Microsoftは、AIエージェントを安全に実行する管理型クラウドPC環境「Windows 365 for Agents」を発表した。Microsoft Entra・Intune・Defender・Purview・Agent 365と統合し、人間の従業員に適用してきたのと同じセキュリティ統制を、業務を代行するAIエージェントにも拡張できる仕組みだ。

Windows 365 for Agentsとは何か

本番運用フェーズに入ったAIエージェントは、ローカルPCや共有仮想マシン、管理の行き届かないクラウド環境で動くことが多く、ID管理・ポリシー適用・監査の一貫性を保つのが難しかった。Windows 365 for Agentsはエージェント専用の「Cloud PC」を用意することでこれに応える。人間向けのWindows 365と同様、Entra参加・Intune登録済みの管理対象デバイスとしてエージェントを稼働させる発想だ。

セキュリティの核となる仕組み

核となるのが、エージェントごとに割り当てられる独立ID(Agent ID)だ。人間のアカウントとは切り離され、エージェントの「雇用」と同時にEntraに一意のIDが自動発行される。操作はすべて特定のエージェントに紐づき権限を厳密にスコープでき、Entra Conditional Accessと組み合わせればコンプライアンス要件を満たしたCloud PCからしかリソースにアクセスできないよう強制できる。

Cloud PC自体は隔離された企業管理下の環境で稼働し、人間との混在によるアカウント越境や権限昇格リスクを構造的に排除する。Entra参加・Intune登録済みのため、人間の従業員と同じセキュリティベースラインとコンプライアンスポリシーをプロビジョニング時点から適用できる。ネットワークの出入り口にはID主導型のセキュアWebゲートウェイMicrosoft Entra Global Secure Access(GSA)が入り、Webフィルタリングや脅威対策をエージェント通信にも適用する。

さらにMicrosoft Agent 365との統合でガバナンスと可視性を確保する。Windows 365 for AgentsはAgent 365上でMCP(Model Context Protocol)サーバーとして公開され、テレメトリはMicrosoft DefenderのAIエージェントインベントリや脅威検知、Microsoft PurviewのDSPM for AI・DLPに流れ込む。エージェントが「何にアクセスし何を扱ったか」を人間と同じ枠組みで追跡できる。

実務への影響

日本企業の多くはRPAやローカルスクリプトの延長線上でAIエージェントの実験的導入を進めてきたが、実運用フェーズでは「誰が」「どの権限で」「どこから」エージェントを動かしたか説明できないことが監査や内部統制上の大きな穴になる。Windows 365 for Agentsのような専用実行基盤は、この説明責任のギャップを埋める現実的な選択肢だ。

IT管理者にとって重要なのは、新しい管理体系をゼロから作らなくてよい点だ。既存のConditional AccessポリシーやIntuneのコンプライアンスベースライン、Purviewの機密ラベル・DLPルールをそのままエージェントにも適用拡張できる。人間向けに整備してきたゼロトラスト基盤への投資が、そのまま活きる設計だ。なおEntra・Intune・Defender・Purview・Agent 365には個別のライセンス要件があり、導入前にコストと契約範囲の確認は必須だ。

筆者の見解

エージェントのID(Agent ID)を人間から切り離して管理する設計思想は、Non-Human Identity(NHI)管理の実践そのものであり、素直に評価したい。NHIを統制できなければ「人間が確認しないと動かせない」ボトルネックが残り、自動化は掛け声だけで終わる。エージェントに個別のライフサイクル管理とロールベースアクセス制御を与える方向性は、AI活用を本気で広げるうえで避けて通れない一歩だ。

ネットワーク層でも、Global Secure AccessによってID主導のゼロトラストをエージェント通信にまで広げた点は評価できる。境界防御やVPN頼みのモデルはとっくに限界を迎えており、常時稼働する非人間の通信こそID・デバイス・ネットワークの3層で見る発想が要る。

一方で気になるのは、エージェント専用Cloud PCの権限が「常時オン」のまま運用されないかという点だ。特権アカウント管理では常時アクセス権の付与こそ最大のリスクであり、Just-In-Timeでの権限昇格が本来あるべき姿。エージェントが増えるほど常時稼働する高権限アカウントがなし崩し的に量産される懸念は残る。権限をタスク単位で必要最小限かつ時間制限付きに絞り込む仕組みまで踏み込めるかが次の見どころだ。

とはいえ、既存の統合プラットフォームにそのまま乗せられる設計は、部分最適の寄せ集めになりがちなエージェント基盤の中では正攻法だと思う。Microsoftを応援する立場から言えば、この分野は正面から勝負できる強みのはずで、あとは企業がどこまで安全に、現場の負担なく使い倒せるかにかかっている。


出典: この記事は Windows 365 for Agents: A secured execution environment for AI agents の内容をもとに、筆者の見解を加えて独自に執筆したものです。