AIエージェントは来るのではなく—すでにここにいます。そしてセキュリティ業界はキャッチアップを続けてきました。
Microsoftの答えが先月本格的に到達しました:Microsoft Entra Agent IDが2026年4月に一般提供に到達し、エンタープライズアイデンティティとセキュリティチームにAIエージェントをファーストクラスのアイデンティティとして管理するための目的構築のプラットフォームを提供します。ドキュメント、アーキテクチャパターン、早期デプロイガイダンスを一通り確認した後、これは今年最も重要なアイデンティティリリースの1つと言えます。
知っておくべきことはこちらです。
Entra Agent IDとは正確には何か?
Entra Agent IDは、エンタープライズ環境で動作するAIエージェントのために特別に設計されたアイデンティティと認可のフレームワークです。Zero Trustの原則—認証、認可、ガバナンス、ライフサイクル管理、セキュリティコントロール—を標準プロトコル(OAuth 2.0、MCP、A2A)を使用して非人間アイデンティティに拡張します。
このように考えてください:人間のユーザーにはEntra IDがあります。今エージェントにもあります。
GAリリースはMicrosoft Build 2025で始まったプレビュー上に構築され、過去1年間に大幅な拡張を経てきました—基本的なアイデンティティプロビジョニングから始まり、Conditional Access、ライフサイクルワークフロー、シャドーAI検出、サードパーティプラットフォームサポートが追加されました。
GAでのコアケイパビリティ
エージェントアイデンティティの構成物
Agent IDはEntraに3つの新しいアイデンティティの概念を導入します:
- Agent Identity Blueprint — エージェントアイデンティティがどのように見え、動作すべきか(所有者、スポンサー、アクセスエンベロープ、監査、ライフサイクルコントロール)を標準化する再利用可能なアイデンティティテンプレート
- Agent Identity — エージェントインスタンスに割り当てられる実際のアイデンティティ
- Agent User Account — エージェントが特定のユーザーの代わりに行動するon-behalf-of(OBO)シナリオのバッキングユーザーアイデンティティ
ブループリントがここでの主な差別化要因です。すべてのチームが一貫性のないガバナンスでアドホックなサービスプリンシパルを立ち上げる代わりに、ブループリントはスケールで標準化されたパターンを強制できます。
認証プロトコル
Agent IDは2つの認証パターンをサポートします:
- On-behalf-of(OBO) — エージェントがユーザーの代わりに認証し、そのコンテキストと権限を継承
- Autonomous(非OBO) — エージェントが自身のアイデンティティと権限で独立して行動
両方のパターンは標準のOAuth 2.0フローを使用し、エージェント固有のロジックで拡張されます。非Microsoftプラットフォーム向けに、Microsoftは以下を提供します:
- Auth SDK(サイドカーパターン) — トークンの取得と更新を処理するサイドカーコンテナ
- フェデレーションパターン — フェデレーテッドアイデンティティをサポートするAWS BedrockやGCPなどのプラットフォーム向け
ガバナンスとライフサイクル管理
ここがAgent IDが「サービスプリンシパルを作って忘れる」アプローチと比較して本当に輝く場所です:
- エージェントスポンサー向けのLifecycle Workflows — スポンサーが役割を変更または組織を離脱した際の自動通知と再割り当て、孤立したエージェントを防止
- エージェントアイデンティティのアクセスパッケージ — OBOと自律シナリオの両方に対するEntitlement Management経由のポリシベースのアクセス
- カスケードクリーンアップ付きのソフト削除 — エージェントアイデンティティの削除が関連リソースのクリーンアップをトリガー
- スポンサーテンプレート — エージェントアイデンティティガバナンス専用の2つの新しいライフサイクルワークフローテンプレート
セキュリティと保護
Agent IDはEntraのセキュリティスタックの全重量をエージェントアイデンティティにもたらします:
エージェント向けのConditional Access — 4つの新しいポリシーテンプレート:
- 高リスクのエージェントアイデンティティのアクセスをブロック
- 高リスクのエージェントのユーザーアカウントのアクセスをブロック
- 自律的エージェントアクセスポリシー
- On-behalf-ofエージェントアクセスポリシー
Entra ID Protectionはリスク検出をエージェントアイデンティティに拡張します。エージェントが異常に振る舞えば(通常でないアクセスパターン、侵害された資格情報)、侵害されたユーザーと同じようにフラグが立ちます。
シャドーAI検出 — テナントで動作する非承認AIエージェントを発見。これはエージェントが実行されているが完全なインベントリを持たないセキュリティチームにとって巨大です。
エージェントレジストリ — Entra管理センターの統一されたメタデータリポジトリで、すべてのエージェントがケイパビリティ、エンドポイント、認証要件とともにカタログ化され、Agent Cardマニフェストを通じて表面化されます。
サポートされるプラットフォーム
Microsoftが行った最も賢い決定の1つは、Agent IDをプラットフォーム非依存にしたことです:
| プラットフォーム | サポート |
|---|---|
| Microsoft Copilot Studio | ネイティブAgent IDアイデンティティ割り当て |
| Azure AI Foundry | ネイティブAgent IDアイデンティティ割り当て |
| Microsoft Security Copilot | 統合 |
| AWS Bedrock | フェデレーションパターン |
| GCP | フェデレーションパターン |
| n8n | サイドカーパターン |
| ServiceNow | パートナー統合 |
| Workday | パートナー統合 |
| カスタム/サードパーティ | Graph API経由の自己登録(ベータ) |
Graph API自己登録パスは注目に値します—任意のエージェントはAgent InstanceリソースとAgent Cardを作成することでAgent IDを取得できます。カードはインスタンス間で共有できる(1:N)ため、エージェントのフリート全体でアイデンティティメタデータを標準化できます。
Microsoft Agent 365の収束
管理者エクスペリエンスを簡素化する動きで、MicrosoftはエージェントレジストリエクスペリエンスをMicrosoft Agent 365の下に収束させています。これにより組織はすべてのエージェントを発見し管理するための単一のペインを持ち、Entraがアイデンティティ基盤を提供し続けます。
Agentマニフェストは名刺のように機能します—アイデンティティ、ケイパビリティ、エンドポイント、認証要件—によりエージェントがエージェントレジストリを通じて互いを発見できます。Agent Collectionsを使用すると、発見境界を作成できます(組織全体の発見可能性向けのGlobal、部門や機密性の境界向けのCustom)。
アーキテクチャパターン
MicrosoftはGAで4つのアーキテクチャパターンを公開しました。研究する価値があります:
- サイドカーパターン — 認証用のサイドカーコンテナを実行できる非Microsoftエージェントの統合向け
- フェデレーションパターン — フェデレーテッドアイデンティティをサポートするクラウドプラットフォーム(AWS Bedrock、GCP)向け
- 直接統合 — MicrosoftのAIプラットフォーム上に構築されたエージェント向け
- On-behalf-of委譲 — エージェントが特定のユーザーの代わりに行動するシナリオ向け
GAのドキュメントには、ブループリント配布戦略、資格情報のローテーション、監視を含むスケールに向けた設計の詳細なガイダンスが含まれています。
エンタープライズチームにとっての意味
アイデンティティチーム向け: エージェントアイデンティティ管理の本番対応フレームワークが手に入りました。ブループリントとライフサイクルは数百から数千のエージェントアイデンティティを管理する運用負担を軽減します。既存のエージェント(シャドーのものも含む)をインベントリすることから始め、新しいデプロイのためにブループリントで標準化してください。
セキュリティチーム向け: シャドーAIが可視化されました。Conditional Accessポリシーがエージェントに拡張されます。過剰な権限や監視のないエージェントを懸念していた場合、Agent IDがそれを修正するツーリングを提供します。4つのCAテンプレートは良い出発点です—最初に「高リスクエージェントをブロック」ポリシーをデプロイし、それから特定のコントロールを重ねてください。
AI/プラットフォームチーム向け: Agent IDはMicrosoftエージェントだけをサポートするわけではありません—サイドカーとフェデレーションパターンはAWS、GCP、またはカスタムインフラで実行されるエージェントを統合できることを意味します。内部エージェントプラットフォームを構築している場合、Graph API登録パスが新しいエージェントをオンボードするプログラマティックな方法を提供します。
予算/コンプライアンスチーム向け: Entra ID Governance機能のガバナンス課金メーターがアクティブになりました(2026年第1四半期から実施)。P2ライセンスまたはGovernanceアドオンを必要とするAgent ID機能にはコストの意味があります。適切に計画してください。
はじめに
- ドキュメントを読む — Microsoft Entra Agent IDドキュメント
- プレビューを有効化 — まだの場合、Entra管理センターでAgent IDを有効化して探索を開始
- 既存のエージェントをインベントリ — エージェントレジストリを使用してすでに実行されているものを発見
- ブループリント戦略を設計 — 一般的なエージェントタイプの1〜2のブループリントから開始
- Conditional Accessベースラインをデプロイ — 「高リスクエージェントアイデンティティをブロック」テンプレートから開始
- ガバナンスコストを計画 — P2ライセンスとGovernanceアドオン要件を確認
結論
Entra Agent ID GAはマイルストーンです。Microsoftは人間のアイデンティティを保護するのと同じZero Trustの規律を—思慮深く、新しい構成物とパターンで—AIエージェントに適用しました。これを採用する組織にとってシャドーAIの時代は終わりました。あなたのエージェントはアイデンティティを持ち、セキュリティチームは可視性を持ち、ガバナンスポリシーはテナント内のすべてのアイデンティティ—人間かそうでないか—に一貫して適用されます。
— Kevin Kaminski
Microsoftのアイデンティティ、セキュリティ、AIのカバーについてはX @kkaminskでフォローしてください。