設定エージェント設計図

重要

Microsoft エージェント 365 にいち早くアクセスするには、Frontier プレビュー プログラムの一部である必要があります。 フロンティアは、Microsoftの最新の AI イノベーションと直接接続します。 Frontier のプレビューは、お客様の契約書に記載されている既存のプレビュー利用規約に従います。 これらの機能は現在開発中であるため、提供状況や機能は今後変更される可能性があります。

エージェントの設計図は、エージェントのアイデンティティ、権限、インフラストラクチャ要件を定義します。 このエージェント設計図からすべてのエージェントインスタンスを作成します。

エージェント365 アイデンティティの詳細については、「 エージェント365 アイデンティティ」をご覧ください。

前提条件

開始する前に、次の前提条件を満たしていることを確認してください。

  1. Agent 365 CLI - Agent 365 CLI インストールを参照してください。

  2. 必要なアクセス許可:

    • 次のいずれかのロールを持つ有効なテナント ユーザー:
      • グローバル管理者
      • エージェント ID 管理者
      • エージェント ID 開発者
    • リソースを作成するアクセス許可を持つAzure サブスクリプションへのアクセス

  3. ワーキングディレクトリ内の有効な a365.config.json ファイルがあれば、次のステップで設定してください: Agent 365の設定

    ヒント

    エージェント (AI チームメイトではない) は、構成ファイルの作成をスキップできます。 a365 setup all --agent-name <name>を使用すると、CLI によってテナントとクライアント アプリが自動的に解決されます。 --agent-name を使用した構成不要のセットアップを参照してください。

エージェントブループリントを作成

a365 setup コマンドを使用してAzureリソースを作成し、agent ブループリントを登録します。 ブループリントは、エージェントの ID、アクセス許可、インフラストラクチャの要件を定義します。 この手順により、Azureでエージェントをデプロイして実行するための基盤が確立されます。

セットアップを実行する

セットアップコマンドを実行してください:

a365 setup -h

コマンドにはさまざまなオプションがあります。 セットアップは a365 setup all を使えば一つのコマンドで全て完了できますし、より細かいオプションも選べます。

注意

a365 setup all はエージェント モードに既定で設定されます。 代わりに AI チームメイトを設定するには、 --aiteammate true渡します。

エージェントのセットアップ (既定):

# With a config file
a365 setup all

# Config-free — no a365.config.json needed
a365 setup all --agent-name <your-agent-name>

AI チームメイトのセットアップ:

a365 setup all --aiteammate true

セットアッププロセス全体は以下の操作を実行します:

  1. Azureインフラストラクチャを作成します(まだ存在しない場合):

    • リソース グループ
    • 指定された SKU を持つ App Service プラン
    • Azure のマネージド ID が有効な Web アプリ

  2. エージェント ブループリントを登録します:

    • Microsoft Entra テナントにエージェント ブループリントを作成します
    • Microsoft Entra アプリケーション登録を作成します。
    • 必要なアクセス許可を使用してエージェント ID を構成します
    • プラットフォームの管理性に必要なブループリントに managerApplications を設定します

    重要

    ブループリントは、プラットフォームで受け入れられる managerApplications 設定されている必要があります。 CLI によって自動的に設定されます。 この要件が導入される前に既存のブループリントが作成されている場合は、それを削除して a365 setup all をもう一度実行するか、Graph APIを使用して手動で修正します。

  3. API のアクセス許可の構成:

    • Microsoft Graph API スコープを設定する
    • メッセージング ボット API のアクセス許可を構成する
    • エージェント インスタンスに継承可能なアクセス許可を適用します

  4. 構成ファイルを更新する:

    • 生成されたIDとエンドポイントを、ワーキングディレクトリ内の新しいファイルに保存します。 a365.generated.config.json
    • マネージド ID とリソース情報を記録する

注意

通常、セットアップには 3 ~ 5 分かかり、構成が自動的に a365.generated.config.json に保存されます。 グローバル管理者として実行すると、CLI で管理者の同意のためにブラウザー ウィンドウが開き、同意フローを完了して続行できます。 エージェント ID 管理者または開発者として実行した場合、ブラウザー ウィンドウは表示されません。CLI では、グローバル管理者が後で完了するための同意 URL が生成されます。

エージェント ID 管理者またはエージェント ID 開発者を使用したセットアップ

(グローバル管理者ではなく) エージェント ID 管理者またはエージェント ID 開発者として実行する場合、 a365 setup all はほとんどの手順を自動的に完了しますが、OAuth2 アクセス許可付与には別のグローバル管理者ステップが必要です。

どの手順が自動的に完了するか:

  • Azure インフラストラクチャ (リソース グループ、App Service プラン、Web アプリ)
  • エージェントブループリントの登録
  • エージェント インスタンスの継承可能なアクセス許可

グローバル管理者が必要な手順は次のとおりです。

  • Microsoft Graph、Agent 365 Tools、Messaging Bot API、Observability API、Power Platform API に対する OAuth2 委任されたアクセス許可付与 (AllPrincipals 同意)

管理者以外のアカウントを使用してセットアップを完了する方法:

# Step 1: Run setup as Agent ID Admin or Developer
a365 setup all
# Setup completes all steps it can. The CLI displays next steps
# showing how a Global Administrator can complete the OAuth2 grants.

# Step 2: Share the config folder with a Global Administrator.
# The folder contains a365.config.json and a365.generated.config.json.

# Step 3: The Global Administrator runs:
a365 setup admin --config-dir "<path-to-config-folder>"

または、グローバル管理者は、CLI が a365.generated.config.json (フィールド: combinedAdminConsentUrl) に保存する結合された同意 URL を開き、1 回のブラウザーアクセスで同意を付与することもできます。 詳細については、a365 setup adminを参照してください。

セットアップの確認

セットアップが完了すると、完了したすべての手順を示す概要が表示されます。 作成されたリソースを確認します。

  1. 生成された設定の検証:

    a365 config display -g

    期待出力には以下の臨界値が含まれます:

    {
"managedIdentityPrincipalId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"agentBlueprintId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"agentBlueprintObjectId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"agentBlueprintServicePrincipalObjectId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"agentBlueprintClientSecret": "xxx~xxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"agentBlueprintClientSecretProtected": true,
"botId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"botMsaAppId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"messagingEndpoint": "https://your-app.azurewebsites.net/api/messages",
"resourceConsents": [],
"completed": true,
"completedAt": "xxxx-xx-xxTxx:xx:xxZ",
"cliVersion": "x.x.xx"
}

    確認すべき重要なフィールド:

    フィールド 目的 チェックすべきこと
    managedIdentityPrincipalId Azure のマネージド ID 認証 有効なGUIDであるはずです
    agentBlueprintId あなたのエージェントのユニーク識別子 開発者ポータルおよび管理センターで使用されます
    agentBlueprintObjectId ブループリントのMicrosoft Entra ID
    messagingEndpoint メッセージ ルーティング Teams/Outlook がエージェントにメッセージを送信する場所
    agentBlueprintClientSecret 認証秘密 存在すべき(値がマスクされている)
    resourceConsents API のアクセス許可 Microsoft Graph、Agent 365 Tools、Messaging Bot API、Observability API などのリソースを含める必要があります
    completed セットアップ状況 そうあるべきだ true

    注意

    エージェント ID 管理者またはエージェント ID 開発者としてセットアップを実行した場合、resourceConsentsは空であり、グローバル管理者が OAuth2 アクセス許可の付与を完了するためにcompleted実行されるまで、falsea365 setup admin可能性があります。

  2. Azure portal で Azure リソースを確認

    または az resource list PowerShellコマンドを使うのも良いでしょう。

    # List all resources in your resource group
az resource list --resource-group <your-resource-group> --output table

    以下のリソースが作成されているか確認してください:

    • リソース グループ:

      • リソースグループへ行きます>リソースグループを選択してください
      • App Service プランと Web アプリが含まれているかどうか確認してください

    • App Service プラン:

      • App Services>App サービス プランに移動します
      • プランを見つけて、価格レベルが構成 SKU と一致するかどうかを確認する

    • Web アプリ:

      • App Services>Web Apps に移動します
      • Web アプリを見つけて、設定>ID>割り当てられたシステムに移動します
      • 状態がオンとなっていることを確認します
      • オブジェクト (プリンシパル) ID が managedIdentityPrincipalId と一致する点に注意してください

  3. Azure portalでMicrosoft Entraのアプリケーションを確認する:

    Azure Active Directory>アプリの登録>すべてのアプリケーションに移動します。

    • agentBlueprintId によるエージェント ブループリントを検索する

    • アプリケーションを開き、API 権限を選択します

    • 確認権限は緑色のチェックマークで付与されます:

      • Microsoft Graph (委任されたアクセス許可とアプリケーションのアクセス許可)
      • メッセージング ボット API のアクセス許可

    • すべての許可は「[あなたのテナント]に付与済み」と表示されています。

  4. 生成された構成ファイルを確認してください:

    すべての構成データを含む a365.generated.config.json という名前のファイルが必要です。

    Test-Path PowerShell コマンドを使用して、存在することを確認します。

    # Check file exists
Test-Path a365.generated.config.json
# Should return: True

    重要

    a365.config.jsonファイルとa365.generated.config.jsonファイルの両方を保存してください。 これらの値は展開やトラブルシューティングに必要です。

  5. Verify Web Appは管理IDを有効にしています:

    管理IDが有効かどうかを確認するには az webapp identity show コマンド を使ってください。

    az webapp identity show --name <your-web-app> --resource-group <your-resource-group>

    予想:

    {
"principalId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenantId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"type": "SystemAssigned"
}

  6. Microsoft Entra に登録されている Verify Agent ブループリントを確認する:

    Microsoft Entra 管理センターで、agentBlueprintIdを検索するか、名前で検索します。

    次のことを確認します。

    ✅ アプリ登録およびエンタープライズアプリケーションが表示されます
    ✅ アプリ登録ブループリントの API権限 タブにはすべての権限が表示されます
    ✅ステータスは「[あなたのテナント]に付与済み」と表示されています

さらなる助けは以下の通りをご覧ください:

エージェントのアクセス許可

アプリとエージェントがMicrosoft 365データ (ユーザー、メール、ファイル、Teams、エージェントなど) の読み取りまたは書き込みを行うには、アクセス許可Microsoft Graph明示的に付与する必要があります。 Microsoft Graphアクセス許可は、アプリまたはサービスがMicrosoft 365とMicrosoft Entra ID全体でMicrosoft Graph API を介してアクセスできるデータとアクションを制御する承認モデルです。

詳細情報: Microsoft Graphアクセス許可の確認

エージェント 365 エージェント インスタンスに対して Graph アクセス許可を使用するには、開発者がエージェント ブループリントでそれらを宣言する必要があります。 管理者が Microsoft 365 管理 Center でブループリントをアクティブ化すると、ポータルはブループリントの Graph のアクセス許可を確認し、管理者に同意を求めます。

Graph のアクセス許可によってエージェントがどのように有効にされるかを理解して検証するには、次の操作を行います。

ブループリントにアクセス許可を適用する

a365 config permissions を使用して必要なリソースのアクセス許可を構成に追加し、a365 setup permissions custom を実行して、Microsoft Entraのブループリントに適用します。

# Add resource permissions to config
a365 config permissions `
  --resource-app-id 00000003-0000-0000-c000-000000000000 `
  --scopes Mail.Read,Mail.Send,Chat.Read,Chat.ReadWrite,Chat.Create,User.Read

# Apply permissions to your blueprint
a365 setup permissions custom

カスタム アクセス許可の構成と削除の詳細については、 setup permissions customを参照してください。

次の手順

エージェントコードをクラウドにデプロイする:

Azure

Amazon Web Services(AWS)

Google Cloud Platform(GCP)

Microsoft 管理センターにエージェントを公開

トラブルシューティング

このセクションでは、エージェント設計図の設定時によくある問題について説明します。

ヒント

Agent 365トラブルシューティングガイドには、Agent 365 の開発ライフサイクルの各段階に対応した高レベルのトラブルシューティング推奨事項、ベストプラクティス、トラブルシューティングコンテンツへのリンクが含まれています。

これらの問題は、登録中に発生することがあります。

権限不十分エラー

症状:コマンド実行中に権限a365 setup不十分エラーが発生します。

Microsoft Entra テナントには、次のいずれかのロールが必要です。

  • グローバル管理者
  • エージェント ID 管理者
  • エージェント ID 開発者

Azure サブスクリプションの共同作成者または所有者アクセス。

Solution: Microsoft Entraに必要なアクセス許可があることを確認します。

注意

エージェント ID 管理者ロールまたはエージェント ID 開発者ロール (グローバル管理者ではない) がある場合でも、 a365 setup all は成功しますが、OAuth2 アクセス許可の付与はスキップされます。 セットアップが完了したら、グローバル管理者が a365 setup admin 実行して残りの許可を完了する必要があります。 このワークフローは、エージェント開発者とグローバル管理者が異なるユーザーである組織に必要です。

Azure CLI認証がない

症状: 認証エラーでセットアップが失敗します。

Solution: Azureに接続していることを確認し、アカウントとサブスクリプションを確認します。

# Authenticate with Azure
az login

# Verify correct account and subscription
az account show

資源はすでに存在します

症状: リソース グループ、App Service プラン、または Web アプリの Resource already exists エラーでセットアップが失敗します。

ソリューション: 次のいずれかのソリューションを選択します。

  • 既存のリソースを活用してください

    リソースが存在し、それを使いたいなら、設定に合っていることを確認してください。 az resource listPowerShellコマンドを使ってください。

    az resource list --resource-group <your-resource-group>

  • 競合するリソースを削除してください

    a365.config.jsonでリソース グループを削除するか、リソースの名前を変更して、セットアップを再実行します。

    az group delete PowerShell コマンドを使用して、リソース グループを削除します。

    # WARNING: This command deletes all resources in it
az group delete --name <your-resource-group>

  • クリーンアップコマンドを使って新たにスタートを切る

    cleanup コマンドを使用してエージェント 365 のすべてのリソースを削除し、a365 setup all コマンドを使用してセットアップを再実行します。

    Warnung

    a365 cleanupの実行は破壊的です。

    a365 cleanup
a365 setup all

症状: セットアップ中にブラウザー ウィンドウを開いたが、同意を完了せずにブラウザー ウィンドウを閉じたか、セットアップが完了したが、OAuth2 アクセス許可付与は保留中のままです。

ソリューション: ロールに基づいて選択します。

  • グローバル管理者: a365 setup all をもう一度実行します。 CLI は管理者の同意を求めます。 表示されるブラウザー ウィンドウで同意フローを完了します。

  • エージェント ID 管理者または開発者: OAuth2 の許可を直接完了することはできません。 「ハンドオフ」ワークフローを使用します。

    # Option 1: Global Admin runs setup admin
a365 setup admin --config-dir "<path-to-config-folder>"

# Option 2: Global Admin opens the combined consent URL
# Find the URL in a365.generated.config.json (combinedAdminConsentUrl field)
a365 config display -g

構成ファイルが欠落または無効

症状: セットアップが「設定が見つかりません」または検証エラーで失敗します。

Solution:

  1. a365.config.jsonファイルが存在するか確認してください。
  2. a365の設定表示コマンドを使って現在の構成を表示します。
  3. 見つからないか無効な場合は、 a365 config init コマンドを使用して再初期化します。
# Verify a365.config.json exists
Test-Path a365.config.json

# Display current configuration
a365 config display

# If missing or invalid, re-initialize
a365 config init

セットアップは完了しますが、リソースは作成されません

Symptom: セットアップ コマンドは成功しますが、Azureリソースは存在しません。

Solution:

  1. a365 config display -g コマンドを使用して、作成されたリソースを確認します。
  2. az resource list コマンドを使用して、リソースAzure存在するかどうかを確認します。
  3. リソースがない場合は、a365 setup all コマンドを使用してセットアップ出力でエラーを確認し、セットアップを再実行します
# Check created resources
a365 config display -g

# Verify Azure resources exist
az resource list --resource-group <your-resource-group> --output table

# If resources missing, check for errors in setup output and re-run
a365 setup all

エージェント ブループリントが Microsoft Entra に登録されていない

Symptom: セットアップは完了しますが、Microsoft Entra 管理センターにエージェントブループリントが見つかりません。

Solution:

  1. a365 config display -g コマンドを使用して、生成された構成からブループリント ID を取得します。

    a365 config display -g
# Look for: agentBlueprintId

  2. Microsoft Entra 管理センターで検索:

    1. 次に進む: Microsoft Entra 管理センター
    2. アプリの登録>All applications に移動します。
    3. agentBlueprintIdを探してください。

  3. 見つからない場合は、 a365 setup all コマンドを使用してセットアップを再実行します。

    a365 setup all

API権限が付与されていません

Symptom: セットアップは完了しますが、Microsoft Entraではアクセス許可は "付与されていません" と表示されます。

Solution:

  1. Microsoft Entra 管理センター を開きます。

  2. エージェント ブループリント アプリの登録を見つける。

  3. API アクセス許可 に移動します。

  4. 管理者の同意を与えること:

    1. [Your Tenant]の管理者同意を付与を選択します。
    2. アクションを確認します。

  5. すべてのアクセス許可に緑色のチェックマークが表示されていることを確認します。

管理IDが有効になっていません

症状: Web アプリは存在しますが、マネージド ID は有効になっていません。

Solution:

  1. az webapp identity show コマンドを使用して、マネージド ID の状態を確認します。
  2. 有効になっていない場合は、 az webapp identity assign コマンドを使用して手動で有効にします。
  3. az webapp identity show コマンドを使用して有効になっていることを確認します。
# Check managed identity status
az webapp identity show --name <your-web-app> --resource-group <your-resource-group>

# If not enabled, enable it manually
az webapp identity assign --name <your-web-app> --resource-group <your-resource-group>

# Verify it's enabled
az webapp identity show --name <your-web-app> --resource-group <your-resource-group>

セットアップに時間がかかりすぎるか、応答を停止する

症状: セットアップコマンドが10分以上実行されずに完了しません。

Solution:

  1. 全体管理者として実行している場合は、ブラウザー ウィンドウが管理者の同意を待っているかどうかを確認します。 同意フローを完了して、セットアップのブロックを解除します。

  2. セットアップが本当に応答を停止する場合は、キャンセルして (Ctrl+C) し、作成された内容を確認します。

    # Check generated config
a365 config display -g

# Check Azure resources
az resource list --resource-group <your-resource-group>

  3. クリーンアップして再試行します。

    a365 cleanup
a365 setup all

構成不要のエージェントをクリーンアップする

症状:a365 setup all --agent-name <name>を使用してエージェントをプロビジョニングし、削除する必要がありますが、a365.config.json ファイルがありません。

ソリューション:a365 cleanup --agent-nameを使用して、構成ファイルなしでエージェントを削除します。 CLI は、ブートストラップのセットアップ中に書き込まれたグローバルに生成された構成からリソース ID を読み取ります。

a365 cleanup --agent-name <your-agent-name>

ヒント

認証時にコマンドがストールすると、自動的にデバイス コード フローにフォールバックします。 ターミナルに出力された指示に従って、サインインを完了します。

グローバルに生成された構成 (CLI の再インストール後など) がなくなった場合は、手動で作成した最小限の a365 cleanupa365.config.json を使用するか、Azure portal および Microsoft Entra 管理センター を介して直接リソースを削除します。

Teams で最初のメッセージを送信できない

症状: エージェント インスタンスをプロビジョニングした後、エージェント マネージャーにウェルカム メッセージとしてメッセージを送信することはできません。

ソリューション: 新しいチャット オブジェクトを作成するには、[Chat.Create][perm-chatcreate] アクセス許可が必要です。 1 対 1 のチャットが既に存在する場合、この操作は既存のチャットを返し、新しいチャットは作成しません。

  • 実装するには、 ブループリントの継承可能なアクセス許可を構成 して、 Chat.Create スコープを含めます。
  • エージェント インスタンスのプロビジョニング後に送信する Teams チャット メッセージを構成します。
  • ブループリントから新しいエージェント インスタンスを作成し、最初の実行メッセージをテストします。
  • Last updated on