Microsoft Foundry Agent ServiceからWork IQへtaskを委譲し、signed-in userのMicrosoft 365文脈に基づく回答を得られるpreviewが公開されている。メール、会議、file、chatを広く検索できることより、既存のMicrosoft 365 permissionとsensitivity labelを維持したままuser contextで動く点が重要である。app-only service accountで全社dataを読む設計とは異なり、On-Behalf-Of認証とadmin consentが導入の中心になる。

何が変わったか

Foundry agentはwork_iq_preview toolを呼び、A2A protocolでWork IQへ自然言語taskを渡せる。Work IQ ChatはA2A、Teams、Word、Outlook Calendar、Outlook Mail、user profile、SharePoint、OneDriveなどはtoolboxのMCP endpointとして接続できる。取得と推論はsigned-in userの権限範囲で実行される。

変更前後の差

従来はGraph API、検索index、独自RAGを個別に組み合わせ、permission trimmingやdata freshnessを実装する必要があった。Work IQはMicrosoft 365 Copilotを支える共有文脈層へAgentから接続する。ただしMicrosoft 365 Copilot license、Entra app、admin consent、Foundry RBACが必要で、VNet-restricted endpointはサポートされない。

誰に影響するか

メール要約、会議準備、案件進捗、社内file探索、Teams会話の整理を行う業務Agentが対象となる。developer、runtime identity、OAuth userにはFoundry User、connection作成者にはFoundry Project Managerが必要である。利用者自身にもMicrosoft 365 Copilot licenseが必要になる。

期限

強制導入期限はない。public previewでSLAがなく、本番推奨ではない。限定tenant・限定利用者で評価し、VNet要件や地域・compliance boundaryを満たせない場合は本番化しない。

必要な対応

専用Entra appを作成し、Global AdministratorがWorkIQAgent.Askへadmin consentを与える。application-onlyは使えず、BYO Entra appによるOBOを前提とする。Agentのsystem instructionに利用目的を明示し、M365データが不要な質問ではWork IQを呼ばないtool routingを評価する。

実装・移行手順

  1. 対象use caseと必要なM365 sourceを限定する
  2. 利用者のCopilot licenseとFoundry RBACを確認する
  3. Work IQ service principalと専用Entra appを準備する
  4. WorkIQAgent.Askのadmin consentを付与する
  5. Foundry connectionとwork_iq_preview toolを構成する
  6. user別permission trimmingとsensitivity labelを試験する
  7. 空結果、401、403、index未準備を分類する
  8. data boundaryとaudit logを確認して段階展開する

失敗しやすい点

app-only tokenを使う、userにCopilot licenseがない、token audienceを誤る、admin consent前に接続する、VNet-restricted projectで動くと想定する、license付与直後のindex未準備を障害扱いする、といった問題がある。Agentが取得した内容を別userへ再利用しないようconversationとcacheをuser単位に分離する。

リスク

Agentの回答へ機密メールやfileが含まれ、二次保存・外部送信で元のM365制御から外れる可能性がある。公式docsにはdata boundaryに関する注意もあるため、取得時のpermissionだけでなく、回答log、trace、評価datasetの保存先を審査する。preview仕様変更とlicense費用も考慮する。

評価方法

  • permission外dataの露出件数がゼロであること
  • source別の正答率・引用可能率
  • Work IQ toolの不要呼出率
  • 401・403・空結果率
  • P95応答時間
  • user別license・consent不備件数
  • 機密dataを含むtraceの保存件数

ロールバック

Agent versionからWork IQ toolを外し、admin consentをrevokeする。既存tokenは有効期限まで残る可能性があるため、app credentialとsessionを失効させる。代替として既存の限定Graph connectorや承認済みRAGへ戻す。

編集部分析

Work IQはM365接続の実装量を減らす一方、identity設計を不要にはしない。むしろ「誰として問い合わせるか」がAPI設計の中心になる。全社検索Agentから始めず、会議準備など目的とsourceが限定された業務でpermission、品質、保存境界を確認する方が安全である。

実務チェックリスト

  • [ ] app-onlyではなくOBOを採用した
  • [ ] 利用者のCopilot licenseを確認した
  • [ ] Foundry RBACとadmin consentを設定した
  • [ ] VNet制約とdata boundaryを確認した
  • [ ] user単位でsession・cacheを分離した
  • [ ] traceと評価dataの保存先を審査した
  • [ ] consent revokeとtool削除を演習した

一次情報