Protokoly ID agenta Microsoft Entra

S rostoucím využitím, možnostmi a rozsahem agentů umělé inteligence je důležité pochopit, jak se aktivity přidružené k identitám agentů protokolují v Microsoft Entra ID. Jako správce IT potřebujete vědět, jaké informace jsou k dispozici v protokolech auditu a přihlašování a jak tyto informace použít k monitorování aktivity agenta. Protokoly auditu a přihlašování jsou užitečné, když potřebujete prozkoumat následující typy scénářů:

• Protokoly přihlášení pro agenty nebo pro přenosy související s agenty
• Protokoly auditu pro případy, kdy je identita agenta nebo uživatelský účet agenta buď zahajovatelem, nebo vykonavatelem operace v mém tenantovi

Tento článek popisuje, jak se aktivity identit agenta protokolují v ID Microsoft Entra a jak k těmto protokolům přistupovat pomocí Centra pro správu Microsoft Entra a Microsoft Graphu.

Protokoly auditu

Aktivita agenta se protokoluje pod základním typem identity, ze kterého aktivita pochází. V současné době existují tři typy identit agenta, které se zobrazují v protokolech auditu, z nichž každá souvisí s existujícím typem identity v Microsoft Entra ID.

• Aktivity podrobného plánu identity agenta se zobrazují jako události aplikace (například Přidat aplikaci nebo Odstranit aplikaci).
• Aktivity identity agenta se zobrazují jako události entity služby (například "Přidání entity služby" nebo "Aktualizace entity služby").
• Aktivity uživatelského účtu agenta se zobrazují jako uživatelské události (například Přidat uživatele).

Chcete-li zjistit, zda událost auditu zahrnuje identitu agenta, zkontrolujte agentType vlastnost v objektu initiatedBy, performedBya targetResources pole. Identita agenta a uživatelský účet agenta mohou být reprezentovány v událostech initiatedBy i performedBy. Jiná hodnota než notAgentic označuje zapojení agenta.

typ agenta

Hodnota agentType dále objasňuje činnosti spojené s identitou agenta. Tato agentType vlastnost označuje, jestli je identita zahrnutá v události auditu identita agenta, podrobný plán identity agenta nebo uživatelský účet agenta.

Vlastnost agentType se zobrazí v následujících zdrojích informací:

• auditAppIdentity
• auditUserIdentity
• targetResource
• auditActivityPerformer

Value	Popis
notAgentic	Identita není agent. Toto je standardní aplikace, uživatel nebo objekt služby.
agenticApp	Podrobný plán identity agenta, což je šablona nebo definice agenta. Analogické s registrací aplikace.
agenticAppInstance	Identita agenta, což je konkrétní běžící instance agenta. Analogické služebnímu principálu.
agentIdentityBlueprintPrincipal	Samotný objekt podrobného plánu, což je instanční objekt, který představuje podrobný plán.
agentIDuser	Uživatelský účet agenta. Tato identita umožňuje agenta fungovat jako uživatel s oprávněními delegovanými uživatelem.
unknownFutureValue	Hodnota sentinelu s možností výčtu. Nepoužívejte.

Následující tabulka shrnuje, jak se tyto aktivity agenta a hodnoty mapují a zobrazují se v protokolech auditu:

Akce agenta	Aktivita auditu	hodnota agentType
Vytvoření podrobného plánu identity agenta	Přidání aplikace	agenticApp
Vytvoření identity agenta	Přidat principál služby	agenticAppInstance
Vytvoření uživatelského účtu agenta	Přidat uživatele	agentIDuser
Aktualizace podrobného plánu identity agenta	Aktualizace aplikace	agenticApp
Aktualizace identity agenta	Aktualizace účtu služby	agenticAppInstance
Odstraňte šablonu identity agenta	Odstranění aplikace	agenticApp
Odstranění identity agenta	Odstranit službu principal	agenticAppInstance

Tip

Pokud chcete přijímat hodnoty agentIdentityBlueprintPrincipal a agentIDuser v odpovědích Microsoft Graph, zahrňte hlavičku požadavku Prefer: include-unknown-enum-members. Tyto hodnoty jsou součástí zvolitelného výčtu.

ID plánu

Vlastnost blueprintId je ID objektu agentIdentityBlueprint přidruženého k agentu. Tato vlastnost slouží ke korelaci identity agenta (instance) s jeho vzorem (šablonou). Tato vlastnost se zobrazí na auditAppIdentitytargetResource a auditActivityPerformer.

Vztah mezi blueprintId a identitou agenta je podobný vztahu mezi registrací aplikace a jejím hlavním službním zástupcem. Stejný podrobný plán může sdílet více identit agentů.

Co se změnilo ve schématu protokolu auditu

Následující změny schématu protokolu auditu umožňují sledování identit agenta:

• Vlastnost initiatedBy.app nyní používá auditAppIdentity typ prostředku, který zahrnuje agentType a blueprintId společně s existujícími appId, displayNameservicePrincipalId, a servicePrincipalName vlastnosti.
• Typ prostředku targetResource teď obsahuje agentType a blueprintId vlastnosti.
• Typ prostředku auditUserIdentity teď obsahuje agentType vlastnost.
• Nový auditActivityPerformer typ prostředku poskytuje agentType, appId a blueprintId pro aktéra události auditu.

Protokoly přihlašování

Typ agentSignIn události přihlášení obsahuje vlastnosti agenta, například pokud je agent aplikací nebo instancí aplikace. Vzhledem k tomu, že se agenti můžou přihlásit pomocí oprávnění delegovaných uživatelem nebo jenom aplikací, můžou se jejich přihlášení zobrazovat napříč všemi čtyřmi typy protokolů přihlašování.

Typ události přihlášení agentSignIn je k dispozici v Centrum pro správu Microsoft Entra a Graph API Microsoftu.

Centrum pro správu Microsoft Entra

1. Přihlaste se alespoň jako čtenář zpráv do centra pro administraci Microsoft Entra.
2. Přejděte do Entra ID>Monitorování a stav>Protokoly přihlášení.
3. K zobrazení přihlášení agenta použijte následující možnosti filtru:
   • Typ agenta: Vyberte si z ID uživatele agenta, identity agenta, plánu identity agenta nebo Ne agentic.
   • Is Agent: Vyberte z Ne nebo Ano

Microsoft Graph

Protokoly záznamů ID agenta Microsoft Entra lze zobrazit a spravovat pomocí Microsoft Graph na koncovém /beta bodu.

Začněte tím, že podle těchto pokynů budete pracovat s doporučeními pomocí Microsoft Graphu v Graph Exploreru.

1. Přihlaste se k Graph Exploreru.
2. V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.
3. Nastavte verzi rozhraní API na beta.

Načtení událostí přihlášení k identitě agenta

Chcete-li načíst pouze události přihlášení, ve kterých bylo zapojeno ID agenta Microsoft Entra, musíte najít události iniciované služebním hlavním objektem, kde je typ agenta AgentIdentity. Použijte následující požadavek Microsoft Graphu:

GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'