Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra le permite asegurarse de que las personas adecuadas tienen el acceso adecuado a las aplicaciones y servicios adecuados en el momento adecuado. Con la incorporación de la plataforma de identidad del agente de Microsoft, gestionar a los agentes de manera consistente es igualmente importante en el ciclo de vida de gobernanza de su organización. La plataforma de identidad del agente de Microsoft presenta el concepto de identidades de agente (identificadores). Las identidades del agente son cuentas dentro del identificador de Entra de Microsoft que proporcionan funcionalidades únicas de identificación y autenticación para los agentes de IA.
Esto permite que las identidades del agente se rijan con las características de Microsoft Entra de la misma manera en que gestionaría las identidades humanas. Con las identidades del agente, puede controlar y administrar el ciclo de vida de identidad y acceso de los agentes, lo que garantiza que los agentes tengan una persona responsable que proporcione supervisión durante todo el ciclo de vida del agente y el acceso del agente no persista más de lo necesario. En este artículo se proporciona información general sobre cómo se puede usar Microsoft Entra para controlar las identidades del agente.
Requisitos de licencia
Importante
El identificador de Microsoft Entra Agent forma parte de Microsoft Agent 365, disponible ahora en Frontier, el programa de acceso anticipado de Microsoft para las últimas innovaciones de inteligencia artificial. Para obtener más información, consulte Id. de Microsoft Entra Agent.
Conceptos básicos de identidades de agente
Históricamente, los agentes de inteligencia artificial se basarían en herramientas para interactuar con diversas aplicaciones y sistemas, y cada una de esas herramientas tendría sus propias identidades en esas aplicaciones y sistemas. Algunas de esas herramientas usarían entidades de servicio para autenticarse en los servicios de Microsoft a través de Las API de Microsoft Graph o Microsoft Azure. Microsoft Entra Agent ID introduce soporte para identidades de los propios agentes, con cuatro nuevos tipos de objeto: plano de identidad del agente, principal de plano de identidad del agente, identidad del agente y usuario del agente. A través del plano técnico de identidad del agente, el agente puede crear una o varias identidades de agente y, opcionalmente, un usuario del agente para cada identidad del agente. Cada identidad del agente y el usuario del agente pueden tener derechos de acceso distintos.
Para un agente compatible con multinquilinos, un modelo de identidad del agente se puede integrar en el inquilino con sus recursos para que pueda crear identidades de agente en ese inquilino, de forma similar a cómo una aplicación multinquilino puede tener una entidad de servicio en cada inquilino.
La identidad del agente y el usuario del agente permiten a los agentes de inteligencia artificial asumir identidades digitales en Microsoft Entra. Una vez creadas las identidades de agente, estas identidades de agente se pueden regular mediante el ciclo de vida y las características de acceso. Los patrocinadores se pueden asignar a identidades de agente después de la creación. Los patrocinadores de las identidades de los agentes son usuarios humanos responsables de tomar decisiones sobre su ciclo de vida y el acceso. Para obtener más información sobre el rol de un patrocinador de identidades de agente, consulte: Relaciones administrativas para identificadores de agente.
Identidades de agente en otros productos y portales de Microsoft
Microsoft Foundry aprovisiona y administra automáticamente las identidades del agente a lo largo del ciclo de vida del agente. Cuando se crea el primer agente de un proyecto foundry, Microsoft Foundry aprovisiona un plano técnico de identidad de agente predeterminado y una identidad de agente predeterminada para el proyecto, y los agentes del proyecto se autentican mediante la identidad del agente del proyecto compartido. La publicación de un agente crea automáticamente una plantilla de identidad del agente dedicado y la identidad del agente, y el agente se autenticará usando su identidad única. Foundry admite el uso de la identidad del agente para la autenticación en el Protocolo de contexto de modelo (MCP) y las herramientas agente a agente (A2A). Para obtener más información, consulte Conceptos de identidad del agente en Microsoft Foundry.
Puede configurar una aplicación de Azure App Service o Azure Functions para usar la plataforma de identidad del agente de Microsoft Entra para conectarse de forma segura a los recursos como agente. Para más información, consulte Uso de una identidad de agente en App Service y Azure Functions.
Los agentes creados en Microsoft Copilot Studio se pueden configurar para asignarse automáticamente a una identidad del agente. Cuando una identidad de agente se crea por primera vez en un entorno de Power Platform después de habilitar esta configuración, se crea automáticamente un plano de identidad de agente de Microsoft Copilot Studio y un principal del plano de identidad de agente. Para obtener más información, consulte Crear automáticamente identidades de Entra agent para agentes de Copilot Studio (versión preliminar).
En el caso de los agentes de la plataforma microsoft Teams , un desarrollador puede crear y administrar planos técnicos de identidad del agente en el Portal para desarrolladores de Teams. Para obtener más información, consulte Administrar las aplicaciones en el Portal para desarrolladores.
Microsoft Agent 365 proporciona a cada agente de IA su propio identificador de Microsoft Entra Agent, para la administración de identidades, ciclo de vida y acceso. Para obtener más información, consulte Funcionalidades de la plataforma de identidad del agente para el Agente 365.
Asignación de acceso a las identidades de los agentes
Cuando se crean, las identidades de agente tienen permisos limitados, como los alcances de permisos delegados de OAuth 2 heredados de su plantilla de identidad del agente principal. Además, las identidades del agente pueden tener asignado el acceso a recursos directamente a través de paquetes de acceso. Los agentes pueden solicitar un paquete de acceso para sus propios identificadores de agente, o solicitar que su propietario o patrocinador lo haga en su nombre. Con los paquetes de acceso, puede asignar identidades de agente acceso a los siguientes recursos:
- Pertenencias a grupos de seguridad
- Roles de aplicación y permisos de API, incluidos los permisos de aplicación de Graph
- Roles de Microsoft Entra
Para usar paquetes de acceso para identidades de agente, configure un paquete de acceso con la configuración de directiva necesaria. Al crear una directiva de asignación de paquetes de acceso, en la sección Quién puede obtener acceso, seleccione Para usuarios, entidades de servicio e identidades de agente en el directorio y, a continuación, seleccione la opción Todos los agentes (versión preliminar).
Nota:
Si los agentes no usan identificadores de agente de Microsoft Entra, cree también una directiva de asignación de paquetes de acceso con la opción Todas las entidades de servicio (versión preliminar) para permitir que las entidades de servicio del directorio puedan solicitar este paquete de acceso.
A continuación, los agentes se pueden asignar paquetes de acceso a través de tres caminos de solicitud diferentes.
- La propia identidad del agente puede solicitar mediante programación un paquete de acceso cuando sea necesario para sus operaciones mediante la creación de un accessPackageAssignmentRequest.
- El patrocinador del agente puede solicitar acceso en nombre del identificador del agente, lo que proporciona supervisión humana en el proceso de solicitud de acceso. Para obtener más información, consulte Solicitar un paquete de acceso en nombre de una identidad del agente (versión preliminar).
- Un administrador puede asignar directamente la identidad del agente o el usuario del agente al paquete de acceso.
Después del envío, la solicitud de acceso se enruta a los aprobadores designados en función de la configuración del paquete de acceso.
Cuando la identidad del agente ha recibido una asignación de paquete de acceso con una fecha de vencimiento, y si un patrocinador está asignado a la identidad del agente, cuando se aproxima la fecha de vencimiento, el patrocinador recibe notificaciones sobre la expiración pendiente. A continuación, el patrocinador tiene dos opciones: pueden solicitar una extensión del paquete de acceso (si lo permite la directiva) o pueden permitir que expire la asignación de paquetes de acceso. Si el patrocinador solicita una extensión, esta solicitud puede desencadenar un nuevo ciclo de aprobación, donde los aprobadores de nuevo confirman si el acceso continuado es adecuado. Si el patrocinador no realiza ninguna acción, la asignación del paquete de acceso expira automáticamente en su fecha de finalización y la identidad del agente pierde el acceso a los recursos de destino.
Para obtener una guía sobre cómo crear un paquete de acceso, consulte: Creación de un paquete de acceso en la administración de derechos. Para obtener una guía sobre cómo asignar identidades a un paquete de acceso existente, consulte: Ver, agregar y quitar asignaciones para un paquete de acceso en la administración de derechos.
Administración de agentes
Cuando se crean identidades de agente, los propietarios y patrocinadores del agente pueden tomar decisiones manualmente para la identidad del agente a través del portal Mi cuenta y el Portal de Mi acceso.
Desde el portal Mi cuenta, los patrocinadores y los propietarios pueden administrar el ciclo de vida de identidad de los agentes, como habilitar y deshabilitar el agente. También puede ver información sobre su acceso, actividad y ciclo de vida. Para obtener más información sobre la administración de agentes, vea: Administrar agentes en Microsoft Entra ID (versión preliminar).
Desde el portal Mi acceso, los patrocinadores y los propietarios de identidades de agente pueden solicitar paquetes de acceso en nombre de sus identidades de agente. Para obtener una guía sobre cómo solicitar paquetes de acceso, consulte: Solicitud de un paquete de acceso en nombre de una identidad del agente (versión preliminar).
Administración del patrocinador de identidades de agente
Una de las partes más importantes de la gestión de las identidades de los agentes es garantizar que siempre se asigne a un usuario humano delegado para verificar que el acceso de la identidad del agente a los recursos esté al día. Si el patrocinador abandona la organización, el patrocinio de las identidades del agente se transfiere automáticamente a su administrador. Con el patrocinio transferido, siempre hay un usuario humano responsable de administrar el acceso y el ciclo de vida de las identidades del agente. Las características de gobernanza de id. de Microsoft Entra pueden ayudar a simplificar este proceso dentro de su organización. Los flujos de trabajo de ciclo de vida incluyen varias tareas alrededor de notificar a los copatrocinadores y a los administradores de patrocinadores, sobre los cambios inminentes en el patrocinio. Para obtener una guía sobre cómo configurar un flujo de trabajo para patrocinadores de identidad de agentes, consulte: Tareas de patrocinador de identidades de agentes en los flujos de trabajo de ciclo de vida (versión preliminar).