| Message Content |
[Introduction]
We are updating the AI Administrator role to support Agent 365. This update enables delegated, day-to-day agent management while preserving enterprise security and least-privilege principles.
The AI Admin role is designed for managing agent lifecycles and agentic users. By removing the dependency on Global Administrators for routine, agent-scoped actions, this change helps eliminate operational bottlenecks, supports scale, and maintains clear separation of duties. Global Admin elevation remains required only for rare, high-risk scenarios.
[When this will happen:]
General Availability: Rollout begins early March 2026; expected completion by late March 2026
[How this affects your organization:]
Who is affected
- Microsoft 365 tenants using Agent 365
- Administrators assigned the AI Administrator role
- Organizations that currently require Global Administrator involvement for routine agent management
What will happen
- AI Administrators can grant tenant-wide admin consent for apps and agents requesting permissions, except Microsoft Graph application permissions
- AI Admins can view basic subscription properties
- AI Admins can view agents flagged as risky through Microsoft Entra Identity Protection. Learn more: ID Protection for agents (Preview) (this article will be updated soon).
- To review existing capabilities of the AI Admin, visit AI Administrator.
- AI Admins can perform full CRUD (create, read, update, delete) operations on agents
- This includes adding, deleting, and managing agent credentials
- Agent management is available through the Microsoft 365 admin center, Microsoft Entra admin center, PowerShell, and APIs
What is not included
- Apps or agents requiring Microsoft Graph application permissions will continue to require Privileged Role Administrator or Global Administrator approval
[What you can do to prepare:]
- Review existing assignments for the AI Administrator role to ensure only appropriate users have access
- If you want to opt out, remove the AI Admin role from users who should not grant tenant-wide consent or manage agents
Review or update role assignments
- Sign in to the Microsoft 365 admin center at admin.cloud.microsoft using a Global Administrator or User Administrator account.
- Go to Roles > Role assignments.
- Select AI Administrator.
- Review the list of users assigned to the role.
- If needed, remove the role from users or add users who should legitimately manage AI agents.
Learn more: About administrator roles in the Microsoft 365 admin center – Microsoft 365 admin | Microsoft Learn
[Compliance considerations]
| Question |
Explanation |
| Does the change alter how existing customer data is processed, stored, or accessed? |
AI Administrators gain expanded permissions to manage agents and agent credentials, which may indirectly affect how agents access tenant data. |
| Does the change introduce or significantly modify AI or agent capabilities that interact with customer data? |
The update expands AI Administrator authority over agent lifecycles and tenant-wide consent, increasing control over agent behavior and data access. |
| Does the change alter how admins can monitor or demonstrate compliance activities? |
AI Administrators can now view agents flagged as risky through Identity Protection, improving visibility and compliance monitoring. |
| Does the change include an admin control, and can it be controlled through Entra ID role membership? |
All new capabilities are governed by assignment of the AI Administrator role in Microsoft Entra ID. |
|
| Machine Translation |
[はじめに]
エージェント365をサポートするためにAI管理者 の役割を更新しています。このアップデートにより、企業のセキュリティと最小権限原則を維持しつつ、日々のエージェント管理を委任できるようになりました。
AI管理者の役割は、エージェントのライフサイクル管理およびエージェントユーザーを目的としています。日常的でエージェントスコープのアクションに対して グローバル管理者 への依存を排除することで、この変更は運用上のボトルネックを排除し、スケールを支援し、職務の明確な分離を維持します。グローバル管理者の昇格は、稀で高リスクなシナリオのみで求められます。
[いつ起こるか:]
一般提供開始:2026年3月初旬に展開開始;2026年3月下旬までに完成予定
[これがあなたの組織にどのような影響を与えるか:]
影響を受ける人物
- Agent 365を使用しているMicrosoft 365テナント
- AI管理者の役割を割り当てた管理者
- 現在、日常的なエージェント管理に グローバル管理者 の関与が必要な組織
何が起こるのか
- AI管理者 は、Microsoft Graphのアプリケーション権限を除き、アプリやエージェントが権限を要求する際にテナント全体の管理者同意を付与できます
- AI管理者は基本的なサブスクリプションプロパティを確認できます
- AI管理者は、Microsoft Entra Identity Protectionを通じてリスクのあるエージェントを確認できます。詳細はこちら: エージェント向けのID保護(プレビュー)( この記事はまもなく更新されます)。
- AI管理者の既存機能を確認するには、 AI管理者をご覧ください。
- AI管理者はエージェントに対して完全なCRUD(作成、読み取り、更新、削除)操作を行うことができます
- これにはエージェントの認証情報の追加、削除、管理が含まれます
- エージェント管理はMicrosoft 365管理センター、Microsoft Entra管理センター、PowerShell、APIを通じて利用可能です
含まれていないもの
- Microsoft Graphのアプリケーション権限を必要とするアプリやエージェントは、引き続き 特権ロール管理者 または グローバル管理者 の承認を必要とします
[準備のためにできること:]
- AI 管理者 の役割に関する既存の割り当てを確認し、適切なユーザーのみがアクセスできるようにしてください
- オプトアウトを希望する場合は、テナント全体の同意を与えたりエージェントを管理すべきでないユーザーのAI管理者の役割を削除してください
役割割り当ての確認または更新
- グローバル管理者またはユーザー管理者アカウントを使って、admin.cloud.microsoftのMicrosoft 365管理センターにサインインしてください。
- 役割>役割割り当てへ。
- AI管理者を選択してください。
- 役割に割り当てられたユーザーリストを確認してください。
- 必要に応じて、その役割をユーザーから削除するか、AIエージェントを正当に管理すべきユーザーを追加してください。
詳しくはこちら: Microsoft 365管理センターの管理者役割について – Microsoft 365管理者 |Microsoft Learn
[コンプライアンスの考慮事項]
| 質問 |
の説明 |
| この変更は既存の顧客データの処理、保存、アクセス方法を変えますか? |
AI管理者はエージェントやエージェントの認証情報を管理する権限を拡大し、間接的にエージェントがテナントデータにアクセスする方法に影響を与える可能性があります。 |
| この変更は顧客データとやり取りするAIやエージェントの機能を導入または大幅に変更するものですか? |
このアップデートにより、エージェントのライフサイクルやテナント全体の同意に対するAI管理者の権限が拡大され、エージェントの行動やデータアクセスに対する管理が強化されます。 |
| この変更は管理者がコンプライアンス活動を監視または示す方法に変化をもたらしますか? |
AI管理者は、アイデンティティ保護を通じてリスクのあるエージェントを確認できるようになり、可視性とコンプライアンスの監視が向上します。 |
| 変更には管理者権限が含まれていますか?またEntra IDの役割メンバーシップを通じて制御できますか? |
すべての新しい機能は、Microsoft Entra IDにおけるAI管理者の役割割り当てによって管理されます。 |
|