Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Agente de Microsoft Entra ID API de Microsoft Graph le ayudan a crear, proteger y administrar identidades de agentes de inteligencia artificial que operan en su organización. Puede crear identidades de agente mediante programación, controlar su acceso a los recursos y supervisar sus actividades a través de una plataforma centralizada.
En este artículo, obtendrá información sobre los conceptos clave y las API para administrar identidades de agente en Microsoft Graph, incluidos los componentes que componen una identidad de agente, cómo aplicar directivas de seguridad y gobernanza a los agentes y los permisos necesarios para administrar agentes mediante programación.
Para obtener más información sobre la Agente de Microsoft Entra ID, consulte ¿Qué es Agente de Microsoft Entra ID?
Bloques de creación de identidades de agente
Los siguientes componentes principales comprenden la arquitectura de Agente de Microsoft Entra ID:
| Componente | Objetivo | Recurso de Microsoft Graph |
|---|---|---|
| Plano técnico | Plantilla que define el tipo de identidad del agente, incluidos los permisos que las identidades de agente se autentican previamente para heredar automáticamente | agentIdentityBlueprint |
| Entidad de seguridad de plano técnico | Registro de la adición del plano técnico a un inquilino | agentIdentityBlueprintPrincipal |
| Identidad del agente | Identidad principal para la autenticación | agentIdentity |
| Usuario del agente | Cuenta opcional para escenarios que requieren una cuenta de usuario | agentUser |
Obtenga más información sobre la arquitectura de identidad del agente en Agente de Microsoft Entra ID conceptos clave.
API relacionadas para la seguridad y la gobernanza de los agentes
Agente de Microsoft Entra ID amplía las funcionalidades completas de seguridad y gobernanza de Microsoft Entra a los agentes de inteligencia artificial, incluidos los registros de acceso condicional, gobernanza y auditoría.
Propiedad y responsabilidad
Cada identidad de agente debe tener una parte designada responsable de las acciones del agente, los permisos de acceso y la posición de seguridad general para garantizar la responsabilidad y la gobernanza adecuada. Las API de Microsoft Graph le permiten asignar y administrar los siguientes metadatos para identidades de agente, para admitir este principio.
| Metadata | Se aplica a |
|---|---|
| owner | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity |
| patrocinador | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity, agentUser |
| manager | agentUser |
Consulte Relaciones administrativas en Agente de Microsoft Entra ID (propietarios, patrocinadores y administradores) para obtener más información.
Acceso condicional
Puede aplicar directivas de acceso condicional mediante programación para aplicar directivas de acceso en agentes de inteligencia artificial, en función de la identidad del agente, el riesgo y otros factores contextuales.
- Use la API de evaluación What If para simular cómo afectarían las directivas de acceso condicional a las identidades de agente que intentan acceder a los recursos.
- Use las API de directiva de acceso condicional para aplicar o administrar directivas de acceso condicional para los agentes de IA que acceden a los recursos de la organización. Puede aplicar estas directivas en función del nivel de riesgo del agente o de los atributos de seguridad personalizados asignados a los agentes.
Gobierno
Gobierno de Microsoft Entra ID se extiende a los agentes de inteligencia artificial, lo que le permite administrar el ciclo de vida de acceso de las identidades de agente de la misma manera que otras identidades. Con la gobernanza aplicada a las identidades de agente, puede asegurarse de que los agentes tienen una persona responsable que proporciona supervisión durante todo el ciclo de vida del agente y que el acceso al agente no persiste más tiempo del necesario.
- Use paquetes de acceso a través de las API de administración de derechos para asignar a las identidades de agente acceso a grupos de seguridad, permisos de OAuth de la aplicación (incluidos los permisos de Microsoft Graph) y roles de Microsoft Entra. La propia identidad del agente, su propietario, su patrocinador o un administrador pueden solicitar paquetes de acceso en nombre del agente.
- Asigne patrocinadores a identidades de agente y usuarios de agentes para designar usuarios humanos responsables de tomar decisiones sobre el ciclo de vida y el acceso del agente. Los patrocinadores reciben notificaciones cuando las asignaciones de paquetes de acceso se acercan a la expiración y pueden aprobar renovaciones o permitir que el acceso expire.
- Use revisiones de acceso para comprobar periódicamente que las identidades de agente todavía necesitan el acceso que tienen.
- Use flujos de trabajo de ciclo de vida para automatizar las tareas de ciclo de vida del patrocinador de identidad de agente para una gobernanza y cumplimiento eficaces, como desencadenar notificaciones cuando cambia el patrocinador de identidad del agente o transferir responsabilidades de patrocinio de un usuario a su administrador.
Para obtener información general completa sobre las funcionalidades de gobernanza de las identidades de agente, consulte Gobierno de Microsoft Entra ID para identidades de agente.
Supervisión de actividad
Microsoft Entra informes de inicio de sesión y registros de auditoría capturan las actividades realizadas por las identidades de agente, lo que proporciona visibilidad sobre las operaciones del agente para la supervisión de cumplimiento y seguridad, desde la creación de identidades de agente hasta los cambios de configuración en los agentes, incluidas las asignaciones de roles y permisos.
Permisos para administrar identidades de agente
Microsoft Graph proporciona permisos pormenorizados para administrar identidades de agente y sus componentes asociados. Los permisos siguen los siguientes patrones y se publican en la referencia de permisos de Microsoft Graph.
Permisos para administrar las identidades y los planos técnicos de identidad del agente:
- AgentIdentity*
Permisos para administrar usuarios del agente:
- AgentIdUser.Read*
La administración de directivas de acceso condicional y la visualización de registros de auditoría para agentes requieren los mismos permisos que la administración de estas características para otros tipos de identidad en Microsoft Entra. Para obtener más información, consulte los artículos de API correspondientes para cada característica.
Permisos de Microsoft Graph bloqueados para agentes
Las identidades de agente usan el mismo modelo de permisos de Microsoft Graph que otras identidades. Por lo tanto, se les pueden conceder permisos delegados o de aplicación para acceder a las API de Microsoft Graph.
Sin embargo, debido a la naturaleza autónoma de los agentes y a los posibles riesgos que suponen, los siguientes permisos de microsoft Graph API de alto riesgo se bloquean explícitamente para que los agentes eviten el uso indebido o el acceso no deseado a datos confidenciales. Estos permisos no se pueden conceder a las identidades de agente a través de Microsoft Graph o Centro de administración Microsoft Entra.
Leyenda:
- ❌ indica que el permiso está bloqueado en esa categoría
- ➖ indica que el permiso no es aplicable o está bloqueado en esa categoría.