条件付きアクセス ポリシーの問題をトラブルシューティングする

Copilot Studioでは、Microsoft Entra ID を介した end-user の認証と承認がサポートされているため、エージェントのユーザーはMicrosoft Entra ID資格情報を使用して認証できます。 これらの資格情報は組織で管理されます。

ただし、ユーザーは、Conditional Access ポリシーに関連する問題が、Copilot Studio エージェントを効果的に使用する能力に影響を与える可能性があります。

Symptoms

エージェントは、Microsoft Entra IDを通じて実装された条件付きアクセス ポリシーにより、Teams などの特定のチャネルのエンド ユーザーに応答しない可能性があります。

エージェントのユーザーは、チャット ウィンドウに空白のページが表示されたり、エージェントが使用できないことを示すエラー メッセージが表示されたり、テスト チャットがクエリに応答しない場合があります。

理由

Policy の適用: より強力な認証制御を提供する最近のセキュリティ更新プログラムにより、Copilot Studio エージェントは特定の顧客テナントに固有の認証トークンを取得します。

これらのポリシーの適用が実施された場合、条件付きアクセス ポリシーによって認証トークンの取得がブロックされた場合、エージェントは会話を開始したり、エンド ユーザーに応答したりしません。

この強制は、以前はエージェントによるエンド ユーザーへの応答を妨げていなかった条件付きアクセス ポリシーを使用してテナントで作成された既存のエージェントに適用されます。

緩和策

どの条件付きアクセス ポリシーが要求をブロックしているかを確認できるため、調査してそれに応じて対処できます。 問題を解決する方法や条件付きアクセス ポリシーを変更する方法については、この記事の最後にある他のリソースを参照してください。

Copilot Studio、Power Platform、またはその他の Microsoft サービスで使用される特定の IP アドレスと IP 範囲を許可する必要がある場合もあります。

Microsoft Entraのエージェントのアプリ登録から、特定のCopilot Studio エージェントの条件付きアクセス ログにアクセスできます。 また、Entra の Identity セクションで手動でフィルター処理することで、すべてのエージェントのログを表示することもできます。

ヒント

要求を行ったユーザーに応じて、関連するログは Entra の複数のサインイン カテゴリのいずれかに含まれる可能性があります。

[条件付きアクセスのサインイン ログ] ページの各タブを確認します。

すべてのCopilot Studio エージェントの条件付きアクセス ログを取得する

  1. Microsoft Entra 管理センターに、少なくともレポート閲覧者としてサインインします。

  2. サイド メニューの ID セクションを開きます。 監視と正常性を選択してから監査ログを選択します。

  3. クエリを実行する 日付 範囲を選択します。

  4. サインインの一覧の上にある [フィルターの追加] を選択し、[ アプリケーション] を選択します。 フィルターを Application contains: Copilot Studio に設定します。

  5. 同じ方法で 条件付きアクセス フィルターを追加し、失敗に設定します。 を選択してを適用します。

    条件付きアクセス フィルターが追加され、サインインの一覧の上に強調表示された、Microsoft Entraのサインイン イベント ページのスクリーンショット。

特定のCopilot Studio エージェントの条件付きアクセス ログを取得する

  1. Microsoft Entra 管理センターにサインインします。
  2. サイド メニュー、ホーム ページからアプリの登録を開くか、画面上部の検索バーで検索します。
  3. 確認するエージェントの登録を開きます。
  4. 概要 ページの Essentials セクションで、ローカル ディレクトリのマネージド アプリケーションのリンクを選択します。 そのエージェントの条件付きアクセス ログの事前フィルター処理された一覧が表示されます。

ポリシーの失敗を特定して修復する

既定では、監査ログにはすべてのアクティビティが表示されます。 必要に応じて、アクティビティ フィルター を開いて活動を絞り込みます。 条件付きアクセスの監査ログ アクティビティの一覧については、Microsoft Entra監査ログ アクティビティに関する記事Entra 条件付きアクセスのドキュメントを参照してください。

  1. 各タブの下のアクティビティを確認して、Copilot Studioの条件付きアクセス ポリシーの失敗をトリガーしたアクティビティを見つけます。

  2. エントリを選択して [ アクティビティの詳細] パネルを開き、[ 条件付きアクセス ] タブに移動します。問題をトリガーした関連付けられたポリシーが、ポリシーの結果として実行されたアクション ( ブロックなど) と共に一覧表示されます。

関連付けられているポリシーを特定したら、トラブルシューティングを行って、何を行う必要があるかを判断します。 たとえば、ポリシーを使用してエージェントの対話をブロックしたり、ポリシーのスコープを変更したり、ポリシー自体を変更または無効にしたりすることができます。

Microsoft Entra 条件付きアクセスドキュメントの次の記事では、問題を解決するために Entra で実行できる次の手順について詳しく説明しています。