MicrosoftがAIエージェント管理で新製品 「野良AI」使用者の特定、ブロックに対応:「Microsoft Agent 365」提供開始
Microsoftは、企業内のAIエージェントを一元的に制御する「Microsoft Agent 365」の一般提供を開始した。併せてサードパーティー製プラットフォームとの統合拡張のプレビュー版も公開している。
Microsoftは2026年5月1日(米国時間)、AIエージェント(自律的にタスクを実行するAI)の管理基盤「Microsoft Agent 365」(以下、Agent 365)の商用顧客向け一般提供を開始した。Agent 365は企業環境で運用されるAIエージェントの可視化、統制、保護を担うコントロールプレーンとして位置付けられている。
エージェントが自律的にツールを起動し、データにアクセスし、他のエージェントと連携する状況では、有用なワークフローが数秒で「データの過剰共有」や「ツール誤用」「過剰な権限行使」などのリスクに転じる可能性がある。エージェント作成と展開が容易になるにつれて、攻撃対象領域(アタックサーフェス)も拡大していく。
Agent 365は、Microsoft AIで構築されたエージェントとエコシステムパートナー製エージェントを、既に運用されている管理・セキュリティワークフローを通じて可視化、統制、保護できるよう設計されている。
Microsoft Agent 365の役割
一般提供開始と同時に、エージェント導入を適切な統制下で拡張するための新機能と統合のプレビューも発表された。独自の認証情報と権限で動作するエージェントへと対応範囲を拡大し、可視化、統制、保護の機能を強化している。
セキュリティ対策ツール「Microsoft Defender」(以下、Defender)とデバイス管理サービス「Microsoft Intune」(以下、Intune)を活用することで、ローカルとクラウド両方のエージェントおよびシャドーAI(IT部門の管理外で使用されるAI)の検出を可能にした。
エージェントが作業するための安全に管理された実行環境として「Windows 365 for Agents」を提供する他、ソフトウェア開発企業を含む幅広いSaaS(Software as a Serice)エージェントのエコシステムにも対応する。これらに加え、世界中のMicrosoftおよびエコシステムパートナーを通じた評価、導入、利用のサポートも用意されている。
動作場所を問わずエージェントを単一のコントロールプレーンで管理
組織が試験導入から本格導入に移行する中で、AIエージェントは多様なユースケースで展開されている。
Agent 365は、異なる動作形態のAIエージェントを単一のコントロールプレーンで可視化、統制、保護する。具体的にサポートされるエージェントの種類は以下の3パターンだ。
- ユーザーに代わって動作するエージェント(委任アクセス、一般提供)
- バックグラウンドで動作するエージェント(独自アクセス、一般提供)
- チームワークフローに参加するエージェント(独自アクセス、パブリックプレビュー)
ローカルおよびクラウドホスト型エージェントの検出と管理
ユーザーは、セルフホスト型AIエージェント「OpenClaw」やエージェント型コーディングツール「Claude Code」のようなエージェントを端末にインストールしたり、新興プラットフォーム上で開発されたSaaSエージェントを採用したりしている。これらの多くは、管理外でタスク実行やコード変更、機密情報へのアクセスを自律的に実行するため、新たなシャドーAIのリスクを生んでいる。
エージェントの増殖と管理外エージェントの増加に対応するため、MicrosoftはAgent 365、Defender、Intuneに新機能を追加した。これによりシャドーAIの検出や管理外エージェントのブロックに対応する。
ローカルエージェントの検出と管理
DefenderとIntuneにより、Windows端末上で動作するローカルAIエージェントを検出、管理できるようになる。最初はOpenClawエージェントから対応し、今後は「GitHub Copilot CLI」やClaude Codeなど広く利用されているエージェントへ拡張する予定だ。
早期アクセスプログラムであるFrontierプログラムに参加している顧客は、組織内でOpenClawエージェントが使われているかどうか、どの端末で動作しているかを把握できる。
Microsoft 365管理センターのAgent 365内に新設された「Shadow AI」ページやIntune管理センターから、Intuneポリシーを用いてOpenClawの一般的な実行方法をブロックできる。
Agent 365レジストリを通じて、ローカルエージェントのインベントリがDefenderとIntuneで利用可能となり、IT、エンドポイント管理、セキュリティの各チームは検出されたローカルエージェントを一元的に把握できる。
コンテキストマッピング
Defenderはエージェントごとの「コンテキストマッピング」機能を提供する。これには各エージェントが動作する端末、接続先のMCP(Model Context Protocol)サーバ、関連するアイデンティティー、それらアイデンティティーがアクセス可能なクラウドリソースを関連付けて表示する。
これにより、セキュリティチームは、エージェントの侵害時にどの範囲まで影響が及ぶ可能性があるかを把握できる。ファイルアクセスやネットワーク挙動などのエンドポイントデータを使ってエージェントの活動を調査し、その知見を構成ミスの特定やカスタム検出ルールの定義にも活用できる。
ポリシー制御で危険なエージェント動作を制限
組織は、ポリシーベースの制御機能により、エージェントに許可する操作範囲にガードレール(安全対策)を設定できる。OpenClaw向けの初期サポートはIntune経由で提供される。
管理対象エージェントが機密データへの不正アクセスやデータ漏えいなどの悪意のある動作パターンを示した場合、Defenderは実行中のコーディングエージェントを停止し、調査や対応に必要な情報を含むアラートを生成する。
コンテキストマッピング機能、ポリシーベース制御、ランタイムブロックとアラートは、IntuneおよびDefenderのAgent 365パブリックプレビューとして利用できる。
マルチクラウド環境への可視性拡張
開発者が「Microsoft Foundry」、Amazon Web Services(AWS)の「Amazon Bedrock」「Google Gemini Enterprise Agent Platform」(旧Google Vertex AI)でエージェントを構築し、マルチクラウドおよびマルチプラットフォーム環境にクラウドエージェントを展開するに従い、エージェント増殖の課題はさらに深刻化する。セキュリティ侵害になる前にリスクや脆弱(ぜいじゃく)性を管理するためには、どのクラウドエージェントが動作しているか、どのモデル上に構築されているか、どのリソースにアクセスしているかをセキュリティおよびITチームが把握する必要がある。
Microsoftは、Agent 365レジストリとAWS Bedrock、Google Cloudの同期機能のパブリックプレビューを発表した。これによりIT部門は、これらのプラットフォーム横断でエージェントを自動的に検出、棚卸しできる。開始/停止/削除といった基本的なライフサイクルガバナンスも近く対応予定だ。
広範なSaaSエージェントエコシステムとの連携
Agent 365は、「Microsoft 365 Copilot」やTeamsのプリビルトエージェント、「Microsoft Copilot Studio」やMicrosoft Foundryで構築された組織向けエージェントに加え、Microsoftと提携するソフトウェア開発企業のエージェントにも対応する。
Microsoftは、Agent 365で管理可能なエコシステムパートナー製エージェントとして、「Genspark」「Zensai」「Egnyte」「Zendesk」などを発表した。「Kasisto」「Kore.ai」「n8n」などのエージェントファクトリー上で構築されたエージェントにも対応する。
IT部門やセキュリティチームによる追加の統合作業なしにこれらのエージェントを、Agent 365のコントロールプレーンで可視化、統制、保護できるとしている。
安全なエージェント実行環境「Windows 365 for Agents」
Agent 365がエージェント活動を可視化、統制、保護するコントロールプレーンを提供するのに対し、エージェントが作業を遂行するための安全な環境として提供されるのが「Windows 365 for Agents」(米国限定でパブリックプレビュー提供開始)だ。これはエージェント型ワークロード向けに設計された新しいCloud PCであり、Intuneで管理され、ポリシー制御された環境内でエージェントを動作させ、従業員向けに利用しているものと同じID、セキュリティ、管理の制御下で運用できるとしている。
Agent 365を通じて、Microsoft 365管理センターでWindows 365 for Agents上で動作するエージェントの可視化と保護も可能になる。
ネットワーク制御でAIエージェント通信を監視
AIエージェントは外部WebサービスやAIサービスと人間より高速に通信するため、不適切な接続や悪意あるプロンプト攻撃によるリスクが生じる。
Microsoftは、Agent 365の一般提供開始に合わせて、ID管理およびネットワークアクセスセキュリティ製品群「Microsoft Entra」のネットワーク制御を、Microsoft Copilot Studioエージェントやユーザーエンドポイント端末上で動作するエージェント(OpenClawなどのローカルエージェントを含む)に拡張する。これらの制御により、未承認AI利用の識別、承認されたWeb宛先への接続制限、リスクのあるファイル移動のフィルタリング、悪意のあるプロンプトベース攻撃のブロックを可能にするとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ChatGPTに「入力してはいけない情報」5選――NGリストとその理由
ESETは、ChatGPTの利用に伴うセキュリティとプライバシーのリスクをまとめた包括的なガイドを公開した。7つの大きなリスクや共有禁止情報の「レッドリスト」、10の保護習慣を解説している。
知らないと損! Microsoft 365ライセンスだけで利用できる「Copilot」の4機能
企業の情報システム部門が「Microsoft 365」「Microsoft 365 Copilot」を社内で有効活用するためのノウハウを解説する本連載。初回は、Microsoft 365 Copilotのライセンスを持っていないMicrosoft 365ユーザーでも使えるCopilotの機能を解説します。
Windows Copilot大迷走――キャンセル、改名、実装変更を繰り返すMicrosoftの混乱
2024年の「Microsoft Build」で発表されたWindows向け「Copilot」機能のうち、3つがキャンセル、アプリの実装方式は5回変更。CEOは「うまく機能していない」と認め、責任者の交代と組織再編が発表されました。もうWindows Copilotは終わりなのか? いえいえ、その裏で新しい挑戦も静かに始まっていますよ。事実を時系列で追いながら、Windows Copilotの現在地を整理します。
日本のCISOが経験した情報漏えいの約9割に「退職した従業員」が関与
日本プルーフポイントは世界16カ国、1600人のCISOを対象とした調査レポート「2025 Voice of the CISO」の日本語版を発表した。日本のCISOの69%が今後1年以内に重大なサイバー攻撃を受けると予想。サイバー攻撃が巧妙化する一方、CISOは内部不正への対応、生成AIのガバナンス対応に直面しており、極度のプレッシャーにさらされている状況が浮き彫りとなっている。
日本企業は10年で「VPN 2.0」を導入しただけ 「ゼロトラストごっこ」を終わらす現実的な生存戦略
2025年11月26日開催の「ITmedia Security Week 2025 秋」で、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「ゼロトラストの真の意義とその環境 〜ゼロトラストっぽさとの決別〜」と題して講演した。