Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Agente de Microsoft Entra ID API de Microsoft Graph le ayudan a crear, proteger y administrar identidades de agentes de inteligencia artificial que operan en su organización. Puede crear identidades de agente mediante programación, controlar su acceso a los recursos y supervisar sus actividades a través de una plataforma centralizada.
En este artículo, obtendrá información sobre los conceptos clave y las API para administrar identidades de agente en Microsoft Graph, incluidos los componentes que componen una identidad de agente, cómo aplicar directivas de seguridad y gobernanza a los agentes y los permisos necesarios para administrar agentes mediante programación.
Para obtener más información sobre la Agente de Microsoft Entra ID, consulte ¿Qué es Agente de Microsoft Entra ID?
Bloques de creación de identidades de agente
Los siguientes componentes principales comprenden la arquitectura de Agente de Microsoft Entra ID:
| Componente | Objetivo | Recurso de Microsoft Graph |
|---|---|---|
| Plano técnico | Plantilla que define el tipo de identidad del agente, incluidos los permisos que las identidades de agente se autentican previamente para heredar automáticamente | agentIdentityBlueprint |
| Entidad de seguridad de plano técnico | Registro de la adición del plano técnico a un inquilino | agentIdentityBlueprintPrincipal |
| Identidad del agente | Identidad principal para la autenticación | agentIdentity |
| Usuario del agente | Cuenta opcional para escenarios que requieren una cuenta de usuario | agentUser |
| Registro del agente | Repositorio centralizado para la administración de agentes que actúa como plataforma para administrar manifiestos de tarjetas de agente, instancias de agente y recopilaciones de agentes. |
Obtenga más información sobre la arquitectura de identidad del agente en los artículos siguientes:
- Conceptos de identidad y plano técnico del agente en Microsoft Entra ID
- Identidades de agente, entidades de servicio y aplicaciones
- ¿Cuál es el registro del agente de Microsoft Entra?
API relacionadas para la seguridad y la gobernanza de los agentes
Agente de Microsoft Entra ID amplía las funcionalidades completas de seguridad y gobernanza de Microsoft Entra a los agentes de inteligencia artificial, incluido el acceso condicional, Identity Protection y los registros de auditoría.
Propiedad y responsabilidad
Cada identidad de agente debe tener una parte designada responsable de las acciones del agente, los permisos de acceso y la posición de seguridad general para garantizar la responsabilidad y la gobernanza adecuada. Las API de Microsoft Graph le permiten asignar y administrar los siguientes metadatos para identidades de agente, para admitir este principio.
| Metadata | Se aplica a |
|---|---|
| owner | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity |
| Patrocinador | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity, agentUser |
| manager | agentUser |
Consulte Relaciones administrativas en Agente de Microsoft Entra ID (propietarios, patrocinadores y administradores) para obtener más información.
Acceso condicional
Puede aplicar directivas de acceso condicional mediante programación para aplicar directivas de acceso en agentes de inteligencia artificial, en función de la identidad del agente, el riesgo y otros factores contextuales.
- Use la API de evaluación What If para simular cómo afectarían las directivas de acceso condicional a las identidades de agente que intentan acceder a los recursos.
- Use las API de directiva de acceso condicional para aplicar o administrar directivas de acceso condicional para los agentes de IA que acceden a los recursos de la organización. Puede aplicar estas directivas en función del nivel de riesgo del agente o de los atributos de seguridad personalizados asignados a los agentes.
Protección de identidad
Microsoft Entra ID Protection evalúa continuamente el riesgo del agente en función de varias señales y el aprendizaje automático. Puede usar los tipos de recursos agentRiskDetection y riskyAgent para identificar y administrar el riesgo del agente en su organización, incluido descartar o confirmar los riesgos detectados. Los riesgos confirmados pueden desencadenar acciones de corrección automatizadas, como la aplicación de directivas de acceso condicional.
Registros de auditoría
Microsoft Entra registros de signIn capturan las actividades realizadas por las identidades de agente, lo que proporciona visibilidad sobre las operaciones del agente para la supervisión de cumplimiento y seguridad, desde la creación de identidades de agente hasta los cambios de configuración en los agentes, incluidas las asignaciones de roles y permisos.
Permisos para administrar identidades de agente
Microsoft Graph proporciona permisos pormenorizados para administrar identidades de agente y sus componentes asociados. Los permisos siguen los siguientes patrones y se publican en la referencia de permisos de Microsoft Graph.
Permisos para administrar el registro del agente:
- AgentCardManifest.Read*
- AgentCollection.Read*
- AgentInstance.Read*
Permisos para administrar las identidades y los planos técnicos de identidad del agente:
- AgentIdentity*
Permisos para los usuarios del agente de nmanaging:
- AgentIdUser.Read*
La administración de directivas de acceso condicional, Identity Protection y la visualización de registros de auditoría para agentes requieren los mismos permisos que la administración de estas características para otros tipos de identidad en Microsoft Entra. Para obtener más información, consulte los artículos de API correspondientes para cada característica.
Permisos de Microsoft Graph bloqueados para agentes
Las identidades de agente usan el mismo modelo de permisos de Microsoft Graph que otras identidades. Por lo tanto, se les pueden conceder permisos delegados o de aplicación para acceder a las API de Microsoft Graph.
Sin embargo, debido a la naturaleza autónoma de los agentes y a los posibles riesgos que suponen, los siguientes permisos de microsoft Graph API de alto riesgo se bloquean explícitamente para que los agentes eviten el uso indebido o el acceso no deseado a datos confidenciales. Estos permisos no se pueden conceder a las identidades de agente a través de Microsoft Graph o Centro de administración Microsoft Entra.
Leyenda:
- ❌ indica que el permiso está bloqueado en esa categoría
- ➖ indica que el permiso no es aplicable o está bloqueado en esa categoría.