Microsoft 365 管理センターのエージェント ツールは、organizationで使用可能なすべての AI 搭載ツールとモデル コンテキスト プロトコル (MCP) サーバーの一元的なビューを提供します。 これらのツールは、AI モデルがユーザー データ、ツール、ワークフローと対話する方法を定義します。 エージェント ツールを使用すると、要求、応答、アクションを一貫した安全で安全な透過的な方法で処理できます。
一覧表示される各ツールは、Microsoft 365 アプリ全体で Copilot エクスペリエンスをサポートするサービスを表します。 可用性を監視し、アクセスを管理し、組織のポリシーへの準拠を確認できます。 [レジストリ] タブを使用して、テナントで使用できるツールを表示および管理し、[要求] タブを使用して、organizationのユーザーからのツール要求を確認および承認します。
注:
Bring Your Own (BYO) MCP サーバー機能を使用すると、組織は独自のリモート MCP サーバーをAgent 365に登録して、一元的なガバナンスと監視を行うことができます。 詳細については、「 Bring Your Own (BYO) MCP サーバー」を参照してください。
エージェント ツール レジストリを表示する
Microsoft 365 管理センターにサインインします。
左側のナビゲーション ウィンドウで、[ エージェント>Tools>Registry] を選択します。
エージェント ツールの主要コンポーネント
[ レジストリ ] タブの [ 要求 ] タブの [エージェント ツール] の一覧には、エージェント ツールの管理に役立つフィルター、列、アクションが用意されています。
アクション
一覧から使用可能なアクションを直接選択するか、一覧表示されているエージェントを選択してエージェント ツールの概要を表示できます。 エージェント ツールには、次のアクションが含まれます。
| アクション | 説明 |
|---|---|
| ブロック | 選択したツールがエージェントまたはワークフローで使用されないようにします。 |
| ブロックを解除 | 以前にブロックされたツールへのアクセスを復元します。 |
フィルター
エージェント ツール レジストリには、ツールの大規模で多様なインベントリを含めることができます。 リストをフィルター処理して、ビューを、現時点でフォーカスするエージェント ツールに絞り込むことができます。
フィルターは、次の条件に基づいています。
| フィルター | 説明 |
|---|---|
| 状態 | ツールを現在の状態 ( [使用可能] や [ ブロック済み] など) でフィルター処理します。 |
| Publisher | Microsoft または他のプロバイダーによって発行されたツールを表示します。 |
段組み
次の表では、エージェント ツール レジストリで使用できる列について説明します。
| 列 | 説明 |
|---|---|
| 名前 | Microsoft Teams MCP Server などのツールの表示名。 |
| 状態 | ツールが [使用可能] または [ ブロック] のどちらであるかを示します。 |
| 型 | MCP サーバーなどのツール カテゴリを表示します。 |
| Publisher | ファースト パーティ ツールの Microsoft など、発行元を表示します。 |
一般的な MCP サーバー
MCP サーバーをサービスとして使用して、データ、アクション、ビジネス ロジックをエージェントに公開します。
MCP サーバーの例を次に示します。
- Dataverse MCP サーバー
- エージェント MCP サーバーのWindows 365
- Microsoft MCP 管理 MCP サーバー
- 管理 ツール MCP Server for Microsoft 365 管理センター
関連情報については、「MICROSOFT AGENT 365 SDK と CLI」を参照してください。
独自の (BYO) MCP サーバーを持ち込む
Bring Your Own (BYO) MCP サーバー機能を使用すると、組織は独自のリモート MCP サーバーをMicrosoft Agent 365に登録して、一元的なガバナンスと監視を行うことができます。
重要
- これはプレビュー機能です。
- プレビュー機能は運用環境向けではなく、機能が制限されている可能性があります。 これらの機能は 補足的な使用条件の対象であり、お客様が早期にアクセスしてフィードバックを提供できるように、公式リリースの前に利用できます。
大企業は、多くの場合、さまざまなビジネス ワークフローにわたってエージェントに電力を供給するために、内部 MCP サーバーを構築して運用します。 通常、これらのサーバーは組織のガバナンス境界の外で実行され、公開されているツールの管理者の可視性も、呼び出し方法に対するポリシーの適用も、セキュリティとコンプライアンス チームのテレメトリの使用も行われません。 BYO MCP サーバーは、登録されたサーバーを Agent 365 Tooling Gateway 経由でルーティングすることで、この問題に対処します。これにより、IT 管理者は、Microsoft 365 管理センターおよびセキュリティ チームを介して必要な監視データを制御できます。
注:
BYO MCP サーバーは現在プレビュー段階です。 サポートされているクライアント サーフェスは、Copilot Studio、VS Code、Claude Code、GitHub Copilot CLI です。 Azure AI Foundry および Microsoft 365 宣言型エージェントはまだサポートされていません。
BYO MCP サーバーのしくみ
BYO MCP サーバーは、構造化された開発者から管理者へのフローに従って、すべてのリモート MCP サーバーを確認して管理してから、エージェントが使用できるようにします。
BYO MCP サーバーの開発者から管理者へのフロー:
- 開発者は、Agent 365 CLI を使用してリモート MCP サーバーを登録し、公開するサーバー URL、認証の種類、およびツールを提供します。 詳細については、「 リモート MCP サーバーを登録する」を参照してください。
- IT 管理者は、Microsoft 365 管理センターでサーバーの詳細と宣言されたツールを確認し、要求を承認または拒否します。 承認されると、管理者はサーバーに必要なMicrosoft Entraアクセス許可を付与します。 詳細については、「 ツール要求の確認と承認」を参照してください。
- 承認された MCP サーバーは、サポートされているクライアント (Copilot Studioや VS Code など) によって、実際のツール呼び出しに対してエージェントをビルドしてテストするために使用されます。 詳細については、「 承認済み MCP サーバーを使用する」を参照してください。
- セキュリティ チームは、コンプライアンスと異常検出のための高度なハンティングをMicrosoft Defenderして、MCP サーバーのアクティビティとツールの呼び出しを監視します。 詳細については、「 MCP サーバー アクティビティの監視と監視」を参照してください。
重要
このアプローチにより、すべての外部 MCP 統合が適切なガバナンスとコンプライアンス レビューを経てからエンド ユーザーが利用できるようになります。
注:
BYO MCP サーバーは現在プレビュー段階です。 リモート MCP サーバーの新しいバージョンの再発行は現在サポートされていません。
リモート MCP サーバーを登録する
ヒント
管理者は、リモート MCP サーバーを登録する方法を理解しておくと役立ちます。 または、このセクションの手順を開発者に提供して実装することもできます。
ユーザーまたは開発者は、独自のリモート MCP サーバーをAgent 365に登録できます。 このセクションでは、リモート MCP サーバーを CLI を使用してAgent 365に登録し、IT 管理者がエージェント構築サーフェスで使用するためにそれを確認して承認できるようにするために必要な手順について説明します。
このセクションでは、リモート MCP サーバーを登録するために必要な手順 (一般的に開発者によって実装される) について説明します。
開発者の前提条件
リモート MCP サーバーを登録する前に、次の前提条件があることを確認してください。
- Agent 365 CLI をインストールします (または、最新バージョンに更新します)。 このフローを機能させるためには、バージョン 1.1.165-preview 以上が必要です。
- Agent 365 サービス プリンシパルがテナントにプロビジョニングされていることを確認します。 appId
ea9ffc3e-8a23-4a7d-836d-234d7c7565c1に関連付けられているサービス プリンシパルが見つからない場合、サービス プリンシパルはテナント用にプロビジョニングされません。 テナントでAgent 365のサービス プリンシパルを設定するには、次を参照してください。 - インターネットからアクセスできるパブリックにアクセス可能な MCP サーバー エンドポイント。
- サーバーは、サポートされている認証の種類のいずれかで構成されます。
- NoAuth
- APIKey (ヘッダーまたはクエリ)
- ExternalOAuth
- EntraOAuth
Agent 365 CLI をインストールする
Agent 365 CLI をインストールするには、「Agent 365 CLI のインストール」の手順に従います。
MCP サーバーを登録する
Agent 365 CLI をインストールし、MCP サーバー エンドポイントがパブリックにアクセス可能で、サポートされている認証の種類で構成されていることを確認したら、MCP サーバーをAgent 365に登録する準備が整います。 IT 管理者は、エージェント構築サーフェスで使用するためにそれを確認および承認できます。
MCP サーバーをAgent 365に登録するには、いくつかのオプションがあります。
-
CLI による手動登録: CLI から
a365 develop-mcp register-external-mcp-serverコマンドを実行し、MCP サーバーが公開するサーバーの詳細、認証の種類、ツールを手動で指定します。
重要
このセクションの例では、 zava.com を架空のドメインとして使用し、一般的なサーバーとツール名を使用して説明します。 これらの値を実際のサーバー URL、名前、およびツール識別子に置き換えます。
-
JSON ファイルを使用した登録:
a365 develop-mcp register-external-mcp-server -f <path-to-file.json>を使用して、コマンド ラインで個別に指定するのではなく、サーバーの詳細、認証の種類、およびツール定義をすべて 1 つのファイルに含む JSON ファイルを提供することで、MCP サーバーを登録します。
さまざまな認証の種類に対して CLI を使用して MCP サーバーを Agent 365に登録する方法については、次のセクションの例を参照してください。
NoAuth
認証を必要としない MCP サーバーの場合:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type "NoAuth" \
--tools "tool1,tool2"
{
"serverName": "ext_DocsSearch",
"serverUrl": "https://docs.contoso.com/api/mcp",
"authType": "NoAuth",
"description": "Documentation search MCP Server for Contoso developer docs.",
"publisherName": "Contoso",
"tools": [
{
"name": "search_docs",
"description": "Search Contoso developer documentation and code samples."
}
],
"remoteScopes": null,
"externalOAuth": null,
"apiKey": null
}
APIKey (クエリ パラメーター)
クエリ パラメーターとして API キーを渡すサーバーの場合:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Query \
--api-key-name apiKey \
--tools "tool1,tool2"
{
"serverName": "ext_MarketData",
"serverUrl": "https://api.contoso.com/market/mcp",
"authType": "APIKey",
"description": "Real-time stock market data and search from Contoso Market Services.",
"publisherName": "Contoso",
"tools": [
{
"name": "stock-market-data",
"description": "Get real-time stock market data and financial information."
},
{
"name": "real-time-search",
"description": "Search the web for real-time information and news."
}
],
"remoteScopes": null,
"externalOAuth": null,
"apiKey": {
"location": "Query",
"name": "apiKey"
}
}
APIKey (ヘッダー)
要求ヘッダーで API キーを渡すサーバーの場合:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type APIKey \
--api-key-location Header \
--api-key-name token \
--tools "tool1,tool2"
{
"serverName": "ext_InternalTools",
"serverUrl": "https://tools.contoso.com/mcp",
"authType": "APIKey",
"description": "Contoso internal tools MCP Server with API key authentication.",
"publisherName": "Contoso",
"tools": [
{
"name": "tool1",
"description": "First tool exposed by the server."
},
{
"name": "tool2",
"description": "Second tool exposed by the server."
}
],
"remoteScopes": null,
"externalOAuth": null,
"apiKey": {
"location": "Header",
"name": "X-API-Key"
}
}
ExternalOAuth
外部 OAuth プロバイダーを介して認証するサーバーの場合:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type ExternalOAuth \
--idp-authorization-url "https://idp.zava.com/o/oauth2/v2/auth" \
--idp-token-url "https://idp.zava.com/oauth2/token" \
--idp-scopes "https://api.zava.com/read" \
--idp-client-id "<your-client-id>" \
--idp-client-secret "<your-client-secret>" \
--remote-scopes "https://api.zava.com/read" \
--tools "tool1,tool2"
{
"serverName": "ext_Analytics",
"serverUrl": "https://analytics.contoso.com/mcp",
"authType": "ExternalOAuth",
"description": "Contoso Analytics MCP Server for dataset and query operations.",
"publisherName": "Contoso",
"tools": [
{
"name": "list_datasets",
"description": "List all available analytics datasets."
}
],
"remoteScopes": "https://analytics.contoso.com/.default",
"externalOAuth": {
"authorizationUrl": "https://auth.contoso.com/oauth2/authorize",
"tokenUrl": "https://auth.contoso.com/oauth2/token",
"scopes": "https://analytics.contoso.com/.default",
"clientId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
"clientSecret": "<your-client-secret>"
},
"apiKey": null
}
EntraOAuth
Microsoft Entra IDを介して認証するサーバーの場合:
a365 develop-mcp register-external-mcp-server \
--server-name "ZavaServer" \
--server-url "https://mcp.zava.com/mcp" \
--publisher "Contoso" \
--description "My external MCP server for document search" \
--auth-type EntraOAuth \
--remote-scopes "https://api.zava.com/.default" \
--tools "tool1,tool2"
{
"serverName": "ext_OrgDirectory",
"serverUrl": "https://directory.contoso.com/mcp",
"authType": "EntraOAuth",
"description": "Contoso organization directory MCP Server secured with Entra OAuth.",
"publisherName": "Contoso",
"tools": [
{
"name": "list_users",
"description": "List users in the organization directory."
},
{
"name": "get_user_profile",
"description": "Get the profile of a specific user by ID or UPN."
}
],
"remoteScopes": "api://contoso-directory/.default",
"externalOAuth": null,
"apiKey": null
}
登録が成功したら、MCP サーバーを送信して、Microsoft 365 管理センターで管理者レビューを行います。
ツール要求の確認と承認
開発者がリモート MCP サーバーなどのツールを登録すると、確認と承認のためにMicrosoft 365 管理 センターにツールが表示されます。
Microsoft 365 管理 センターでエージェント ツールを管理するための適切なアクセス許可を持つ管理者は、これらの要求を確認、承認、または拒否して、organizationで使用できるツールを制御できます。
重要
レビューと承認プロセスを完了するには、次の 2 つの要件を満たす必要があります。
- エージェント ツールを管理し、MCP サーバーの登録要求を確認するMicrosoft 365 管理センターのツール ページにアクセスする必要があります。
- テナント全体の同意を付与する機能が必要です。
2 つのロールが両方の要件を満たしています。
アクセス許可が最も少ないロールを使用し、管理者アクセス許可を持つユーザーの数を制限します。 Microsoft Entra IDの「タスク別の最小特権ロール」を参照してください。 Microsoft 365 管理センターの管理者ロールとアクセス許可の詳細については、次を参照してください。
MCP サーバー登録要求を確認して承認するには、次の手順に従います。
- Microsoft 365 管理センターにサインインします。
- [ エージェント>ツール] を選択し、[要求] タブ を 選択します。
- 保留中の要求には、サーバーごとに次の詳細が表示されます。
- サーバー名
- Publisher
- によって要求されました
- 要求された日付
- サーバー情報と宣言されたツールを確認して、正確性とコンプライアンスを確認します。
- [ 承認] を選択 して、組織のレジストリでサーバーを使用できるようにするか、[ 拒否] を 選択して要求を拒否します。
- 承認が得られたら、MCP サーバーに必要なMicrosoft Entraのアクセス許可に同意します。 同意が付与された後にのみ、サーバーがエージェントの構築サーフェスで使用できるようになります。
注:
MCP サーバーが承認され、同意が付与されると、テナント内のすべてのMicrosoft Copilot Studio環境に表示されるまでに最大 30 分かかる場合があります。
MCP サーバーの可用性に基づいて、次の状態インジケーターが表示されます。
- [使用可能] - ツールがアクティブで、使用できる状態です。
- ブロック - ツールが無効になっており、エージェントがアクセスできません。
主要なガバナンス コントロール
次の表は、主要なガバナンス コントロールをまとめたものです。
| コントロール | 説明 |
|---|---|
| 承認/却下 | 管理使用する前に、各 BYO MCP サーバーを明示的に承認または拒否します。 |
| Server-Level ブロック | 管理は、承認されたサーバーをいつでもブロックできます。ブロックされたサーバーは実行時に適用されます。 |
| ツール スナップショット | 管理は、透過性のために各 MCP サーバーによって公開されている宣言されたツールを表示できます。 |
| ランタイムの適用 | ブロックされた MCP サーバーは、実行時にクライアント サーフェイス全体で呼び出すことはできません。 |
承認された MCP サーバーを使用する
MCP サーバーが承認され、同意Microsoft Entra許可されたら、サポートされているエージェント構築サーフェス全体で使用できます。 次のクライアント サーフェスでは、現在、プレビューで承認された BYO MCP サーバーの呼び出しがサポートされています。
| クライアント | 状態 |
|---|---|
| Copilot Studio | ✅ サポート |
| VS Code | ✅ サポート |
| Claude コード | ✅ サポート |
| GITHUB COPILOT CLI | ✅ サポート |
Copilot Studioのユーザーとして、承認された BYO MCP サーバーを呼び出すには、次の手順を実行します。
- 環境内のCopilot Studioに移動します。
- 新しいカスタム エージェントを作成する (または既存のカスタム エージェントを開く)。
- [ツール] セクションに移動し、[MCP サーバー] を選択します。
- レジストリから MCP サーバーを選択します。
- MCP サーバーを呼び出すプロンプトを入力して、エージェントをテストします。
注:
初回接続セットアップ: 最初の呼び出し時に、1 回限りの接続セットアップを完了するように求められる場合があります。 指定された URL に従って、APIKey ベースのサーバーの API キーを入力するなど、必要な接続を作成します。 完了したら、エージェントに戻り、プロンプトを再試行します。 正常に呼び出されると、MCP サーバーが正しいツール出力で応答することがわかります。
承認された BYO MCP サーバーを Claude Code、VS Code、GitHub Copilot CLI から呼び出す方法については、「Work IQ MCP の概要」の「エージェントをコーディングするための Work IQ MCP サーバーのセットアップ」セクションを参照してください。
MCP サーバーのアクティビティを監視および監視する
organizationのセキュリティ チームのメンバーとして、高度なハンティングMicrosoft Defender使用して、MCP サーバーの呼び出しを追跡および分析します。 このプロセスは、どのエージェントがどの MCP サーバーを呼び出すか、いつ呼び出しが発生したか、および異常または未承認の使用パターンを検出するのに役立つその他の関連メタデータを確認するのに役立ちます。
サンプル KQL クエリ — Defender Advanced Hunting:
CloudAppEvents
| where ActionType in ( "ExecuteToolByGateway")
| where RawEventData contains "tool name"
このクエリは、エージェント名、MCP サーバー名、呼び出しメタデータなどの詳細を返します。