を受け取り、延長を要求するか (新しい承認サイクルをトリガーする)、アクセスの有効期限が切れるようにする必要があります。
スポンサーのアカウンタビリティ
すべてのエージェント ID には、そのライフサイクルとアクセスの決定について責任を負う、指定された人間のスポンサーが必要です。 スポンサーが組織を離れる場合、スポンサープランは自動的にマネージャーに転送されます。 ライフサイクル ワークフローは、スポンサー シップの変更が差し迫っていることを共同管理者とマネージャーに通知し、人間による監視の連鎖を維持します。
エージェント ID 保護の設計
Microsoft Entra ID Protectionは、リスク検出とエージェント ID への対応を拡張します。 エージェントは自律的かつ大規模に動作できるため、異常な動作では、手動レビューに依存するのではなく、検出と応答を自動化する必要があります。
エージェントの ID 保護は、各エージェントの動作ベースラインを確立し、偏差を監視します。 危険としてフラグが設定されているエージェントに影響を与えるアクティビティは次のとおりです。
| リスク検出 | 説明 |
|---|---|
| 未知のリソース アクセス | エージェントは、通常のパターン (可能な横移動) の外側のリソースを対象としました。 |
| サインインの急増 | 異常に高いサインイン頻度 (自動化されたツールまたは攻撃アクティビティの可能性)。 |
| 失敗したアクセス試行 | エージェントが未承認のリソース アクセス (トークンの再生の可能性) を試行しました。 |
| 危険なユーザーによるサインイン | エージェントは、委任された認証中に危険なユーザーの代わりにサインインしました。資格情報の悪用の可能性があります。 |
| 侵害が確認されました | 管理者は、手動調査によって侵害を確認しました。 |
| Microsoft Entra 脅威情報 | Microsoft 脅威インテリジェンスは、既知の攻撃パターンと一致するアクティビティを特定しました。 |
これらのリスクシグナルは、エージェントの条件付きアクセスに送られます (次のユニットで説明します)。これにより、リスクの高いエージェントがリソースにアクセスするのを自動的にブロックするリスクベースのポリシーが有効になります。 設計では、エージェントのリスク検出と条件付きアクセスの適用を多層防御として組み合わせる必要があります。
エージェントのネットワーク レベルの制御を設計する
Microsoft Entra グローバル セキュア アクセスは、ネットワーク セキュリティ制御をエージェント トラフィックに拡張します。 Microsoft Copilot Studioなどのプラットフォーム上に構築されたエージェントの場合は、ユーザーに使用されるのと同じネットワーク ポリシーを適用して、エージェント トラフィックを Global Secure Access のプロキシ サービスに転送できます。 機能には、エージェントネットワークアクティビティのログ記録、API と MCP サーバーアクセスを制御するための Web 分類の適用、種類によるファイル転送の制限、脅威インテリジェンスによる悪意のある宛先のブロック、プロンプトインジェクション攻撃の検出などがあります。
ネットワーク制御は ID 層の保護を補完します。条件付きアクセスはトークンの取得を制御し、ネットワークコントロールは承認されるとトラフィック パスとコンテンツを制御し、多層防御を提供します。
エージェント レジストリと検出
Microsoft Entra管理センターのエージェント レジストリでは、すべてのエージェント ID、そのメタデータ (目的、機能、プロトコル)、所有者、およびスポンサーを一元的に可視化できます。 MCP (モデル コンテキスト プロトコル) や A2A (エージェント対エージェント) などの標準プロトコルに基づくエージェント間の検出と承認がサポートされます。 レジストリは、エージェントのスプロールに対処するための主要なメカニズムです。登録を必要とすることで、組織の可視性が確立され、すべてのエージェントをインベントリ、監査、および管理できるようになります。
Microsoft プラットフォーム間の統合
Microsoft Entra エージェント ID は、エージェントを作成および管理する複数のプラットフォームと統合され、エージェントの発生元に関係なく一貫した ID 管理が提供されます。
- Microsoft Foundry は 、エージェントのライフサイクル全体にわたってブループリントとエージェント ID を自動的にプロビジョニングします。
- Microsoft Copilot Studio エージェントは、Power Platform 環境で有効にすると、エージェント ID を自動的に受信できます。
- Azure App ServiceおよびAzure Functionsは、エージェント ID プラットフォームを使用して、エージェントとしてリソースに接続できます。
- Microsoft Teams エージェント ID ブループリントは、Teams の開発者ポータルで管理できます。
このクロスプラットフォーム統合は、Microsoft Entra エージェント ID が、エージェントの出所にかかわらず、統一された ID レイヤーを提供することを意味します。
セキュリティ アーキテクトの設計に関する考慮事項
エージェント ID ソリューションを設計する場合:
- エージェント ID を個別の ID クラスとして確立します。 人間のユーザー アカウントや標準のサービス プリンシパルをエージェントのために再利用しないでください。 適切なガバナンス、リスク検出、ポリシー カバレッジを確保するには、専用のエージェント ID コンストラクトを使用します。
- 設計図レベルでの組織が必要です。 ポリシーの割り当てとアクセス許可の継承を簡略化するために、共有ブループリントの下に関連するエージェントをグループ化します。 これにより、エージェントの人口が増加するにつれて運用上のオーバーヘッドが削減されます。
- すべてのエージェントのスポンサー割り当てを義務付ける。 スポンサーがないエージェントは、統制されていないエージェントです。 指定された人間のスポンサーなしでエージェント ID が作成されないようにプロセスを設計します。
- 既定では、最小特権アクセスを適用します。 エージェント ID は、作成時にブループリントから委任されたアクセス許可のみを継承します。 承認、有効期限、およびレビューコントロールを使用して、エンタイトルメント管理アクセス パッケージを使用してアクセス割り当てワークフローを設計します。
- レイヤー ID とネットワーク コントロール。 エージェント リスクの条件付きアクセスと、多層防御用のグローバル セキュア アクセス ネットワーク ポリシーを組み合わせます。 ID コントロールはトークンの取得を管理します。ネットワーク制御によってトラフィックとコンテンツが制御されます。
- マルチテナント エージェントを計画する。 組織でテナント間で動作するエージェントを使用または構築する場合は、マルチテナント アプリケーション サービス プリンシパルと同様に、リソース テナントのブループリント プリンシパルを設計します。
- アドレス エージェントは最初からスプロールします。 一元化されたレジストリでエージェントの登録を要求し、ID ガバナンスによるライフサイクル管理を適用し、人間のユーザーと同様に、エージェント ID の定期的なアクセス レビューをスケジュールします。
- エージェント ID の監視をセキュリティ操作に統合します。 エージェントのリスク検出、サインイン ログ、およびネットワーク アクティビティ ログは、広範な脅威検出ワークフローとの相関関係のために SIEM (Microsoft Sentinel など) に流れる必要があります。