Registros de ID del Agente de Microsoft Entra

A medida que crece el uso, las funcionalidades y el ámbito de los agentes de IA, es importante comprender cómo se registran las actividades asociadas a las identidades de agente en el identificador de Microsoft Entra. Como administrador de TI, debe saber qué información está disponible en los registros de auditoría e inicio de sesión y cómo usar esa información para supervisar la actividad del agente. Los registros de auditoría e inicio de sesión son útiles cuando necesita investigar los siguientes tipos de escenarios:

• Registros de inicio de sesión de agentes o tráfico relacionado con agentes
• Registros de auditoría para cuando la identidad de un agente o la cuenta de usuario de un agente es el iniciador o el ejecutor de una operación en mi inquilino

En este artículo se describe cómo se registran las actividades de identidad del agente en microsoft Entra ID y cómo acceder a esos registros mediante el Centro de administración de Microsoft Entra y Microsoft Graph.

Registros de auditoría

La actividad del agente se registra en el tipo de identidad base desde donde se origina la actividad. Actualmente hay tres tipos de identidad de agente que aparecen en los registros de auditoría, cada uno de los cuales se correlaciona con un tipo de identidad existente en el identificador de Microsoft Entra.

• Las actividades del plano técnico de identidad del agente aparecen como eventos de aplicación (por ejemplo, "Agregar aplicación" o "Eliminar aplicación").
• Las actividades de identidad del agente aparecen como eventos de entidad de servicio (por ejemplo, "Agregar entidad de servicio" o "Actualizar entidad de servicio").
• Las actividades de la cuenta de usuario del agente aparecen como eventos de usuario (por ejemplo, "Agregar usuario").

Para identificar si un evento de auditoría implica la identidad de un agente, compruebe la propiedad agentType en los campos initiatedBy, performedBy y targetResources. Tanto la identidad del agente como la cuenta de usuario de un agente se pueden representar en los eventos initiatedBy y performedBy. Un valor distinto de notAgentic indica la implicación del agente.

tipoDeAgente

El agentType valor aclara aún más las acciones de identidad del agente. La agentType propiedad indica si la identidad implicada en un evento de auditoría es una identidad del agente, un plano técnico de identidad del agente o una cuenta de usuario del agente.

La agentType propiedad aparece en los siguientes recursos:

• auditAppIdentity
• auditUserIdentity
• targetResource
• auditActivityPerformer

Value	Descripción
notAgentic	La identidad no es un agente. Se trata de una aplicación estándar, un usuario o un principal de servicio.
agenticApp	Un plano técnico de identidad del agente, que es la plantilla o definición de un agente. Análogo a un registro de aplicación.
agenticAppInstance	Una identidad de agente, que es una instancia específica en ejecución de un agente. Análogo a una entidad de servicio.
agentIdentityBlueprintPrincipal	El propio principal del blueprint, que es el principal de servicio que representa el blueprint.
agentIDuser	Cuenta de usuario de un agente. Esta identidad permite que un agente actúe como usuario con permisos delegados por el usuario.
unknownFutureValue	Valor centinela de enumeración evolutiva. No utilizar.

En la tabla siguiente se resume cómo estas actividades y valores del agente se asignan juntas y aparecen en los registros de auditoría:

Acción de agente	Actividad de auditoría	valor agentType
Creación de un plano técnico de identidad del agente	Agregar aplicación	agenticApp
Creación de una identidad de agente	Agregar entidad de servicio	agenticAppInstance
Creación de la cuenta de usuario de un agente	Agregar usuario	agentIDuser
Actualización de un plano técnico de identidad del agente	Actualización de una aplicación	agenticApp
Actualización de una identidad del agente	Actualización de entidad de servicio	agenticAppInstance
Eliminación de un plano técnico de identidad del agente	Eliminar aplicación	agenticApp
Eliminación de una identidad de agente	Eliminación de la entidad de servicio	agenticAppInstance

Sugerencia

Para recibir valores agentIdentityBlueprintPrincipal y agentIDuser en las respuestas de Microsoft Graph, incluya el encabezado de solicitud Prefer: include-unknown-enum-members. Estos valores forman parte de una enumeración en evolución.

blueprintId

La blueprintId propiedad es el identificador de objeto del agentIdentityBlueprint asociado al agente. Utilice esta propiedad para correlacionar la identidad de un agente (instancia) con su plantilla. Esta propiedad aparece en auditAppIdentity, targetResource y auditActivityPerformer.

La relación entre blueprintId y la identidad del agente es similar a la relación entre el registro de una aplicación y su entidad de servicio. Varias identidades de agente pueden compartir el mismo plano técnico.

Lo que ha cambiado en el esquema del registro de auditoría

Los siguientes cambios en el esquema del registro de auditoría habilitan el seguimiento de identidades del agente:

• La initiatedBy.app propiedad ahora usa el tipo de recurso auditAppIdentity, que incluye agentType y blueprintId junto con las propiedades existentes appId, displayName, servicePrincipalId y servicePrincipalName.
• El tipo de recurso targetResource ahora incluye las propiedades agentType y blueprintId.
• El tipo de recurso auditUserIdentity ahora incluye una agentType propiedad .
• Un nuevo auditActivityPerformer tipo de recurso proporciona agentType, appIdy blueprintId para el actor de un evento de auditoría.

Registros de inicio de sesión

El agentSignIn tipo de evento de inicio de sesión contiene propiedades sobre el agente, como si el agente es una aplicación o una instancia de una aplicación. Dado que los agentes pueden iniciar sesión con permisos delegados por el usuario o solo de aplicación, sus inicios de sesión pueden aparecer en cada uno de los cuatro tipos de registro de inicio de sesión.

El tipo de evento de inicio de sesión agentSignIn está disponible en el centro de administración de Microsoft Entra y en la Microsoft Graph API.

Centro de administración de Microsoft Entra

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
2. Vaya a Entra ID>, luego a Supervisión y salud>, y por último a Registros de inicio de sesión.
3. Use las siguientes opciones de filtro para ver los inicios de sesión del agente:
   • Tipo de agente: elija entre el usuario de id. de agente, la identidad del agente, el plano técnico de identidad del agente o not agentic.
   • Es agente: elija entre No o Sí.

Microsoft Graph

Los registros de identificadores de Microsoft Entra Agent se pueden ver y administrar mediante Microsoft Graph en el /beta punto de conexión.

Para empezar, siga estas instrucciones a fin de trabajar con recomendaciones con Microsoft Graph en el Explorador de Graph.

1. Inicie sesión en Graph Explorer.
2. Seleccione GET como método HTTP en la lista desplegable.
3. Establezca la versión de la API en beta.

Recuperar eventos de inicio de sesión de la identidad del agente

Para recuperar únicamente los eventos de inicio de sesión en los que haya intervenido Agente de Microsoft Entra ID, debe buscar los eventos iniciados por una entidad de servicio cuyo tipo de agente sea AgentIdentity. Use la siguiente solicitud de Microsoft Graph:

GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'