Copilot Studioのアプリ登録、エージェント ID、認証

この記事では、Copilot Studio エージェントのアプリ登録、エージェント ID、認証について説明します。

エージェント ID について

Copilot Studioは、認証のためにエージェントをどのように識別しますか？

Copilot Studioは、チャネル (Teams、オムニチャネルなど) やサービスと通信できるように、各エージェントに一意の識別子を割り当てます。 Copilot Studioは、これらの ID を自動的に作成および管理します。

エージェント ID には次の 2 種類があります。

• Entra Agent ID: Microsoft Entra のサービス プリンシパルで、「Agent」サブタイプを持つもの。 環境に対して Entra エージェント ID を有効にすると、新しいエージェントは自動的に Entra エージェント ID を受け取ります。

• アプリの登録 (レガシ): Entra エージェント ID を有効にする前に作成した既存のエージェントは、従来のapp registrationsを引き続き使用します。

重要: サービス プリンシパルの中で、エージェント サブタイプを持つものが「エージェント ID」です。 基になる OAuth ベースの認証フローは変わりません。 エージェント ID は、従来のアプリ登録と比較して、ガバナンスの可視性と管理機能を強化します。

エージェントが Microsoft Entra ID に ID を持っているのはなぜですか?

エージェント ID を使用すると、チャネル (Teams、オムニチャネルなど) やサービスと通信するときにエージェントを安全に認証できます。 Copilot Studio ゼロ トラストセキュリティ原則に従って、これらの ID を自動的に作成および管理します。

Copilot Studio エージェントとエージェント ビルダー エージェントの違いは何ですか?

• Copilot Studio エージェント: チャネルとサービスでの認証のために Entra エージェント ID (またはレガシ エージェントのアプリ登録) を受け取ります。 Power Platform 管理センターの環境レベルで Entra エージェント ID を有効にすることができます。

• エージェント ビルダー エージェント: 現在、アプリ登録 ID またはエージェント ID は使用しません。 詳細については、Microsoft 365 CopilotAgent Builder を参照>。

エージェント ID の操作

エージェント ID を手動で作成または構成する必要がありますか?

No. Copilot Studioは、エージェント ID を自動的に管理します。

• 新しいエージェント (Entra エージェント ID が有効になっている場合): Entra エージェント ID を自動的に取得する
• 既存のエージェント: アプリの登録を引き続き使用する

Microsoftのセキュリティとコンプライアンスの標準は、すべての資格情報の自動管理をガイドします。 Microsoft Entra 管理センターで完全な可視性と制御を行い、そこで認証アクティビティを監視し、エージェント ID のライフサイクルを管理できます。

エージェントに属しているアプリの登録またはエージェント ID を確認するにはどうすればよいですか?

1. Copilot Studioで、Settings>Advanced>Metadata に移動します。
2. Entra ID を持つエージェントの Entra エージェント ID (GUID) を表示します。
3. アプリが登録されているレガシ エージェントの場合、アプリケーション ID は同じセクションに表示されます。
4. この GUID を使用して、Microsoft Entra 管理センターで ID を見つけます。

自分のエージェント ID またはアプリの登録を持ち込むことはできますか?

No. セキュリティ、コンプライアンス、チャネルやサービスとの統合を確保するために、Copilot Studioには自動管理が必要です。

Copilot Studioは、なぜエージェントの所有者をエージェントのIDに追加するのですか？

Copilot Studioは、エージェントの所有者を追加して、以下の機能を提供します:

• 各エージェントのガバナンスの追跡可能性
• エージェントのライフサイクルに関するアカウンタビリティ
• 組織の所有権ポリシーとの連携

Entra エージェント ID の場合: エージェント所有者は、完全な所有者と比較してアクセス許可が制限された スポンサー として追加されるため、アクセス許可の変更に関するセキュリティ上の懸念が軽減されます。 既存のエージェントの中には、まだスポンサーがいないものもあります。

レガシ アプリの登録の場合: エージェント所有者がアプリ登録の所有者として追加されます。 エージェント所有者の追加をオプトアウトするには、サポートにお問い合わせください。

セキュリティとアクセス許可

エージェントのIDを使用してトークンを生成できるのは誰ですか。

Entra エージェント ID の場合

Microsoft所有のblueprint プリンシパルは、フェデレーション ID 資格情報を使用してエージェント ID を作成および管理します。 テナント内の誰も (テナント管理者を含む) エージェント ID を使用してトークンを生成することはできません。 Microsoftブループリントと認証メカニズムを完全に制御します。

レガシ アプリの登録の場合

グローバル管理者、アプリケーション管理者、またはクラウド アプリケーション管理者ロールを持つユーザーは、所有権を必要とせずに、テナント内の任意のアプリ登録用のクライアント シークレットまたは証明書を作成できます。 これらのロールを持たないユーザーには、トークンの生成に必要な資格情報を作成するために、特定のアプリ登録の所有権が付与されている必要があります。 Copilot Studioは、これらのアプリ登録に API スコープやアクセス許可を追加しないため、これらの ID から生成されたトークンは、顧客のデータやリソースにアクセスできません。

Entra エージェント アイデンティティ

Entra エージェント ID をオプトアウトできますか?

はい。現在、Power Platform 管理センターの環境レベルでオプトアウトできます。 手順については、「 Entra エージェント ID を自動的に作成する 」を参照してください。

Entra エージェント ID を有効にすると、既存のエージェントはどうなりますか?

Entra Agent Identity が有効になる前に作成された既存のエージェントは、引き続きアプリの登録を使用します。 今後、エージェント ID に移行される予定です。

移行の特性:

• GUID の保持: エージェント識別子は同じままです (重大な変更はありません)
• ダウンタイムゼロ: エージェントは移行中も引き続き機能します
• 自動: 手動操作は必要ありません
• チャネルの互換性が維持される: Teams、オムニチャネル、スキルが引き続き機能する

エージェント ID を有効にすると、エージェントの認証方法は変わりますか?

No. エージェント ID は、従来のアプリ登録と同じ OAuth ベースの認証フローを使用する "エージェント" サブタイプを持つサービス プリンシパルです。 機能強化はガバナンスの可視性です。エージェント ID は、より多くのライフサイクル管理機能と監視機能を備えたMicrosoft Entra 管理センターに表示されます。

ブループリント プリンシパルとは

環境で最初のエージェント ID が作成されると、Copilot Studioはテナントに Microsoft Copilot Studio エージェント ID ブループリントを追加します。 このブループリント プリンシパルには、テナントにエージェント ID とエージェント ユーザーを作成する権限があります。

ブループリント ID (運用とテスト) などの詳細については、「 ブループリント プリンシパルについて」を参照してください。 技術的な詳細については、「 エージェント ID の作成方法」を参照してください。

エージェントのライフサイクル

エージェントを削除すると、エージェント ID はどうなりますか?

Copilot Studioからエージェントを削除すると、関連付けられているエージェント ID (またはアプリの登録) がMicrosoft Entra IDから削除されます。

詳細については、「エージェントの 削除」を参照してください。

関連資料

• Microsoft Entra ID を用いてユーザー認証を構成する
• Entra エージェント ID を自動的に作成する (プレビュー)
• エージェントを削除する
• ネットワークの分離とファイアウォールの構成