Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las identidades del agente son cuentas de identidad dentro de Microsoft Entra ID que proporcionan funcionalidades únicas de identificación y autenticación para los agentes de IA. A medida que las organizaciones implementan cada vez más sistemas de inteligencia artificial autónomos, los modelos de identidad diseñados para usuarios humanos y aplicaciones resultan insuficientes. Las identidades del agente abordan esta brecha al proporcionar una construcción de identidad especializada creada específicamente para los requisitos únicos de los agentes de inteligencia artificial que operan a escala empresarial.
¿Qué es un agente?
En su forma más fundamental, un agente es una aplicación que intenta lograr un objetivo al comprender su entorno o contexto, tomar decisiones y actuar sobre ellos de forma autónoma mediante herramientas disponibles. Los agentes pueden actuar con o sin intervención humana cuando se proporcionan objetivos o objetivos adecuados.
Entre los componentes clave de un agente se incluyen:
Modelo: los agentes basados en modelos tienen modelos de lenguaje que sirven como creador de decisiones centralizado para los procesos del agente. Los modelos pueden ser de uso general, bidireccionales o ajustados en función de las necesidades específicas de la arquitectura del agente.
Capa de orquestación: El proceso cíclico que rige cómo el agente recopila información, realiza razonamientos internos y utiliza esos razonamientos para determinar su siguiente acción. Este bucle continúa hasta que el agente alcanza su objetivo o un punto de detención. La complejidad varía de las reglas de decisión simples a la lógica encadenada.
Memoria: la memoria de los agentes proporciona a los agentes información más dinámica y up-to-date, lo que garantiza que las respuestas sean precisas y relevantes. Esta memoria permite a los desarrolladores proporcionar más datos en su formato original a un agente, sin necesidad de transformaciones de datos, reentrenamiento del modelo o ajuste fino. Difiere de los modelos de lenguaje grandes (LLM) típicos que permanecen estáticos, conservando solo los conocimientos en los que se entrenaron inicialmente.
Herramientas: las herramientas permiten a los agentes interactuar con su entorno y ampliar sus funcionalidades. Las herramientas pueden incluir búsqueda en la web, acceso a bases de datos, APIs, sistemas de archivos o integraciones con otro software. Cada herramienta requiere una consideración cuidadosa de la seguridad, los permisos y el control de errores. Mediante el uso de herramientas, los agentes pueden realizar tareas complejas, obtener acceso a la información y controlar sistemas externos, lo que hace que sean más eficaces y adaptables.
Los flujos de trabajo del agente están planeados o controlados de forma autónoma e independiente de un usuario humano. Hay muchos tipos de flujos de trabajo de agente, desde los iniciados directamente por un usuario hasta los que operan de forma autónoma. Los subcomponentes, aptitudes, herramientas o API que se usan en esos flujos de trabajo podrían o no ser agentes.
¿Por qué existen identidades de agente?
La aparición de agentes de inteligencia artificial como sistemas empresariales autónomos presenta desafíos operativos y de seguridad que los modelos de identidad existentes no pueden abordar adecuadamente. Las identidades del agente ayudan a abordar ciertos desafíos de seguridad que plantean los agentes de inteligencia artificial, como:
- La necesidad de distinguir las operaciones realizadas por los agentes de inteligencia artificial de las operaciones realizadas por personal, cliente o identidades de carga de trabajo.
- Permitir que los agentes de inteligencia artificial obtengan acceso de tamaño adecuado en todos los sistemas.
- Impedir que los agentes de inteligencia artificial obtengan acceso a los sistemas y roles de seguridad más críticos.
- Ampliación de la gestión de identidades a un gran número de agentes de inteligencia artificial que podrían crearse y destruirse rápidamente.
Identidades de agente frente a identidades de aplicación
Las identidades de aplicación, que normalmente se representan como entidades de servicio en Microsoft Entra ID, se diseñaron para los servicios creados y mantenidos por las organizaciones. Estas identidades tienen la expectativa de estabilidad a largo plazo, propiedad conocida y ciclo de vida administrado.
A menudo, los agentes se crean dinámicamente a través de la automatización, acciones de usuario en herramientas como Copilot Studio o orquestación de API. Un agente puede existir durante minutos durante una tarea específica o puede crearse y destruirse miles de veces al día como parte de un flujo de trabajo automatizado. La administración de este nivel de dinamismo con las identidades de aplicación existentes crea desafíos de complejidad operativa y seguridad.
Las identidades del agente adoptan esta naturaleza dinámica al tiempo que proporcionan controles de seguridad adecuados. Las organizaciones pueden crear identidades de agente de forma masiva, aplicar directivas coherentes a todos los agentes y retirar agentes sin dejar credenciales huérfanas ni asignaciones de permisos. El modelo de identidad está diseñado para la escalabilidad y la efimeralidad en lugar de la permanencia.
Identidades de agente frente a identidades de usuario humano
Las identidades de usuario humano están vinculadas a mecanismos de autenticación que los humanos usan diariamente, como contraseñas, autenticación multifactor y claves de acceso. Los usuarios humanos tienen datos asociados a ellos, como buzones, equipos y jerarquía organizativa.
Las identidades del agente representan sistemas de software, no seres humanos. No usan mecanismos de autenticación humana. Sin embargo, algunos escenarios requieren que los agentes aparezcan y funcionen como si fueran usuarios humanos. Para estos escenarios, las identidades de agente se pueden emparejar con cuentas de usuario de agente: cuentas de usuario especiales de Microsoft Entra que mantienen una relación uno a uno con su identidad de agente emparejada. Esta distinción permite a las organizaciones proporcionar a los agentes una identidad de usuario cuando sea necesario para la compatibilidad del sistema, a la vez que mantiene una separación clara y las directivas de seguridad adecuadas para las operaciones controladas por inteligencia artificial.
Qué permiten las identidades de los agentes
Las identidades del agente proporcionan la base para la implementación segura y escalable del agente de IA habilitando varias funcionalidades clave. Al igual que otras cuentas, las identidades de agente son principalmente un medio para acceder a aplicaciones, servicios web y otros sistemas de su organización. Un agente de IA puede usar identidades de agente para:
Acceso a servicios web. Los agentes pueden solicitar tokens de acceso desde Microsoft Entra y usar esos tokens para acceder a los servicios web. Los servicios pueden incluir servicios Microsoft, como Microsoft Graph, servicios creados por su organización y servicios adquiridos por proveedores de terceros.
Acceso autónomo. Los agentes pueden actuar de forma autónoma mediante derechos de acceso proporcionados directamente a la identidad del agente. Los derechos de acceso pueden incluir permisos de Microsoft Graph, roles de RBAC de Azure, roles de directorio de Microsoft Entra, roles de aplicación de Microsoft Entra y más.
Acceso delegado. Los agentes pueden actuar en nombre de los usuarios humanos mediante los derechos de acceso concedidos al usuario. El usuario tiene control sobre qué derechos se delegan a la identidad del agente.
Autenticar mensajes entrantes: los agentes pueden aceptar solicitudes de otros clientes, usuarios y agentes. Esas solicitudes se pueden proteger mediante tokens de acceso emitidos por Microsoft Entra ID, lo que permite al agente identificar de forma confiable al autor de la llamada y tomar decisiones de autorización.
Identidades de agente en la práctica
Varios productos Microsoft ya usan identidades de agente para autenticar agentes de IA. Entre los dos ejemplos se incluyen:
Agente de optimización de acceso condicional de Entra: Cuando este agente está habilitado en su inquilino, se le asigna una identidad de agente. A continuación, el agente de optimización de acceso condicional Microsoft Entra usa su identidad del agente para consultar sistemas Microsoft Entra e inspeccionar la configuración del inquilino. Todas las consultas realizadas por el agente se registran como realizadas por un agente de IA. La actividad del agente está sujeta a cualquier política de seguridad aplicada para la identidad del agente. Puede ver la identidad del agente en el Centro de administración Microsoft Entra de la pestaña Agent identities.
Agents integrado en Copilot Studio: en organizaciones que usan Copilot Studio, los usuarios pueden crear rápidamente agentes de inteligencia artificial mediante las herramientas de código bajo de Copilot Studio. Cada vez que se crea un agente de IA, el agente obtiene una identidad de agente en el entorno de Microsoft Entra. El usuario que creó el agente se registra como patrocinador. Después, el agente puede usar su identidad del agente para enviar o recibir mensajes de chat a los usuarios y conectarse a varios sistemas, como SharePoint o Dataverse. Cualquier autenticación realizada por estos agentes se registra en Microsoft Entra ID como agentes de IA y se puede ver a través del Centro de administración Microsoft Entra.
Cómo empezar
Agente de Microsoft Entra ID forma parte de Microsoft Agent 365. Para usar características de id. de agente, los usuarios necesitan una licencia Microsoft Agent 365 o Microsoft 365 E7. Todos los agentes que actúan en nombre de un usuario con licencia están cubiertos por la licencia de ese usuario. Los agentes no requieren su propia licencia. Para obtener más información sobre los precios, consulte Microsoft Preguntas más frecuentes sobre licencias del Agente 365.
Algunas características de seguridad de Microsoft Entra para agentes requieren licencias adicionales:
- Acceso condicional para agentes: Microsoft Entra ID P1 o Microsoft 365 E3.
- ID Protection for agents: Microsoft Entra ID P2, Microsoft 365 E5 o Microsoft Entra Suite.
- Gobernanza de ID para agentes: Microsoft Entra ID P1 o Microsoft 365 E3.
- Controles de red para agentes: Acceso a Internet de Microsoft Entra, incluidos en Microsoft Entra Suite o con licencia por separado. Para obtener más información, consulte ¿Qué es el acceso seguro global?