Copilot Studioとは何か——誰もがAIエージェントを構築できる新時代のプラットフォーム

Microsoft Copilot Studioは、プログラミングの専門知識がなくてもAIエージェントを構築できる、マイクロソフトのローコード開発基盤である。公式ドキュメントは「エージェントとエージェントフローを構築するためのグラフィカルなローコードツール」と定義しており、2023年11月のMicrosoft Igniteで、チャットボット作成ツール「Power Virtual Agents」を発展統合する形で登場した。作りたい業務を自然言語で説明するとエージェントの指示文・ナレッジ・ツール構成の雛形が生成され、1,400を超えるコネクタで社内システムやSaaSに接続し、Webサイト、Microsoft Teams、モバイルアプリ、SharePoint、さらには電話(音声)まで多チャネルに公開できる。イメージとしては、総務部門が「出張旅費の規程に答え、申請フォームへの転記まで行うエージェント」を、情報システム部門が「パスワードリセットの一次対応を行い、解決しなければServiceNowに起票するエージェント」を、営業部門が「CRMから顧客履歴を引いて訪問前ブリーフィングを作るエージェント」を、それぞれ画面上の操作と日本語の指示だけで組み立てられる世界だ。
2025年以降は「人が話しかけると答える」対話型から、「人がいなくても動く」自律型へと守備範囲が広がった。会話の意図を汲んでトピックやツールを動的に組み合わせる生成オーケストレーションが2025年3月に一般提供(GA)となり、メール受信などのイベントをトリガーに計画・実行する自律エージェント、画面を見てマウスとキーボードを操作するUI自動化「computer use」(2026年5月GA)、A2Aプロトコルによる複数エージェント連携(2026年4月GA)、北米ではDynamics 365 Contact Center経由のリアルタイム音声エージェント(2026年5月GA)までが実装された。2026年6月には、オーケストレーションランタイムを刷新しSkills(再利用可能な指示セット)とMemory(ユーザーごとの永続記憶)を備えた「新しいCopilot Studio」がproduction-ready previewとして公開され、マイクロソフトは新ランタイムについて評価スコアで約20%の向上、トークン消費で約50%の削減を掲げている。
普及の実勢は公式数値が物語る。Build 2025(2025年5月)時点で利用組織は23万を超え、Fortune 500の90%が利用、直前四半期にはSharePointとCopilot Studioで100万超のカスタムエージェントが作成された。2026年1月29日のFY26第2四半期決算では「Fortune 500の80%超がCopilot StudioまたはAgent Builderでアクティブなエージェントを保有する」と更新され、日本でも日本マイクロソフトの岡嵜禎執行役員常務が「日経225企業の85%がCopilotを導入済み」と語る(クラウドWatch、2026年1月5日)。一方で同社セキュリティ部門は2026年2月10日のブログで「従業員の29%が会社非公認のAIエージェントを業務に使っている」という調査結果を公表しており、「作れる人」が爆発的に増えたことが、そのまま本稿の主題であるガバナンス問題の出発点になっている。
料金は2025年9月1日に共通単位が「メッセージ」から「Copilot Credits」へ改称された(数量・レートは据え置き)。プリペイドパックは月額200ドル、日本の公式価格では月額2万9,985円で25,000クレジットをテナント全体で共有し、Azureサブスクリプションに紐づける従量課金なら1クレジット0.01ドル(約1.5円)、1年前払いのプリパーチェスなら最大20%引きとなる。消費レートは、シナリオ実行のクラシック応答が1クレジット、生成回答が2クレジット、自律トリガーやディープ推論を含むエージェントアクションが5クレジット、テナントグラフグラウンディング(Microsoft 365データの横断参照)が10クレジット、エージェントフローが100アクションあたり13クレジットで、推論モデル使用時には1,000トークンあたり10クレジットのプレミアムメーターが重なる。たとえば生成回答を3回返しコネクタアクションを1回実行する会話なら11クレジット、従量課金で約0.11ドル(約17円)という計算になる。重要なのは、Microsoft 365 Copilotライセンス(1ユーザー月額30ドル、日本では4,497円)を持つユーザーが社内エージェントを使う分には追加課金が発生しない点と、プリペイド容量の125%に達するとカスタムエージェントが停止する点で、コスト管理自体がガバナンス項目の一つになっている。
効果の実例も揃ってきた。マッキンゼーはクライアント受け入れ業務のエージェントでリードタイム90%削減の可能性を示し、トムソン・ロイターは法務デューデリジェンスの作業を最低50%短縮、ウェルズ・ファーゴは行員3万5,000人が使う手順検索を10分から30秒に縮めた。国内でも、SCSKがライセンス7,000を展開しCopilot Studioで約3カ月に提案書レビューなど3つの社内エージェントを開発して外販化を進め、オービックビジネスコンサルタント(OBC)はサポート業務AIの内製で運用コストを約半分にし、ソフトバンクは約7,000名へ導入した2カ月後に利用率58%を達成しFAQエージェントをCopilot Studioで構築した。こうした成功例と前述の「野良エージェント」の間に横たわるのが、以降で述べる統制設計である。


Azure AI FoundryあらためMicrosoft Foundryとの役割分担——プロ開発向け基盤とローコードツールの連携シナリオ

Copilot Studioを語るうえで欠かせない兄弟製品が、プロ開発者向けの「Azure AI Foundry」である。2025年11月18日のIgnite 2025で「Microsoft Foundry」へ改称され、2026年1月発効のMicrosoft製品条項で正式化された。OpenAI、Anthropic、xAI、Meta、Mistral AIなど11,000を超えるモデルのカタログ、エージェント実行基盤のFoundry Agent Service(Build 2025でGA、時点で1万超の組織が利用)、評価・監視・トレースの管理機能を持つ、コードファーストの「AIアプリとエージェントの工場」だ。サティア・ナデラCEOはFY26第2四半期決算で「FoundryとCopilot Studioをアプリとエージェント構築のハブに位置づける」と述べており、両者は競合ではなく分業の関係にある。
使い分けの目安は明快で、業務部門やIT部門が数日から数週間でMicrosoft 365やTeamsに統合された社内エージェントを出したいならCopilot Studio、データサイエンティストやエンジニアが独自モデル・複雑なオーケストレーション・厳密な性能要件を作り込むならFoundryである。ガバナンスの観点では「Copilot Studioは統制の器が最初から付いてくる(Power Platform管理センター、DLP、監査が標準)」のに対し、「Foundryは自由度が高いぶんAzureのガードレールを自前で組む」という違いになる。
連携シナリオは2026年に入り実用段階に達した。第一に「Bring Your Own Model(BYOM)」で、Foundryでデプロイした独自モデル——たとえば自社の業界用語や過去のQA資産でファインチューニングした応答モデル——をCopilot Studioのプロンプトビルダーや生成回答ノードから呼び出せる(エージェントの中枢であるプライマリモデルはBYOM対象外で、BYOMモデルにはコンテンツモデレーション設定が適用されない点が管理上の注意点)。第二にマルチエージェント連携で、Copilot Studio製の受付エージェントが、Foundry製の専門エージェント(与信スコアリングや需要予測など)へ処理を引き渡す構成がプレビュー提供され、Microsoft 365 Agents SDKで書かれたプロコードエージェントへの接続もプレビュー中だ。第三に観測の統合で、Copilot Studioの分析画面にはFoundry製接続エージェントの呼び出し数と成功率が並び、後述するApplication Insightsの「Agents view」では両者のトレースを同じ画面で追跡できる。国内でも電通総研が2026年1月13日にFoundryを活用したAIエージェント構築支援サービスを開始し、Copilot StudioやSharePoint・Teamsとの連携構成を明記するなど、「Foundryを中枢に、Copilot Studioを現場の民主化レイヤーに」という二層アーキテクチャの提案が定着しつつある。

最新のAIモデル選択肢——OpenAIのGPT-5からClaude Sonnet 4.5、Llamaまでを自在に使い分ける

Copilot Studioのモデル選択は、エージェントの頭脳にあたるプライマリモデル、難問向けのディープ推論、生成回答ノード、プロンプトビルダーという4カ所で個別に行える。既定のプライマリモデルは2025年10月末のGPT-4o引退後、現在もGPT-4.1で、GPT-5 Chatは2025年11月24日に欧米でGA、2026年3月にグローバルGA(米政府クラウドを除く)となった。米国の早期リリース環境ではGPT-5.3 Chat、GPT-5.4 Reasoning、GPT-5.5 Reasoningが実験的に提供されている。
Anthropicのモデルは2025年9月24日にClaude Sonnet 4とClaude Opus 4.1が初めて追加され(既定はOpenAIのまま)、同年11月24日にClaude Opus 4.5が実験的モデルとして続き、2026年3月にはClaude Sonnet 4.5、Claude Sonnet 4.6、Claude Opus 4.6がグローバルGAに到達した。現在はClaude Opus 4.7が実験的提供中で、2026年5月末に登場したClaude Opus 4.8はMicrosoft 365 CopilotやGitHub Copilotに続きCopilot Studioへ段階展開中とアナウンスされている。このほかxAIのGrok 4.1 Fast(実験的。マイクロソフト自身が「他モデルよりアライメントが低い」と安全性警告を明記する異例の扱い)と、2026年5月追加のMistral Medium 3.5が選べる。LlamaやDeepSeekはプライマリモデルの選択肢にはなく、Foundryのカタログ(Llama-4-Maverickなど)をBYOMでプロンプトや生成回答に接続する形で利用する。なお2026年6月30日発表のClaude Sonnet 5はMicrosoft FoundryではすでにGAだが、7月上旬時点のCopilot Studio公式モデル表には掲載されていない。
ガバナンス上の核心は「モデルがどこで動くか」である。ここには3段階の変遷があった。2025年9月の初回導入時、ClaudeはAnthropicのインフラ(Microsoft環境外)で実行されるクロスクラウド構成で、管理者の明示的なオプトインが必要だった。次いで2025年12月8日、AnthropicをMicrosoftの「サブプロセッサー」とする設定がMicrosoft 365管理センターに現れ、2026年1月7日から商用テナントの大半で既定オンに変わった(EU・EFTA・英国は既定オフのオプトイン制)。これによりClaude利用にもMicrosoft製品条項・DPA・著作権補償(Customer Copyright Commitment)が適用されるようになったが、EUデータバウンダリーの対象外である点は変わらず、Copilot StudioのドキュメントもClaudeを「クロスジオ(リージョン外処理があり得る)」と表記し続けている。そして2026年6月29日に「Claude in Microsoft Foundry」がGAとなり、Claude Opus 4.8、Claude Sonnet 5、Claude Haiku 4.5にはプロンプトも生成結果もAzure内に留まる「Azureホスト版」が登場した。ただしM365 CopilotやCopilot Studio内部のClaude推論が物理的にAzureへ移ったかは公式に明言されていない。最上位のClaude Fable 5とClaude Mythos 5は「データ保持付きAnthropicプレビューモデル」という区分で、テナント既定オフの明示オプトイン制だ。
この多モデル化の背景には、2025年11月18日に発表されたMicrosoft・NVIDIA・Anthropicの戦略提携がある。AnthropicはAzureのコンピュート容量を300億ドル(約4.7兆円)分購入することにコミットし、MicrosoftはAnthropicへ最大50億ドル(約7,800億円)、NVIDIAは最大100億ドル(約1.6兆円)を出資、Claudeは3大クラウドすべてで使える唯一のフロンティアモデルとなった。もっとも、選択肢の拡大は統制の複雑化と表裏一体である。アナリストのDirections on MicrosoftはAnthropicモデル追加を「選択肢と同時にリスクも増やす」と論評しており、実務では、外部モデルの利用をPower Platform管理センターとMicrosoft 365管理センターの両方で許可制とし、後述する環境グループのルール「外部モデル」「プレビュー・実験的AIモデル」で環境単位に禁止する、という多層の締め方が基本になる。


開発体験を加速するClaude Code——エージェント定義ファイルをエンジニアが高度に編集する手法

ローコードツールであるCopilot Studioに、2026年に入って「コードファースト」の第二の入口が正式に開いた。転換点は2026年1月14日にGAとなった「Microsoft Copilot Studio extension for Visual Studio Code」である。この拡張を使うと、エージェント定義の一式——メイン定義のagent.mcs.yaml、トピック群のtopics配下のYAML、コネクタアクション、トリガー、ナレッジ構成——をローカルフォルダにクローンできる。注目すべきは、Microsoft Learnの公式ドキュメントがその活用シナリオとして「GitHub Copilot、Claude Code、または好みのエージェントを使ってCopilot Studioのエージェント定義を作成・更新する」と、Anthropicのコーディングエージェント「Claude Code」を名指しで挙げていることだ。GA発表ブログにも「Claude Codeで新しいトピックの下書きやツールの更新、問題の迅速な修正を」と明記されており、AIコーディングツールでローコード製品の定義を編集する手法は、コミュニティの裏技ではなくベンダー公認のワークフローになった。
論理的な作業手順はこうなる。まずUIまたはPower Platform CLIのpac copilotコマンド群(clone/init/pull/push/pack)でエージェント定義をローカルワークスペースに取得する。次にリポジトリ直下へCLAUDE.mdのような規約ファイルを置き、公式ドキュメントが示す命名規約(ケバブケースのファイル名、camelCaseの変数名、種類サフィックス付きトピックファイル)や自社の設計方針・禁止コネクタを記述してAIに文脈を与える。そのうえでClaude Codeに「FAQ系トピック12本の文体を敬体に統一し、エスカレーション条件を共通トピックに切り出す」といった横断的なリファクタリングを指示し、拡張機能のIntelliSenseとスキーマ検証でエラーを潰してから環境へプッシュし、テストを経てGitへコミットする。ソース管理はDataverseのGit統合(Azure DevOps対応、2025年4月22日GA)が受け皿となり、Solution Checkerによる静的解析とPower Platformパイプラインを通じて開発→テスト→本番へゲート付きで昇格させる。GitHubリポジトリのネイティブ対応は2026リリースウェーブ1の計画機能として2026年8月のパブリックプレビューが予告されている。
マイクロソフト自身が周辺ツールも用意している。GitHub上の「skills-for-copilot-studio」(MITライセンスの実験的プロジェクト)は、Claude CodeやGitHub Copilot CLIに読み込ませるプラグインで、YAMLの作成・編集を担うauthor、公開エージェントをバッチテストするtest、設計レビューを行うadvisorといったサブエージェントを提供する。さらにpac CLIには組み込みMCPサーバーが搭載され、Microsoft LearnにはClaude Codeへ登録するためのコマンド(claude mcp add-jsonによるpac-cli登録)がそのまま掲載されている。自然言語で環境一覧や設定照会などのCLI操作を行えるため、エージェント定義の編集からALM操作までを一つの対話セッションで完結できる。
Claude Code自体のエンタープライズ適合も進んだ。MicrosoftとAnthropic双方の公式ドキュメントが「Claude Code on Microsoft Foundry」構成を解説しており、環境変数でFoundryリソースを指定しEntra ID認証を通せば、Azureのコンプライアンス境界・課金・RBACの内側でClaude Codeを実行できる。GitHub Actionsに組み込むCI構成やCLAUDE.mdによるプロジェクト規約の書き方までMicrosoft Learnがガイドしているのは、Microsoft中心の企業にとって導入障壁を大きく下げる材料だ。ガバナンスの観点で本質的なのは、エージェント定義がコード資産になったことで「差分レビュー」「プルリクエスト承認」「変更履歴の追跡」という成熟したソフトウェア統制がそのままAIエージェントに効くようになった点である。国内でも、日本マイクロソフト社員が公開した実験的MCPサーバーを使いCopilot Studio自体をコードエージェント化する検証記事がQiitaに登場する(2026年5月)など、コードファースト運用の知見が急速に蓄積している。なお公式の立場はあくまでツール中立で、GitHub Copilotでも同じワークフローが成立する。
データは「テナント内」で守られる——Microsoft 365の企業データ保護(EDP)による安全圏

エージェントに社内データを扱わせる際の大前提が、Microsoft 365の「Enterprise Data Protection(EDP、企業データ保護)」である。EDPとは単一の機能ではなく、データ処理追加条項(DPA)と製品条項に基づく管理策とコミットメントの総称で、①保存時・転送時の暗号化とテナント分離、②GDPR・EUデータバウンダリー・ISO/IEC 27018への準拠、③既存のアクセス権と秘密度ラベルの尊重・対話の監査、④プロンプトインジェクションや著作権リスクからの保護(Customer Copyright Commitment)、⑤プロンプトと応答を基盤モデルの学習に使わない、という5本柱からなる。Microsoft Entraアカウントでサインインしたユーザーには追加設定なしで適用され、画面上は緑の盾アイコンで示される。2025年1月15日に発表された無償のMicrosoft 365 Copilot Chatにも同じ保護が敷かれ、Copilot Studio製の従量課金エージェントを全社員の入口に置く際の土台となった。
Copilot Studio側のデータも同水準の契約で守られる。プロンプトと応答は他の顧客に提供されず、OpenAIなどサードパーティモデルの学習にも使われず、テナント管理者がオプトインしない限りマイクロソフトのモデル改善にも使われない。エージェント定義と会話記録はDataverseに保存され、データレジデンシーは日本を含む世界各ジオ(日本は東日本・西日本リージョン)を選択できる。Managed Environments環境では顧客管理キー(CMK)でエージェント定義・テレメトリ・会話データを自社鍵で暗号化でき、ISO 27001・27018、SOC、HIPAA、FedRAMPなど主要認証にも対応する。AIマネジメントシステム規格ISO/IEC 42001については、Microsoft 365 Copilotが2025年3月に認証を取得し、2026年5月のサーベイランス監査で認証範囲がCopilot StudioとCopilot Chatにまで拡大された。
ただし「テナント内で完結」という絵姿には正確な境界線がある。EDPの明文が適用されるのはM365 CopilotとCopilot Chatのプロンプト・応答であり、Copilot Studio自体は商用ライセンス契約(製品条項・DPA)で別途カバーされるという二層構造だ。エージェントとの対話ログはエンドユーザーのExchange Onlineメールボックスに記録されて監査やeDiscoveryの対象になる一方、サードパーティ製エージェントはそれぞれの利用規約とプライバシーポリシーに従う。さらに2026年5月29日版のEDPドキュメントは、AnthropicモデルがEUデータバウンダリーおよび国内処理コミットメントの対象外であることを明記している。つまり安全圏は「既定構成なら広い」が、モデルの選択、チャネルの選択、外部コネクタの接続によって境界は動く。この可動域を固定する装置が、次章からの環境分離・DLP・監査である。
AIガバナンスの柱(1)——環境分離とアクセス制御(RBAC)による厳格な利用制限

Copilot StudioのガバナンスはPower Platformの環境モデルの上に成り立つ。最初の急所は、テナント作成時から存在し全従業員がアクセスできる「既定環境」だ。ここに本番エージェントを置くことはマイクロソフト自身が非推奨としており、対策の第一歩は「環境ルーティング」の有効化である。Power Platform管理センターのテナント設定でこの機能をオンにすると、Copilot Studioを開いた新規メーカーは既定環境ではなく本人専用の開発者環境(自動的にManaged Environment化される)へ誘導され、セキュリティグループごとに振り分け先の環境グループを変えるマルチルール設定もできる。そのうえで、実験用の個人環境には「未認証エージェントの公開不可・大半のチャネルとコネクタをブロック」という厳格ルールを、共同開発環境には緩めのデータポリシーと厳格な運用ルールを、テスト・本番環境には審査を経た緩和を適用する——という「ゾーニング」が公式ガイダンスの推奨形だ。環境グループには2026年4月時点で23種類のルール(会話トランスクリプトへのアクセス、生成AI設定、外部モデルの可否、実験的モデルの可否、エージェント共有の制限、Viva Insightsとのデータ共有など)があり、グループに発行するとローカル管理者には変更できない形でロックされる。
アクセス制御はEntra IDとDataverseのロールで二重に絞る。エージェント作成者にはEnvironment Makerロール(かつてのBot Authorロールは非推奨化済み)、会話ログの閲覧にはBot Transcript Viewerロール、共同編集にはBot Contributorロールを、いずれもEntra IDグループ経由で付与するのが定石である。エージェントの共有は「編集者」と「閲覧者」に分かれ、編集者は個人単位でしか追加できずEnvironment Makerロールが必須、閲覧者としての公開はセキュリティグループや組織全体に広げられるがEntra ID認証によるサインインが前提となる。Managed Environmentsの共有制限ルールを使えば「編集者の追加を禁止」「閲覧者は個人のみ・上限N人」といった上限も環境単位で強制できる。さらにEntra IDの条件付きアクセスポリシーがトークン取得を拒否すればエージェントは会話を開始できず、2026年3月18日以降は新規エージェントに「Entraエージェント識別子」が自動発行される(プレビュー)ため、人間のIDと同じ土俵でエージェントのIDを管理する道筋も整い始めた。
見落とされがちな公式見解として、「エージェントの作成そのものは無効化できない」がある。Copilot StudioのセキュリティFAQは、作成を禁止するのではなくデータポリシーで会話を止めよと明言しており、統制の主軸は「作らせない」ではなく「勝手に動かさない・見える化する」に置かれている。疑わしいエージェントはPower Platform APIの検疫機能で即座に対話不能化でき(ユーザーからは見えるが応答しなくなる)、テナント内の全エージェントは管理センターのインベントリで棚卸しできる。インベントリには作成者、公開チャネル、認証モード、使用AIモデル、共有状況、使用コネクタ、検疫状態までが約20分以内の鮮度で並び、Microsoft 365管理センター側のエージェントレジストリでは組織に流通するエージェントの承認・ブロック・削除を行う。そして2026年5月1日には、Copilot Studio製・Microsoft製・サードパーティ製を問わずエージェントを「観察・統制・保護」する上位管理面「Microsoft Agent 365」が商用GAとなった。ライセンスはユーザー単位で、SAMexpertや国内解説メディアは月額15ドル(約2,300円)、Microsoft 365 E5にCopilot等を束ねた新SKU「Microsoft 365 E7」は月額99ドル(約1万5,000円)と報じている。
AIガバナンスの柱(2)——DLP(データ損失防止)ポリシーによるコネクタと外部連携の遮断

環境とIDで「誰がどこで作るか」を絞ったら、次は「エージェントが何に繋がれるか」をDLP(データ損失防止)ポリシーで制御する。Power PlatformのDLPは、各コネクタを「ビジネス」「非ビジネス」「ブロック済み」の3グループに分類し、異なるグループ間のデータ連携を禁止する仕組みで、2025年初頭からは全テナントで強制が既定となり、過去に認められていたエージェント単位の適用除外も廃止された。ポリシーはリアルタイムに強制され、違反があればメーカーとユーザーの双方にエラーが表示される。
Copilot Studioに固有の統制点は、専用の「コネクタ」としてDLPに現れる。もっとも重要なのが「Chat without Microsoft Entra ID authentication in Copilot Studio」のブロックで、これにより認証なしの匿名公開——社外の誰でも話しかけられる状態——をテナントから一掃できる。同様に、任意のWeb APIを叩けるHTTPリクエストノード(エンドポイントフィルタリングで特定URLのみ許可する中間解もある)、ドキュメント・公開Webサイト・SharePointとOneDriveという3系統のナレッジソース、Direct Line(デモサイトやカスタムWebサイト)、Teams+Microsoft 365、SharePoint、Facebook、WhatsAppといった公開チャネル、自律エージェントのイベントトリガー、スキル接続、Application Insights接続までが個別にブロックできる。生成AI機能そのものについても、テナント単位で「生成AIエージェントの公開」を無効化したり、米国外リージョンへの生成AIデータ移動を禁止したりするスイッチが別軸で用意される。MCP(Model Context Protocol)サーバーのツールもPower Platformコネクタとして扱われるため、コネクタのブロックがそのまま外部AIツール連携の遮断として機能する。
設定の流れは論理的にはシンプルだ。Power Platform管理センターの「セキュリティ」から「データとプライバシー」の「データポリシー」を開き、新規ポリシーを作成して適用環境を選ぶ(全環境に適用して新規環境へ自動適用させる設計が安全側)。コネクタ一覧から対象を検索してブロックに振り分けるか、エンドポイント制御対応コネクタなら許可・拒否のURLパターンを構成し、ポリシーを発行する。違反が発生すると、該当エージェントの編集画面にエラーバナーが出て違反明細をダウンロードでき、公開ボタンが無効化されるため「違反状態のまま公開」は起こらない。稼働中のエージェントも該当機能の利用時点でブロックされる。PowerShellでエラーメッセージに管理者の連絡先や社内申請ページへのリンクを差し込めるので、「なぜ使えないのか」をその場で案内し、例外申請のガバナンスプロセスへ誘導する運用が組める。なお従来型DLPの後継として、環境グループ単位で構成する「Advanced Connector Policies」もプレビューが始まっており、ポリシー体系は環境グループ中心へ寄っていく流れにある。
AIガバナンスの柱(3)——標準ダッシュボードを用いたセッション数と解決率のモニタリング

統制の第三の柱は「見える化」である。Copilot Studioの各エージェントには標準でアナリティクスページが付属し、2025年から2026年にかけて大幅に刷新された。現在はAIが要点を文章で示すSummary、主要指標のOverview、削減効果のSavings、独自指標のCustom metrics、品質深掘りのEffectiveness、利用状況のUseという構成で、会話型と自律型(イベントトリガー型)でビューが分かれる。データ反映は最大1時間の準リアルタイム、指標の保持は最大360日(セッション詳細は直近28日)だ。
指標の定義が明確なのがこのダッシュボードの価値である。セッションは、ユーザーがカスタムトピックやナレッジ、ツールを実際に呼び出すと「エンゲージ済み」に変わり、その割合がエンゲージメント率になる。会話の結末は4分類で、「解決」はユーザーが成功を確認したResolved confirmedと、未確認のままタイムアウトしたResolved impliedに分かれ、解決率はエンゲージ済みセッションに占める解決の割合として計算される。「エスカレーション」は業務ルールによる意図的なもの、失敗の積み重ねによる意図せざるもの、ユーザーが明示的に担当者を求めたものの3種類に分解され、どれが多いかで改善の打ち手(トピック追加か、応答品質か、導線設計か)が変わる。「放棄」は解決にもエスカレーションにも至らず30分でタイムアウトしたセッションだ。加えて5点満点のCSAT(顧客満足度)、応答ごとの高評価・低評価、生成AIが「答えられた質問と答えられなかった質問」の比率と回答品質のGood/Poor判定(Poorには理由が付く)、ナレッジソース別・ツール別の利用回数とエラー率、ユーザーの質問をAIがクラスタリングするThemesまで並ぶ。2026年4月には、自然言語で最大3つの業務固有指標(例:「解約の引き止めに成功した会話の割合」)を定義できるCustom metricsもプレビューが始まった。Savingsセクションでは「同じ作業を人手で行った場合の時間・コスト」を入力して削減効果を常時表示でき、金額換算を望まない企業は管理センターで金額表示だけを無効化できる。
権限設計も統制の一部である。2026年4月にGAとなったAnalytics Viewerロールを使えば、エージェントの編集権を渡さずに分析ページだけを業務部門の責任者へ開放でき、会話の中身(トランスクリプト)へのドリルダウンには別途Bot Transcript Viewerロールを要求する、という段階的な開示ができる。テナント全体を見る管理者には、Power Platform管理センターの「Copilotハブ」がクレジット消費量、直近28日のアクティブエージェント数、セッション成功率、上位10エージェントを提供する。2026年6月の新エージェント体験ではMonitorタブが加わり、セッション単位の状態(完了・失敗・進行中)、所要時間、使用ツール、フルトランスクリプトまで追える。さらに品質を「デプロイ前」に担保する仕組みとして、テストセットとAI採点によるエージェント評価が2026年3月にGAとなり、4月にはREST APIでCI/CDパイプラインから評価を実行できるようになった。Power CATチームのOSS「Copilot Studio Kit」を併用すれば、バッチテスト、人間の判断に合わせて採点基準を調整するルーブリック、1日2回自動集計され無期限保存できるConversation KPI、構成のアンチパターンを検出するAgent Review Tool、リスク閾値超過で自動起票するCompliance Hubまで揃う(公式サポート対象外のOSSである点は留意)。

Langfuse的な「深い追跡」の実現——Application Insightsと連携した詳細なトレースとデバッグ

LLMアプリの運用では、LangfuseやLangSmithに代表される「LLMオブザーバビリティ」——1つのリクエストをトレースとスパンに分解し、モデル入出力・トークン消費・ツール呼び出しを紐付けて追跡する手法——が標準になった。Copilot Studioの標準アナリティクスは集計値中心のため、「なぜこの会話でこの応答になったのか」を1件単位で解剖するには足りない。その穴を埋める公式の答えがAzure Application Insights連携である。なおCopilot StudioとLangfuseの公式統合は存在せず、製品内で構成できるテレメトリのエクスポート先はApplication Insightsのみだ。
接続は難しくない。AzureポータルでApplication Insightsリソースを作成して接続文字列を控え、Copilot Studioで対象エージェントの「設定」から「高度な設定」を開き、Application Insights欄に接続文字列を貼り付ける。このとき4つのスイッチ——ログ記録の有効化、会話詳細(ユーザー名・メッセージ本文・ツールの入出力)の記録、機微なアクティビティプロパティの記録、トピック内のノード実行イベントの記録——を用途に応じて選ぶ。本文を含む詳細ログは既定でオフであり、プライバシーの観点からデバッグ期間に限定してオンにするのが定石である。設定変更自体がPurviewの監査ログに記録されるため、「誰がいつ詳細ログを有効にしたか」も後から追える。
送信されるのはcustomEventsテーブルへのイベント群で、メッセージの送受信、トピックの開始・終了、アクション(コネクタ・フロー)呼び出し、生成回答イベント、そしてオプションのノード単位実行記録が含まれる。テストパネル由来の会話はdesignModeフラグで本番トラフィックから除外でき、KQLクエリで「日次ユニークユーザーの推移」「エラーコード別の発生頻度」「生成回答の成功・失敗とフィードバックの相関」などを自在に集計できる。ワークブックギャラリーには「Copilot Studio Dashboard」(プレビュー)が用意され、総会話数、レイテンシ、例外、ツール使用、トピック分析を一枚のダッシュボードで確認できる。
2026年はこの領域が一段と「エージェント標準」に近づいた年でもある。Azure MonitorのApplication Insightsに追加された「Agents view」(プレビュー)は、OpenTelemetryの生成AIセマンティック規約に基づき、Microsoft Foundry製・Copilot Studio製・サードパーティ製のエージェントを同じ画面で横断監視するもので、エージェント実行のトレース、生成AIエラー、トークン使用量とコスト分析のタイル、呼び出されたエージェントからLLM、実行ツールまでを物語風に辿る詳細ビューを提供する(Copilot Studio発のテレメトリでトークン粒度の項目がどこまで埋まるかは公式ドキュメントに明記がない)。さらにAgent 365は、Copilot StudioエージェントからSDK追加なしでOpenTelemetry準拠のスパン——エージェント呼び出し、出力メッセージ、ツール実行——を自動収集し、機微データを自動マスキングしたうえでMicrosoft 365管理センター・Defender・Purviewに数分で反映する。SOC(セキュリティ運用)側では、2026年2月にMicrosoft Sentinelの「Microsoft Copilot Data Connector」がパブリックプレビューとなり、監査ログ上のCopilot対話レコードを専用のCopilotActivityテーブルへほぼ継続的に取り込めるようになった。Langfuseとの差分を正直に言えば、任意のOTLPエンドポイントへのエクスポート、プロンプトのバージョン管理、本番トラフィックへの継続的なLLM-as-a-judge評価は依然として備わっていない。しかし「App Insightsでのトレース+テストセット型のエージェント評価+Agent 365の自動計装」という組み合わせで、専用ツールに迫る深度の追跡がMicrosoftスタック内で完結するようになった、というのが2026年時点の到達点である。
長期ログの保存と分析——DataverseからAzure Synapse Linkを用いた監査体制の構築

エージェントの会話はすべて、環境のDataverseにあるConversationTranscriptテーブルへ、Bot Framework Activityスキーマ準拠のJSONとして保存される(1レコード1MB超は自動分割、ユーザーIDはハッシュ化、SharePointナレッジ利用時の回答本文はREDACTED表記になるなどの仕様がある)。ここに監査体制上の最大の罠がある。既定では「1カ月より古いトランスクリプトを一括削除する」定期ジョブが有効で、会話の生ログは30日で消える。アナリティクスの集計値が360日残るのとは別の話であり、内部監査や当局対応で「そのときの会話原文」が必要になる企業は、保持設計を最初に決めておく必要がある。
保持期間の変更は管理画面の操作で完結する。Power Appsの詳細設定からデータ管理の「一括レコード削除」を開き、定期実行ジョブの一覧にある既定の削除ジョブをキャンセルしたうえで、対象テーブルをConversationTranscript、条件を「会話開始時刻が12カ月より古い」などに変えた新しい定期ジョブを作り直す、というのが公式手順だ。そもそも保存するかどうか自体も、Power Platform管理センターの環境設定(製品の機能設定にあるCopilot Studioエージェント欄)で「トランスクリプトをDataverseに保存するか」「メーカーに閲覧させるか」を環境単位で制御でき、環境グループのルールとして一括適用もできる。
30日を超える長期保存と本格分析の公式ルートが、Azure Synapse Link for Dataverseである。管理センターからストレージアカウント(Azure Data Lake Storage Gen2)を指定してConversationTranscriptテーブルの増分エクスポートを構成すると、会話ログがCommon Data Model形式でデータレイクに継続同期される。ここで重要な注意点が一つある。既定ではDataverse側の削除がレイクにもミラーされるため、30日で消える運用のままだとレイクのデータも消える。監査目的なら、同期を追記専用(append-only)モードにするか、定期スナップショットを別領域に確保する構成が必須だ。よりモダンな選択肢としては「Link to Microsoft Fabric」があり、Power Appsのテーブル画面から数クリックでDataverse環境をFabricワークスペースに接続すると、ETL不要のショートカットでLakehouse・SQLエンドポイント・Power BIセマンティックモデルが自動生成される(実体はdelta parquet形式のレプリカで、Dataverseのストレージ容量を消費する点がSynapse Linkとのトレードオフになる)。
分析の実装パターンとしては、マイクロソフトが参照アーキテクチャを公開している。新しいトランスクリプトの作成をトリガーにPower Automateフローを起動し、AI Builderでセンチメント、個人データ(PII)の混入、キーフレーズ、エスカレーション兆候、要約を抽出してDataverseに構造化保存し、Power BIで満足度トレンドや頻出インテントを可視化する、という流れだ。これにSynapse Link/Fabric上の長期データを組み合わせれば、「四半期ごとの解決率推移」「規程違反の疑いがある会話の抽出」といった監査レポートを自動化できる。なおTeamsやM365 Copilotチャネル経由の対話はユーザーのExchange Onlineメールボックスにも記録されるため、こちらはPurviewの保持ポリシー(Microsoft Copilot Experiencesロケーション)で保持・削除を制御し、監査ログ自体の保持はAudit Standardで180日、Premiumとアドオンで最長10年まで延長する、という三層(Dataverse・レイク・Purview)の保持設計が完成形となる。

Microsoft Purviewとの統合——機密情報(PII)の検出とコンプライアンス遵守の自動化

コンプライアンスの中枢であるMicrosoft Purviewは、Copilot Studioを一級市民として扱う。公式の対応表では、監査、データ分類、秘密度ラベル、DLP、Insider Risk Management、Communication Compliance、eDiscovery、データライフサイクル管理、Compliance Managerのすべてに対応が明記されている(Webサイトなど非Microsoftチャネルへ公開したエージェントのAI対話管理には従量課金の有効化が必要)。
まず監査。エージェントの作成、公開、共有、認証設定の変更、トピックの編集といった管理操作は、BotCreateやBotPublish、BotShare、BotAuthUpdateといったイベント名で全テナント既定で記録され、この収集は無効化できない。ユーザーとの対話はCopilotInteractionというレコード種別で統合監査ログに載り、どのエージェントか(AppIdentityがCopilot.Studio.で始まる識別子)、どのファイルにアクセスしたか、そのファイルの秘密度ラベルは何か、まで残る。特筆すべきは、クロスプロンプトインジェクション攻撃の検出フラグ(XPIADetected)やジェイルブレイク試行の検出フラグ(JailbreakDetected)がイベント属性として記録される点で、「エージェントを騙そうとした形跡」自体が監査証跡になる。プロンプトと応答の本文は監査イベントには含まれず、DSPM for AIを通じて権限者(Content Viewerロール保持者)だけが閲覧できる設計だ。
そのDSPM for AI(AI向けデータセキュリティ態勢管理)は、エージェント統制の「正面玄関」と位置づけられている。推奨事項からワンクリックで、①リスクの高いAI利用を検出してユーザーリスクスコアに反映するInsider Risk Managementポリシー、②機密情報や不適切コンテンツの共有を検出するCommunication Complianceポリシー、③ネットワーク経由でAIに渡る機密情報の検出、という3種のポリシーを展開できる。レポート画面では総対話数に対する機密情報を含む対話の比率がアプリ別に並び、Activity Explorerで個々のプロンプト・応答までドリルダウンできる。Ignite 2025では、ホスト場所を問わず全エージェントのリスクと機密データを可視化する「AI observability」を新しいDSPMプラットフォームに統合する方針が示され、2025年12月からプレビューが始まっている。
PII(個人識別情報)対策の実装は二方向ある。検出側は、Purviewの機密情報タイプ(SIT)とトレーニング可能な分類器がプロンプト・応答内のマイナンバー、クレジットカード番号、住所などを自動識別し、前述のレポートに集計する。予防側は秘密度ラベルで、SharePoint・OneDriveをナレッジソースにしたエージェントは既存のラベルと暗号化を尊重する——具体的には、暗号化ラベル付き文書は閲覧権限だけでなく抽出(EXTRACT)権限を持つユーザーへの回答にしか使われず、応答には参照ソース中で最も優先度の高いラベルが表示・継承される。ラベルベースのDLPポリシーで「社外秘ラベル付きコンテンツはエージェントに処理させない」という遮断も構成できる。法対応の局面では、eDiscoveryでアイテムクラス(IPM.SkypeTeams.Message.Copilot.Studio.で始まる識別子)を条件指定してエージェント対話だけを収集・レビューでき、訴訟ホールドや当局照会に耐える。なお脅威検出の側面は再編が進んでおり、2026年7月1日以降、Copilot Studioエージェントの検出・態勢管理・Advanced HuntingはAgent 365ライセンスを前提とする体系へ移行した。PurviewはEntra、Defenderと並ぶAgent 365の構成要素として、エージェント時代のコンプライアンス自動化の柱に位置づけ直されている。
ガバナンスのベストプラクティス——CoE(推進組織)の立ち上げとAIガバナンス・バイ・デザインの徹底

道具立てを並べてきたが、最後は組織論である。長年Power Platform統制の定番だった「CoE Starter Kit」について、マイクロソフトは2026年に「アクティブな保守の終了」を告知し、インベントリ・使用状況・監視といった中核機能はPower Platform管理センターの製品機能へ吸収された。つまりツール面のCoEは「自前のキットを育てる」時代から「管理センター+Copilot Control System+Agent 365という製品ネイティブのスタックを使いこなす」時代に移った。一方で人とプロセスとしてのCoEの重要性はむしろ増しており、Copilot Studioの公式セキュリティ・ガバナンスガイダンスは対象読者に「CoEリーダー」を明示したうえで、ガバナンス要件の定義、環境のゾーニング戦略、プロジェクトの保護(RBAC・データポリシー・ゲート付きリリース)、テスト戦略、運用・コンプライアンス・容量の監視という5フェーズを示す。実務のCoEが担うのは、環境戦略とDLP例外の審査プロセス、評価ゲートの運営、チャンピオン育成と教育、そして経営への効果報告である。
日本のコンサルティング会社の提言は、この「後付けではなく最初から」を共通項とする。野村総合研究所は、AIポリシー策定・リスク評価体系・オペレーション・体制整備の4活動を挙げ、中央集権のトップダウンから各部門にHUB組織を置く「トップダウン×自律分散型」への3段階進化を説く。NTTデータはグローバルガバナンス本部にAI Governance室を設置してAIアドバイザリーボードを運営し、2026年3月26日のホワイトペーパーでは、AIと人間の責務を機能性・品質・透明性・説明責任の4観点で分類し内部統制のスリーラインモデルに載せる「アカウンタビリティ軸のAI-Native開発」を提唱、エージェント固有リスクとして権限昇格や記憶の汚染、可観測性の不足を名指しで警告する。NECは2025年12月にリスクアセスメント、ガバナンスプラットフォーム導入、リスクモニタリングの3サービス(500万円から)をCisco AI Defenseと組み合わせて投入し、KPMGコンサルティングは自社フレームワーク「Trusted AI」を軸にServiceNowのAI Control Towerを使った態勢構築支援で協業、デロイト トーマツはAI関連規制の調査を自動化するAIエージェントを2026年1月に発表した。アビームコンサルティングはCopilot Studioによるエージェント構築支援と、組織・人材・業務・システムの4観点のAIガバナンス方法論を体系化している。SIerでは日立ソリューションズが2024年7月からCopilot Studio導入支援(スターターパック165万円から)を展開し、電通総研はFoundry構築支援にガバナンス設計を標準で組み込む。「ガバナンス・バイ・デザイン」、すなわち環境分離・DLP・監査・評価を開発着手前に設計へ織り込む思想が、国内ベンダーの共通言語になった。
数字は楽観を許さない。PwC Japanの「生成AIに関する実態調査2026春」では日本企業の活用・推進度は87%に達した一方、効果を「期待以上・期待通り」とする割合は64%と6カ国中最下位で、効果を出す企業の共通点として経営直下の推進体制、AIエージェントの業務プロセスへの正式組み込み、複数モデルの活用が挙げられた。デロイト トーマツの2025年8月のプライム上場企業調査では生成AI導入済みが95.6%に達し、約4割が導入に伴う人員の配置転換まで踏み込んだ。他方でガートナーは「2027年末までにエージェンティックAIプロジェクトの40%超が中止される」(2025年6月)と予測し、日本のハイプサイクルでもAIエージェントを「過度な期待」のピークに置く。IDC Japanは2026年を「AIエージェントの実ビジネス適用元年」と位置づけ、国内AI市場が2025年の2兆3,725億円から2029年に6兆8,897億円へ拡大すると予測する。普及は既定路線、成否を分けるのはROIとガバナンスの両輪——これが調査各社の一致点である。規制面では、日本のAI推進法が2025年9月1日に全面施行され、経済産業省・総務省の「AI事業者ガイドライン」は2026年3月31日の第1.2版でエージェントの自律動作に対するセーフガードと人間の判断介在を明記した。EUのAI法は高リスクAI義務の適用がスタンドアロン型で2027年12月2日、製品組込型で2028年8月2日へ延期されたが、AIとの対話であることの開示など透明性義務は2026年8月2日に始まる。ISO/IEC 42001認証をベンダー選定要件に据える動きも、Microsoft 365 Copilot自身の認証範囲拡大とともに広がるだろう。
今後の計測ポイントを整理しておく。製品面では、2026リリースウェーブ1(2026年4月〜9月)の柱として「より深いガバナンス、マルチエージェント・オーケストレーション、評価によるスケーリング、FoundryとWork IQの統合深化」が公式に予告済みで、6月2日開幕のBuild 2026では企業知識のコンテキストレイヤー「Microsoft IQ」のGA、Agent 365のローカルエージェント対応、そしてベンダー中立のエージェント統制仕様「Agent Control Specification(ACS)」が発表された。7月15日には米政府クラウド(GCC)非連邦顧客へのAnthropicモデル設定の展開が始まり、8月にはPower Platform Git統合のGitHub対応プレビュー、11月17日から20日のIgnite 2026(サンフランシスコ)ではエージェントの台帳・権限・課金を含む管理基盤の拡充が焦点になるとみられる。国内では2026年夏に人工知能基本計画の分野別ロードマップ提示が報じられており、日本マイクロソフトが表明した2030年までのAI人材100万人育成と100億ドル(約1.6兆円)のインフラ投資は、NEC、NTTデータ、ソフトバンク、日立製作所、富士通との連携で進む。「誰もが作れる」を実現したCopilot Studioの次の審判は、「組織として統べられるか」である。環境・DLP・監視・監査・組織の5点セットを設計してから作り始める企業と、作ってから考える企業の差は、2026年後半の解決率とインシデント件数という数字になって現れるはずだ。

