SE の雑記

Agent 365 のエージェントの可観測性についてのメモです。

Agent 365 というタイトルで書いていますが、2026/04/17 ではエージェント ID が付与されていないエージェントでも同様の考え方になるのではと思っています。

Agent 365 の可観測性

Microsoft Agent 365 の概要 に記載されていますが、Agent ３６５ の特徴の一つとして可観測性があります。

この可観測性について、調査をする際には次のドキュメントを起点とするとよいのではないでしょうか。

• 可観測性
• エージェントの可観測性

機能面で確認する際にポイントとなるのが エクスポートされたログを表示するための前提条件 に記載されている次の内容となると考えています。

Microsoft PurviewまたはMicrosoft Defenderでエージェント テレメトリを表示する前に、次の前提条件が満たされていることを確認します。

• Microsoft Purview: 組織の監査を有効にする必要があります。 手順については、「 監査のオンとオフを切り替える」を参照してください。
• Microsoft Defender: CloudAppEvents テーブルにアクセスするために、高度なハンティングを設定する必要があります。 詳細については、 高度なハンティング スキーマの CloudAppEvents テーブルを参照してください。

Agent 365 の可観測性として、収集された情報はどこを見ればよいかというのが上述の記載となりますが、具体的な機能としては次の内容となるかと思います。

• Microsoft Purview
• 監査ログ アクティビティ
• Microsoft Purview を使用して、Microsoft Agent 365のデータ セキュリティ & コンプライアンスを管理する
• Microsoft Defender
• Microsoft Defenderを使用してエージェントを監視する

Microsoft Purview

Purview の観点では次の二つの機能が基本的な可観測性として利用できるのではないでしょうか。

• 監査ログ
• アクティビティ エクスプローラー

Purview の 監査ログ では、「Agent 365 アクティビティ」をはじめとして、エージェントの呼び出しについての監査ログがサポートされていますので、監査ログ経由でエージェントのアクセスを確認することができます。

また、Purview の DSPM (データセキュリティ態勢管理) のアクティビティ エクスプローラーでは「AI アクティビティ」がサポートされており、こちらでもエージェントの挙動を確認することができます。

Microsoft Defender

Defender の観点では、次の機能が基本的な可観測性として利用できるのではないでしょうか。

• 高度な追求

Defender の 高度な追求 では XDR / Defender for Cloud App を有効にすることで次のテーブルの情報の取得が行われます。

• CloudAppEvents
• AIAgentsInfo

これらのテーブルのデータに情報が格納されているとエージェントの挙動を KQL で確認できます。

CloudAppEvents    
// | where ActionType in ("InvokeAgent", "InferenceCall", "ExecuteToolBySDK", "ExecuteToolByGateway", "ExecuteToolByMCPServer")
| where Timestamp >= ago(2d) 
| extend  jsonData = parse_json(RawEventData)
| extend workload =  jsonData.Workload, agentName = jsonData.AgentName, agentId = jsonData.AgentId, AgentBlueprintId = jsonData.AgentBlueprintId
| where workload  == 'Agent365'
| project-away ApplicationId, AppInstanceId, IsAdminOperation, IsAnonymousProxy, CountryCode, City, ActivityType
| sort by Timestamp desc

OpenTelemetry (OTel)

こちらは、Agent 365 SDK で開発をする際の拡張となりますが、Agent 365 SDK では、OTel を使用した可観測性に関する情報のエクスポートもサポートされています。

標準的には、Agent 365 Exporter を利用するのかと思いますが、設定によっては OTLP Exporter を使用することもできますので、OTLP (OpenTelemetry Protocol) をサポートする任意の監視基盤に対してエージェントの可観測性の情報を連携するということも可能となっているようです。

Azure の場合、OTel Collector を使用して OTLP データをAzure Monitorに取り込む (プレビュー) のような方法で、OTLP のネイティブインジェストがサポートされています。

SDK で標準で対応している認証が、ヘッダー情報を使用した認証となっているようで、Azure Monitor に対して OTLP で情報を連携したい場合には、認証回りをラップしてエージェントのトークンでアクセスできるようにするか、OTel コレクター経由でのデータ連携が必要となりそうですが、OTelResources をはじめとしたテーブルにデータを連携するということは技術的に可能なようでした。

上記の内容は、「基本的な可観測性」になると思います。

これ以外にも様々な観点でエージェントの情報を取得できると思いますが、「ファーストステップ」としてはこれらの情報を確認してみるとよいのではないかと思いました。