AI エージェントの使用状況、機能、スコープが拡大するにつれて、エージェント ID に関連付けられているアクティビティが Microsoft Entra ID にどのように記録されるかを理解することが重要です。 IT 管理者は、監査ログとサインイン ログで使用できる情報と、その情報を使用してエージェントアクティビティを監視する方法を知る必要があります。 監査ログとサインイン ログは、次の種類のシナリオを調査する必要がある場合に役立ちます。
- エージェントまたはエージェント関連トラフィックのログインログ
- エージェント ID またはエージェントのユーザー アカウントがテナント内の操作のイニシエーターまたは実行者である場合の監査ログ
この記事では、エージェント ID アクティビティを Microsoft Entra ID に記録する方法と、Microsoft Entra 管理センターと Microsoft Graph を使用してこれらのログにアクセスする方法について説明します。
監査ログ
エージェント アクティビティは、アクティビティの発生元のベース ID の種類でログに記録されます。 現在、監査ログに表示されるエージェント ID の種類は 3 つあり、それぞれが Microsoft Entra ID の既存の ID の種類に関連付けられます。
- エージェント ID ブループリント アクティビティは 、 アプリケーション イベント ("アプリケーションの追加" や "アプリケーションの削除" など) として表示されます。
- エージェント ID アクティビティは 、 サービス プリンシパル イベント ("サービス プリンシパル の追加" や "サービス プリンシパルの更新" など) として表示されます。
- エージェントのユーザー アカウント アクティビティは 、 ユーザー イベント ("ユーザーの追加" など) として表示されます。
監査イベントにエージェント ID が関係するかどうかを識別するには、agentType、initiatedBy、およびperformedByフィールドのtargetResources プロパティを確認します。 エージェント ID とエージェントのユーザー アカウントは、 initiatedBy イベントと performedBy イベントの両方で表すことができます。
notAgentic以外の値は、エージェントの関与を示します。
agentType
agentType値は、エージェント ID アクションをさらに明確にしています。
agentType プロパティは、監査イベントに関連する ID がエージェント ID、エージェント ID ブループリント、またはエージェントのユーザー アカウントであるかどうかを示します。
agentType プロパティは、次のリソースに表示されます。
auditAppIdentityauditUserIdentitytargetResourceauditActivityPerformer
| 先頭値 | 説明 |
|---|---|
notAgentic |
アイデンティティはエージェントではありません。 これは、標準のアプリ、ユーザー、またはサービス プリンシパルです。 |
agenticApp |
エージェント ID ブループリント。エージェントのテンプレートまたは定義です。 アプリの登録に似ています。 |
agenticAppInstance |
エージェント ID。エージェントの特定の実行中のインスタンスです。 サービス プリンシパルに似ています。 |
agentIdentityBlueprintPrincipal |
ブループリント プリンシパル自体。これは、ブループリントを表すサービス プリンシパルです。 |
agentIDuser |
エージェントのユーザー アカウント。 この ID により、エージェントはユーザーが委任されたアクセス許可を持つユーザーとして機能できます。 |
unknownFutureValue |
進化可能な列挙センチネル値。 使用しないでください。 |
次の表は、これらのエージェントのアクティビティと値がどのようにマップされ、監査ログに表示されるかをまとめたものです。
| エージェント アクション | 監査活動 | エージェントタイプの値 |
|---|---|---|
| エージェント ID ブループリントを作成する | アプリケーションを追加する | agenticApp |
| エージェント ID を作成する | サービス プリンシパルの追加 | agenticAppInstance |
| エージェントのユーザー アカウントを作成する | ユーザーの追加 | agentIDuser |
| エージェント ID ブループリントを更新する | アプリケーションを更新する | agenticApp |
| エージェント ID を更新する | サービス プリンシパルの更新 | agenticAppInstance |
| エージェント ID ブループリントを削除する | アプリケーションを削除する | agenticApp |
| エージェント ID を削除する | サービス プリンシパルを削除する | agenticAppInstance |
ヒント
Microsoft Graph応答で agentIdentityBlueprintPrincipal 値と agentIDuser 値を受信するには、Prefer: include-unknown-enum-members 要求ヘッダーを含めます。 これらの値は、 進化可能な列挙体の一部です。
blueprintId
blueprintId プロパティは、エージェントに関連付けられている agentIdentityBlueprint のオブジェクト ID です。 このプロパティを使用して、エージェント ID (インスタンス) をブループリント (テンプレート) に関連付けます。 このプロパティは、 auditAppIdentity、 targetResource、および auditActivityPerformerに表示されます。
blueprintIdとエージェント ID の関係は、アプリの登録とそのサービス プリンシパルの関係に似ています。 複数のエージェント ID で同じブループリントを共有できます。
監査ログ スキーマの変更点
監査ログ スキーマに対する次の変更により、エージェント ID の追跡が有効になります。
-
initiatedBy.appプロパティでは、既存のauditAppIdentity、agentType、blueprintId、およびappIdプロパティと共にdisplayNameとservicePrincipalIdを含む、servicePrincipalNameリソースの種類が使用されるようになりました。 -
targetResource リソースの種類に、
agentTypeプロパティとblueprintIdプロパティが含まれるようになりました。 -
auditUserIdentity リソースの種類に、
agentTypeプロパティが含まれるようになりました。 - 新しい
auditActivityPerformerリソースの種類は、監査イベントのアクターのagentType、appId、およびblueprintIdを提供します。
サインイン ログ
agentSignInサインイン イベントの種類には、エージェントがアプリであるかアプリのインスタンスであるかなど、エージェントに関するプロパティが含まれます。 エージェントはユーザー委任アクセス許可またはアプリ専用のアクセス許可でサインインできるため、4 つのサインイン ログの種類ごとにサインインが表示される場合があります。
agentSignIn サインイン イベントの種類は、Microsoft Entra 管理センターと Microsoft Graph APIで使用できます。
- Microsoft Entra 管理センターに、少なくともレポート閲覧者としてサインインします。
- Entra ID>に移動し、モニタリングとヘルス>のサインイン ログを参照します。
- エージェントのサインインを表示するには、次のフィルター オプションを使用します。
- ** エージェントの種類: エージェント ID ユーザー、エージェントの特性、エージェントの特性ブループリント、または非エージェントから選択
- エージェント:[いいえ] または [はい] から選択