Paquetes de acceso para identidades de agente

La gestión de permisos de Microsoft Entra proporciona paquetes de acceso como mecanismo de administración. Los paquetes de acceso garantizan que las asignaciones de acceso del agente sean intencionadas, auditables y limitadas en el tiempo. Los paquetes de acceso representan un enfoque estructurado para administrar los permisos de identidad del agente, a diferencia de las asignaciones de permisos ad hoc que podrían carecer de controles de gobernanza adecuados. Los paquetes de acceso permiten el acceso estandarizado para muchos agentes de IA con las mismas necesidades de acceso, por ejemplo, una flota de agentes de IA de soporte al cliente. A través de paquetes de acceso, las organizaciones pueden establecer prácticas de gobernanza coherentes para la identidad del agente, la cuenta de usuario del agente y el acceso de la entidad de servicio a los recursos. Para obtener más información, consulte Gestión de las identidades de agentes.

Prerrequisitos

Antes de crear un paquete de acceso, confirme que se cumplen los siguientes requisitos previos en su organización:

  1. Los agentes utilizan identidades de agente de Agente de Microsoft Entra ID, o entidades de servicio, para la autorización de acceso a los recursos.

  2. La autorización es una de las siguientes:

    • Los agentes necesitan que se les asignen permisos de aplicación de OAuth para un recurso de destino, como Microsoft Graph o una aplicación, para poder acceder a las API de un recurso de destino.
    • Los agentes necesitan que se les asigne su identidad como miembros de grupos.
    • Los agentes necesitan que su identidad se asigne a los roles de directorio. Los roles permitidos se muestran en Microsoft Entra roles permitidos para los agentes.

  3. Tiene o puede crear un catálogo de administración de derechos adecuado para almacenar esos recursos. El paquete de acceso que va a crear y los recursos incluidos en él se agregarán al catálogo. Para obtener más información, consulte Creación de un catálogo.

    Nota:

    Si va a añadir permisos de API de OAuth o roles de directorio al paquete de acceso como roles de recurso, el catálogo se marcará como privilegiado cuando se añadan al paquete de acceso.

Creación de un paquete de acceso para identidades de agente

Para usar paquetes de acceso para agentes, el administrador de TI configura primero un nuevo paquete de acceso con los recursos pertinentes, incluidos los roles Entra, las pertenencias a grupos y las concesiones de permisos de OAuth a las API de aplicación. A continuación, el administrador configura en el paquete de acceso la configuración de directiva necesaria. Esta configuración define quién puede obtener acceso, quién puede solicitar acceso, aprobaciones, expiración de acceso y extensión.

Dado que las identidades de agente y las entidades de servicio no se pueden agregar a través de paquetes de acceso a roles de aplicación, roles de SAP o roles de sitio de SharePoint Online, no podrá reutilizar un paquete de acceso existente que contenga ninguno de esos roles de recursos. En su lugar, cree un nuevo paquete de acceso.

  1. Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de gobernanza de identidades.

    Sugerencia

    Si va a añadir permisos de API de OAuth o roles de directorio al paquete de acceso como roles de recurso, deberá ser administrador global.

  2. Vaya a Gobernanza de Identidades>Gestión de derechos>Paquetes de acceso.

  3. Seleccione Nuevo paquete de acceso.

  4. En la pestaña Aspectos básicos , asigne un nombre al paquete de acceso y una descripción y especifique en qué catálogo se va a crear el paquete de acceso. En la lista desplegable Catálogo, seleccione el catálogo en el que quiera colocar el paquete de acceso.

  5. Seleccione Siguiente: Roles de recurso. En la pestaña Roles de recursos, seleccione los roles de recursos que se van a incluir en el paquete de acceso. Los paquetes de acceso para identidades de agente pueden tener pertenencias a grupos de seguridad, roles de directorio o permisos de API como roles de recurso. Para obtener más información, consulte agregar un grupo, agregar un rol de Microsoft Entra y agregar un permiso de API. No agregue roles de aplicación, roles de SAP ni roles de sitio de SharePoint Online a un paquete de acceso para identidades de agente.

    Sugerencia

    Si no estás seguro de qué roles de recursos incluir, puedes omitir adicionarlos al crear el paquete de acceso y, a continuación, agregarlos más tarde.

  6. Selecciona Siguiente: Solicitudes. En la pestaña Solicitudes, crearás la primera directiva para especificar quién puede solicitar el paquete de acceso. en la sección Quién puede obtener acceso , seleccione Para usuarios, entidades de servicio e identidades de agente en el directorio. En Seleccionar ámbito específico, seleccione la opción Todos los agentes.

    Nota:

    Si sus agentes utilizan entidades de servicio en lugar de identidades de agente de Microsoft Entra, cree también una directiva de asignación de paquetes de acceso con la opción Todas las entidades de servicio para permitir que las entidades de servicio de su directorio puedan solicitar este paquete de acceso.

  7. Determine cuántas fases de aprobación se necesitan. Establezca el botón de alternancia Número de fases en 1 para una aprobación de una sola fase, en 2, para una aprobación de dos fases o en 3 para una aprobación de tres fases. A continuación, configure las fases de aprobación y quiénes deben ser los aprobadores. Para obtener más información, consulte aprobación de una sola fase.

  8. Una vez que haya especificado cada fase de aprobación, seleccione Siguiente: Información del solicitante.

  9. Seleccione Siguiente: Ciclo de vida. Especifique cuánto tiempo debe permanecer una asignación de paquete de acceso antes de que expire.

  10. Seleccione Siguiente: Las reglas.

  11. Seleccione Siguiente: Revisar y crear. En la pestaña Revisar y crear, puede revisar la configuración y comprobar si hay errores de validación.

  12. Selecciona Crear para crear el paquete de acceso y su directiva inicial.

Además de usar el Centro de administración de Microsoft Entra, también puede crear un paquete de acceso mediante programación, a través de Microsoft Graph y a través de los cmdlets de PowerShell para Microsoft Graph. Para obtener más información, consulte Creación de un paquete de acceso mediante programación.

Solicitud de acceso y proceso de aprobación

A continuación, los agentes se pueden asignar paquetes de acceso a través de tres caminos de solicitud diferentes.

Después del envío, la solicitud de acceso se enruta a aprobadores designados en función de la configuración de la directiva de paquete de acceso.

Ciclo de vida de la asignación de acceso

Una vez que un aprobador acepta la solicitud de asignación de paquetes de acceso, la identidad del agente recibe acceso limitado a tiempo a los recursos especificados. El acceso se concede según los roles de recurso definidos en el paquete de acceso. Esto establece una fecha de inicio y finalización clara para el acceso que podría necesitar el agente.

Si la asignación es a una identidad de agente y se ha establecido un patrocinador en la identidad de agente, a medida que se acerca la fecha de caducidad, el patrocinador recibe notificaciones sobre la caducidad pendiente. A continuación, el patrocinador tiene dos opciones: pueden solicitar una extensión del paquete de acceso (si lo permite la directiva) o pueden permitir que expire la asignación de paquetes de acceso.

Si el patrocinador solicita una extensión, esta solicitud puede desencadenar un nuevo ciclo de aprobación, donde los aprobadores de nuevo confirman si el acceso continuado es adecuado. Si el patrocinador no realiza ninguna acción, la asignación del paquete de acceso expira automáticamente en su fecha de finalización y la identidad del agente pierde el acceso a los recursos de destino.

Contenido relacionado

  • Last updated on