jpskill.com
🛠️ 開発・MCP コミュニティ

entra-agent-id

Provision Microsoft Entra Agent Identity Blueprints, BlueprintPrincipals, and per-instance Agent Identities via Microsoft Graph, and configure OAuth 2.0 token exchange (fmi_path, OBO, cross-tenant) including the Microsoft Entra SDK for AgentID sidecar. USE FOR: Agent Identity Blueprint, BlueprintPrincipal, agent OAuth, fmi_path token exchange, agent OBO, Workload Identity Federation for agents, polyglot agent auth, Microsoft.Identity.Web.AgentIdentities. DO NOT USE FOR: standard Entra app registration (use entra-app-registration), Azure RBAC (use azure-rbac), Microsoft Foundry agent authoring (use microsoft-foundry).

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o entra-agent-id.zip https://jpskill.com/download/19682.zip && unzip -o entra-agent-id.zip && rm entra-agent-id.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/19682.zip -OutFile "$d\entra-agent-id.zip"; Expand-Archive "$d\entra-agent-id.zip" -DestinationPath $d -Force; ri "$d\entra-agent-id.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して entra-agent-id.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → entra-agent-id フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
7

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Microsoft Entra Agent ID

Microsoft Graph を使用して、AI エージェント向けの OAuth 2.0 対応 ID を作成および管理します。すべてのエージェント インスタンスは、個別の ID、監査証跡、および独立してスコープ設定されたアクセス許可付与を取得します。

クイックリファレンス

プロパティ
サービス Microsoft Entra Agent ID
API Microsoft Graph (https://graph.microsoft.com/v1.0)
必要なロール Agent Identity Developer、Agent Identity Administrator、または Application Administrator
オブジェクト モデル Blueprint (application) → BlueprintPrincipal (SP) → Agent Identity (SP)
ランタイム交換 2 段階の fmi_path 交換 (自律型および OBO)
.NET ヘルパー Microsoft.Identity.Web.AgentIdentities
ポリグロット ヘルパー Microsoft Entra SDK for AgentID (サイドカー コンテナー)

このスキルを使用するタイミング

  • 新しい Agent Identity Blueprint および BlueprintPrincipal のプロビジョニング
  • Blueprint の下にインスタンスごとの Agent Identities を作成する
  • Blueprint で資格情報 (FIC、Managed Identity、またはクライアント シークレット) を構成する
  • 2 段階の fmi_path ランタイム トークン交換 (自律型または OBO) の実装
  • クロステナント エージェント トークン フロー
  • ポリグロット エージェント (Python、Node、Go、Java) 用の Microsoft Entra SDK for AgentID サイドカーのデプロイ
  • Agent Identity ごとのアプリケーション (appRoleAssignments) または委任された (oauth2PermissionGrants) アクセス許可の付与
  • AADSTS82001AADSTS700211、または PropertyNotCompatibleWithAgentIdentity などの Agent ID エラーの診断

MCP ツール

ツール 用途
mcp_azure_mcp_documentation Microsoft Learn で現在の Agent ID セットアップ、Graph API シェイプ、および SDK 構成を検索します

現在、専用の Agent Identity MCP サーバーはありません。このスキルは、Microsoft Graph API の直接呼び出し (PowerShell または Python requests) をガイドします。実行する前に、mcp_azure_mcp_documentation を使用して、現在のドキュメントに対してリクエスト ボディとエンドポイントを確認してください。

開始する前に

mcp_azure_mcp_documentation ツールを使用して、Microsoft Learn で現在の Agent ID ドキュメントを検索してください。

  • "Microsoft Entra Agent ID セットアップ手順"
  • "Microsoft Entra SDK for AgentID"

インストールされている SDK バージョンに対してリクエスト ボディとエンドポイントを確認してください。Graph API シェイプは進化します。

概念モデル

Agent Identity Blueprint (application)         ← エージェントの種類/プロジェクトごとに 1 つ
  └── BlueprintPrincipal (service principal)    ← 明示的に作成する必要があります
        ├── Agent Identity (SP): agent-1        ← エージェント インスタンスごとに 1 つ
        ├── Agent Identity (SP): agent-2
        └── Agent Identity (SP): agent-3
概念 説明
Blueprint エージェントの種類/クラスを定義するアプリケーション オブジェクトです。資格情報 (シークレット、証明書、フェデレーション ID) を保持します。
BlueprintPrincipal テナント内の Blueprint のサービス プリンシパルです。自動作成されません。
Agent Identity 単一のエージェント インスタンス用のサービス プリンシパルのみの ID です。独自の資格情報を保持することはできません。
Sponsor ID の責任者であるユーザー (または Agent Identity の場合はグループ) です。作成時に必須です。

前提条件

必要な Entra ロール

次のいずれか: Agent Identity DeveloperAgent Identity Administrator、または Application Administrator

PowerShell (対話型セットアップ)

# PowerShell 7+
Install-Module Microsoft.Graph.Applications -Scope CurrentUser -Force

Python (プログラムによるプロビジョニング)

pip install azure-identity requests

認証

DefaultAzureCredential はサポートされていません。 Azure CLI トークンは Directory.AccessAsUser.All を持ち、Agent Identity API はこれをハードリジェクトします (403)。client_credentials を使用した専用のアプリ登録、または明示的な委任スコープを使用した Connect-MgGraph を使用してください。

PowerShell (委任)

Connect-MgGraph -Scopes @(
    "AgentIdentityBlueprint.Create",
    "AgentIdentityBlueprint.ReadWrite.All",
    "AgentIdentityBlueprintPrincipal.Create",
    "AgentIdentity.Create.All",
    "User.Read"
)

Python (アプリケーション)

import os, requests
from azure.identity import ClientSecretCredential

credential = ClientSecretCredential(
    tenant_id=os.environ["AZURE_TENANT_ID"],
    client_id=os.environ["AZURE_CLIENT_ID"],
    client_secret=os.environ["AZURE_CLIENT_SECRET"],
)
token = credential.get_token("https://graph.microsoft.com/.default")

GRAPH = "https://graph.microsoft.com/v1.0"
headers = {
    "Authorization": f"Bearer {token.token}",
    "Content-Type": "application/json",
    "OData-Version": "4.0",
}

コアワークフロー

ステップ 1: Agent Identity Blueprint を作成する

型付きエンドポイントを使用します。Blueprint 作成時のスポンサーはユーザーである必要があります。このスニペットは、上記の Python 認証ブロックからの requests クライアントと headers ディクショナリを想定しています。

import subprocess
import requests

user_id = subprocess.run(
    ["az", "ad", "signed-in-user", "show", "--query", "id", "-o", "tsv"],
    capture_output=True, text=True, check=True,
).stdout.strip()

blueprint_body = {
    "displayName": "My Agent Blueprint",
    "sponsors@odata.bind": [
        f"https://graph.microsoft.com/v1.0/users/{user_id}"
    ],
}
resp = requests.post(
    f"{GRAPH}/applications/microsoft.graph.agentIdentityBlueprint",
    headers=headers, json=blueprint_body,
)
resp.raise_for_status()

blueprint = resp.json()
app_id = blueprint["appId"]
blueprint_obj_id = blueprint["id"]

ステップ 2: BlueprintPrincipal を作成する

必須です。Blueprint を作成しても、そのサービス プリンシパルは自動作成されません。このステップをスキップすると、次のエラーが発生します。 400: The Agent Blueprint Principal for the Agent Blueprint does not exist.

sp_body = {"appId": app_id}
resp = requests.post(
    f"{GRAPH}/servicePrincipals/microsoft.graph.agentIdentityBlueprintPrincipal",
    headers=headers, json=sp_body,
)
resp.raise_for_status()

プロビジョニング スクリプトを冪等にしてください。Blueprint が既に存在する場合でも、常に BlueprintPrincipal を確認してください。

ステップ 3: Agent Identities を作成する

Agent Identity のスポンサー

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Microsoft Entra Agent ID

Create and manage OAuth 2.0-capable identities for AI agents using Microsoft Graph. Every agent instance gets a distinct identity, audit trail, and independently-scoped permission grants.

Quick Reference

Property Value
Service Microsoft Entra Agent ID
API Microsoft Graph (https://graph.microsoft.com/v1.0)
Required role Agent Identity Developer, Agent Identity Administrator, or Application Administrator
Object model Blueprint (application) → BlueprintPrincipal (SP) → Agent Identity (SP)
Runtime exchange Two-step fmi_path exchange (autonomous and OBO)
.NET helper Microsoft.Identity.Web.AgentIdentities
Polyglot helper Microsoft Entra SDK for AgentID (sidecar container)

When to Use This Skill

  • Provisioning a new Agent Identity Blueprint and BlueprintPrincipal
  • Creating per-instance Agent Identities under a Blueprint
  • Configuring credentials (FIC, Managed Identity, or client secret) on the Blueprint
  • Implementing the two-step fmi_path runtime token exchange (autonomous or OBO)
  • Cross-tenant agent token flows
  • Deploying the Microsoft Entra SDK for AgentID sidecar for polyglot agents (Python, Node, Go, Java)
  • Granting per-Agent-Identity application (appRoleAssignments) or delegated (oauth2PermissionGrants) permissions
  • Diagnosing Agent ID errors such as AADSTS82001, AADSTS700211, or PropertyNotCompatibleWithAgentIdentity

MCP Tools

Tool Use
mcp_azure_mcp_documentation Search Microsoft Learn for current Agent ID setup, Graph API shapes, and SDK configuration

There is no dedicated Agent Identity MCP server today. This skill guides direct Microsoft Graph API calls (PowerShell or Python requests). Use mcp_azure_mcp_documentation to verify request bodies and endpoints against current docs before running.

Before You Start

Use the mcp_azure_mcp_documentation tool to search Microsoft Learn for current Agent ID documentation:

  • "Microsoft Entra Agent ID setup instructions"
  • "Microsoft Entra SDK for AgentID"

Verify request bodies and endpoints against the installed SDK version — Graph API shapes evolve.

Conceptual Model

Agent Identity Blueprint (application)         ← one per agent type/project
  └── BlueprintPrincipal (service principal)    ← MUST be created explicitly
        ├── Agent Identity (SP): agent-1        ← one per agent instance
        ├── Agent Identity (SP): agent-2
        └── Agent Identity (SP): agent-3
Concept Description
Blueprint Application object that defines a type/class of agent. Holds credentials (secret, certificate, federated identity).
BlueprintPrincipal Service principal for the Blueprint in the tenant. Not auto-created.
Agent Identity Service-principal-only identity for a single agent instance. Cannot hold its own credentials.
Sponsor A User (or Group, for Agent Identity) who is responsible for the identity. Required on creation.

Prerequisites

Required Entra Roles

One of: Agent Identity Developer, Agent Identity Administrator, or Application Administrator.

PowerShell (interactive setup)

# PowerShell 7+
Install-Module Microsoft.Graph.Applications -Scope CurrentUser -Force

Python (programmatic provisioning)

pip install azure-identity requests

Authentication

DefaultAzureCredential is not supported. Azure CLI tokens carry Directory.AccessAsUser.All, which Agent Identity APIs hard-reject (403). Use a dedicated app registration with client_credentials, or Connect-MgGraph with explicit delegated scopes.

PowerShell (delegated)

Connect-MgGraph -Scopes @(
    "AgentIdentityBlueprint.Create",
    "AgentIdentityBlueprint.ReadWrite.All",
    "AgentIdentityBlueprintPrincipal.Create",
    "AgentIdentity.Create.All",
    "User.Read"
)

Python (application)

import os, requests
from azure.identity import ClientSecretCredential

credential = ClientSecretCredential(
    tenant_id=os.environ["AZURE_TENANT_ID"],
    client_id=os.environ["AZURE_CLIENT_ID"],
    client_secret=os.environ["AZURE_CLIENT_SECRET"],
)
token = credential.get_token("https://graph.microsoft.com/.default")

GRAPH = "https://graph.microsoft.com/v1.0"
headers = {
    "Authorization": f"Bearer {token.token}",
    "Content-Type": "application/json",
    "OData-Version": "4.0",
}

Core Workflow

Step 1: Create Agent Identity Blueprint

Use the typed endpoint. Sponsors must be Users at Blueprint creation. This snippet assumes the requests client and headers dict from the Python authentication block above.

import subprocess
import requests

user_id = subprocess.run(
    ["az", "ad", "signed-in-user", "show", "--query", "id", "-o", "tsv"],
    capture_output=True, text=True, check=True,
).stdout.strip()

blueprint_body = {
    "displayName": "My Agent Blueprint",
    "sponsors@odata.bind": [
        f"https://graph.microsoft.com/v1.0/users/{user_id}"
    ],
}
resp = requests.post(
    f"{GRAPH}/applications/microsoft.graph.agentIdentityBlueprint",
    headers=headers, json=blueprint_body,
)
resp.raise_for_status()

blueprint = resp.json()
app_id = blueprint["appId"]
blueprint_obj_id = blueprint["id"]

Step 2: Create BlueprintPrincipal

Mandatory. Creating a Blueprint does NOT auto-create its service principal. Skipping this step produces: 400: The Agent Blueprint Principal for the Agent Blueprint does not exist.

sp_body = {"appId": app_id}
resp = requests.post(
    f"{GRAPH}/servicePrincipals/microsoft.graph.agentIdentityBlueprintPrincipal",
    headers=headers, json=sp_body,
)
resp.raise_for_status()

Make your provisioning scripts idempotent — always check for the BlueprintPrincipal even when the Blueprint already exists.

Step 3: Create Agent Identities

Sponsors for an Agent Identity may be Users or Groups.

agent_body = {
    "displayName": "my-agent-instance-1",
    "agentIdentityBlueprintId": app_id,
    "sponsors@odata.bind": [
        f"https://graph.microsoft.com/v1.0/users/{user_id}"
    ],
}
resp = requests.post(
    f"{GRAPH}/servicePrincipals/microsoft.graph.agentIdentity",
    headers=headers, json=agent_body,
)
resp.raise_for_status()
agent = resp.json()
agent_sp_id = agent["id"]

Runtime Authentication

Agents authenticate at runtime using credentials configured on the Blueprint (not on the Agent Identity — Agent Identities can't hold credentials).

Option Use case Credential on Blueprint
Managed Identity + WIF Production (Azure-hosted) Federated Identity Credential
Client secret Local dev / testing Password credential
Microsoft Entra SDK for AgentID Polyglot / 3P agents Sidecar container acquires tokens over HTTP

For the two-step fmi_path exchange (parent token → per-Agent-Identity Graph token) that gives each agent instance a distinct sub claim and audit trail, see references/runtime-token-exchange.md.

For OBO (agent acting on behalf of a user), see references/obo-blueprint-setup.md.

For the containerized polyglot auth sidecar (Python, Node, Go, Java — no SDK embedding), see references/sdk-sidecar.md.

For MI+WIF and client-secret setup details, see references/oauth2-token-flow.md.

.NET quick path

For .NET services, use Microsoft.Identity.Web.AgentIdentities — it handles Federated Identity Credential management and the two-step exchange for you. See the package README at github.com/AzureAD/microsoft-identity-web under src/Microsoft.Identity.Web.AgentIdentities/.

Granting Permissions (Per Agent Identity)

Agent Identities support both application permissions (autonomous) and delegated permissions (OBO). Grants are scoped per Agent Identity, not to the BlueprintPrincipal.

Application permissions (autonomous)

graph_sp = requests.get(
    f"{GRAPH}/servicePrincipals?$filter=appId eq '00000003-0000-0000-c000-000000000000'",
    headers=headers,
).json()["value"][0]

user_read_all = next(r for r in graph_sp["appRoles"] if r["value"] == "User.Read.All")

requests.post(
    f"{GRAPH}/servicePrincipals/{agent_sp_id}/appRoleAssignments",
    headers=headers,
    json={
        "principalId": agent_sp_id,
        "resourceId": graph_sp["id"],
        "appRoleId": user_read_all["id"],
    },
).raise_for_status()

Delegated permissions (OBO)

from datetime import datetime, timedelta, timezone

expiry = (datetime.now(timezone.utc) + timedelta(days=3650)).strftime("%Y-%m-%dT%H:%M:%SZ")

requests.post(
    f"{GRAPH}/oauth2PermissionGrants",
    headers=headers,
    json={
        "clientId": agent_sp_id,
        "consentType": "AllPrincipals",
        "resourceId": graph_sp["id"],
        "scope": "User.Read Tasks.ReadWrite Mail.Send",
        "expiryTime": expiry,
    },
).raise_for_status()

Browser-based admin consent URLs do not work for Agent Identities — use oauth2PermissionGrants for programmatic delegated consent.

Cross-Tenant Agent Identities

Blueprints can be multi-tenant (signInAudience: AzureADMultipleOrgs). When exchanging tokens cross-tenant:

Step 1 of the parent token exchange MUST target the Agent Identity's home tenant, not the Blueprint's. Wrong tenant → AADSTS700211: No matching federated identity record found.

See references/runtime-token-exchange.md for full cross-tenant examples.

API Reference

Operation Method Endpoint
Create Blueprint POST /applications/microsoft.graph.agentIdentityBlueprint
Create BlueprintPrincipal POST /servicePrincipals/microsoft.graph.agentIdentityBlueprintPrincipal
Create Agent Identity POST /servicePrincipals/microsoft.graph.agentIdentity
Add FIC to Blueprint POST /applications/{id}/microsoft.graph.agentIdentityBlueprint/federatedIdentityCredentials
List Agent Identities GET /servicePrincipals/microsoft.graph.agentIdentity
Grant app permission POST /servicePrincipals/{id}/appRoleAssignments
Grant delegated permission POST /oauth2PermissionGrants
Delete Agent Identity DELETE /servicePrincipals/{id}
Delete Blueprint DELETE /applications/{id}

Base URL: https://graph.microsoft.com/v1.0.

Required Graph Permissions

Permission Purpose
AgentIdentityBlueprint.Create Create Blueprints
AgentIdentityBlueprint.ReadWrite.All Read/update Blueprints
AgentIdentityBlueprintPrincipal.Create Create BlueprintPrincipals
AgentIdentity.Create.All Create Agent Identities
AgentIdentity.ReadWrite.All Read/update Agent Identities
Application.ReadWrite.All Blueprint CRUD on application objects
AppRoleAssignment.ReadWrite.All Grant application permissions
DelegatedPermissionGrant.ReadWrite.All Grant delegated permissions

Grant admin consent (required for application permissions):

az ad app permission admin-consent --id <client-id>

After admin consent, tokens may not include new claims for 30–120 seconds — retry with exponential backoff.

Best Practices

  1. Always create BlueprintPrincipal after Blueprint — not auto-created.
  2. Use typed endpoints (/applications/microsoft.graph.agentIdentityBlueprint) instead of raw /applications with @odata.type.
  3. Credentials live on the Blueprint — Agent Identities can't hold secrets/certs (PropertyNotCompatibleWithAgentIdentity).
  4. Include OData-Version: 4.0 on every Graph request.
  5. Use Workload Identity Federation for production — client secrets only for local dev.
  6. Set identifierUris: ["api://{appId}"] on the Blueprint before OAuth2 scope resolution.
  7. Never use Azure CLI tokens for Agent Identity APIs — Directory.AccessAsUser.All causes hard 403.
  8. Use fmi_path with client_credentials — NOT RFC 8693 urn:ietf:params:oauth:grant-type:token-exchange (returns AADSTS82001).
  9. Always use /.default scope in both steps of the exchange — individual scopes fail.
  10. Step 1 targets the Agent Identity's home tenant in cross-tenant flows.
  11. Grant permissions per Agent Identity, not to the BlueprintPrincipal.
  12. Handle permission-propagation delays — retry 403s with 30–120s backoff after admin consent.
  13. Keep the Entra SDK for AgentID on localhost — never expose via LoadBalancer or Ingress.

Troubleshooting

Error Cause Fix
AADSTS82001 Used RFC 8693 token-exchange grant Use client_credentials with fmi_path
AADSTS700211 Step 1 parent token targeted wrong tenant Target Agent Identity's home tenant
AADSTS50013 OBO user token targets Graph, not Blueprint Use api://{blueprint_app_id}/access_as_user
AADSTS65001 Missing grant or used individual scopes Use /.default and verify oauth2PermissionGrants
403 Authorization_RequestDenied No grant on this Agent Identity Add via appRoleAssignments or oauth2PermissionGrants
PropertyNotCompatibleWithAgentIdentity Tried to add credential to Agent Identity SP Put credentials on the Blueprint
Agent Blueprint Principal does not exist BlueprintPrincipal not created Step 2 of the Core Workflow
AADSTS650051 on admin consent SP already exists from partial consent Grant directly via appRoleAssignments

References

File Contents
references/runtime-token-exchange.md Two-step fmi_path exchange: autonomous + OBO, cross-tenant
references/oauth2-token-flow.md MI + WIF (production) and client secret (local dev)
references/obo-blueprint-setup.md Configuring the Blueprint as an OAuth2 API for OBO
references/sdk-sidecar.md Microsoft Entra SDK for AgentID — architecture, configuration, endpoints
references/sdk-sidecar-deployment.md SDK code patterns (Python/TypeScript), Docker/Kubernetes manifests, security, troubleshooting
references/known-limitations.md Documented gaps organized by category

External Links

Resource URL
Agent ID Setup Guide https://learn.microsoft.com/en-us/entra/agent-id/identity-platform/agent-id-setup-instructions
AI-Guided Setup https://learn.microsoft.com/en-us/entra/agent-id/identity-platform/agent-id-ai-guided-setup
Microsoft Entra SDK for AgentID https://learn.microsoft.com/en-us/entra/msidweb/agent-id-sdk/overview
Microsoft.Identity.Web.AgentIdentities (.NET) https://github.com/AzureAD/microsoft-identity-web/blob/master/src/Microsoft.Identity.Web.AgentIdentities/README.AgentIdentities.md

同梱ファイル

※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。