Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le compte d’utilisateur de l’agent est un type d’identité spécialisé conçu pour combler l’écart entre les agents et les fonctionnalités des utilisateurs humains. Le compte d’utilisateur de l’agent permet aux applications basées sur l’IA d’interagir avec les systèmes et services qui nécessitent des identités utilisateur, tout en conservant les limites de sécurité et les contrôles de gestion appropriés. Elle permet aux organisations de gérer l’accès de l’agent à l’aide de fonctionnalités similaires comme elles le font pour les utilisateurs humains.
Exemple de scénarios de compte d’utilisateur de l’agent
Parfois, il n’est pas suffisant pour qu’un agent effectue des tâches pour le compte d’un utilisateur ou fonctionne en tant qu’application autonome. Dans certains scénarios, un agent doit agir en tant qu’utilisateur, fonctionnant essentiellement en tant que worker numérique. Voici des exemples de scénarios dans lesquels le compte d’utilisateur de l’agent s’applique :
- L’organisation a besoin d’employés numériques à long terme qui fonctionnent en tant que membres de l’équipe avec des boîtes aux lettres, l’accès aux conversations et l’inclusion dans les systèmes RH.
- L’agent doit accéder aux API ou aux ressources disponibles uniquement pour les identités utilisateur
- L’agent doit participer à des workflows collaboratifs en tant que membre de l’équipe
Pour ces raisons, le compte d’utilisateur de l’agent est créé. Le compte d’utilisateur de l’agent est facultatif et doit uniquement être créé pour les interactions où l’agent doit agir en tant qu’utilisateur ou accéder aux ressources limitées aux comptes d’utilisateur.
Compte d’utilisateur de l’agent
Le compte d'utilisateur de l'agent représente un sous-type d'identité utilisateur dans Microsoft Entra. Ces identités sont conçues pour permettre aux applications d’agent d’effectuer des actions dans des contextes où une identité utilisateur est requise. Contrairement aux principaux de service nonagentiques ou aux identités d’application, le compte d’utilisateur de l’agent reçoit des jetons avec revendication idtyp=user, ce qui lui permet d’accéder aux API et services qui nécessitent spécifiquement des identités utilisateur. Il maintient également les contraintes de sécurité nécessaires pour les identités non humaines.
Le compte d’utilisateur d’un agent n’est pas créé automatiquement. Il nécessite un processus de création explicite qui le connecte à son identité d’agent parent. Cette relation parent-enfant est fondamentale pour comprendre comment fonctionne le compte d'utilisateur de l'agent et est sécurisée dans Microsoft Entra. Une fois établie, cette relation est immuable et sert de pierre angulaire du modèle de sécurité pour le compte d’utilisateur de l’agent. La relation est un mappage un-à-un (1:1). Chaque identité d’agent peut avoir au plus un compte d’utilisateur associé, et le compte d’utilisateur de chaque agent est lié à exactement une identité d’agent parente, laquelle est elle-même liée exactement à une application blueprint d’identité d’agent.
Compte d’utilisateur de l’agent :
- Est également créé à l’aide d’un modèle d’identité d’agent.
- Est toujours associé à une identité d’agent spécifique, spécifiée lors de la création.
- Possède des identificateurs uniques distincts, distincts de l’identité de l’agent.
- Peut uniquement s’authentifier en présentant un jeton émis pour l’identité de l’agent associé.
Compte d’utilisateur et relation d’identité de l’agent
Le blueprint d’identité de l’agent n’a pas l’autorisation de créer par défaut le compte d’utilisateur de l’agent, cette capacité étant facultative et pas toujours nécessaire. Il s’agit d’une autorisation qui doit être explicitement accordée au modèle d'identité de l’agent.
Le compte d’utilisateur de l’agent est créé à l’aide du blueprint d’identité de l’agent. En cas d’autorisations appropriées, le blueprint d’identité de l’agent peut créer le compte d’utilisateur d’un agent et établir une relation parente avec une identité d’agent spécifique. L’identité de l’agent est considérée comme le parent du compte d’utilisateur de l’agent.
Les administrateurs gèrent le cycle de vie du compte d’utilisateur d’un agent. Un utilisateur administrateur peut supprimer le compte d’utilisateur de l’agent une fois que ses fonctionnalités ne sont plus nécessaires.
Modèle d’authentification et de sécurité
Le modèle d’authentification pour le compte d’utilisateur de l’agent diffère considérablement des comptes d’utilisateur humains :
Identifiants d'identité fédérée : l’authentification se fait grâce aux identifiants attribués au compte utilisateur de l’agent. Dans les systèmes de production, utilisez les informations d’identification d’identité fédérée (FIC). Ces informations d’identification sont utilisées pour authentifier le blueprint d’identité de l’agent et l’identité de l’agent. Les informations d’identification attribuées à l’utilisateur sont utilisées pour l’authentification dans l’écosystème de l’agent.
Modèle d’informations d’identification restreinte : le compte d’utilisateur de l’agent n’a pas d’informations d’identification régulières comme les mots de passe. Au lieu de cela, il est limité à l’utilisation des informations d’identification fournies par le biais de sa relation parente. Cette restriction sur les informations d’identification, ainsi que les restrictions sur la connexion interactive, garantit que le compte d’utilisateur de l’agent ne peut pas être utilisé comme un compte d’utilisateur standard.
Mécanisme d’imitation d’identité : l’identité de l’agent associé peut imiter le compte utilisateur de son agent enfant. Elle permet à la logique métier du parent d’obtenir des jetons et d’agir en tant que compte d’utilisateur de l’agent si nécessaire.
Fonctionnalités du compte d’utilisateur de l’agent
Le compte d'utilisateur de l'agent possède des fonctionnalités qui lui permettent de fonctionner efficacement dans Microsoft 365 et d'autres environnements :
Le compte d'utilisateur d'un agent peut être ajouté à Microsoft Entra groupes, y compris les groupes dynamiques, ce qui lui permet d'hériter des autorisations accordées à ces groupes. Toutefois, elle ne peut pas être ajoutée à des groupes auxquels des rôles peuvent être assignés.
Le compte d’utilisateur de l’agent peut accéder aux ressources et utiliser d’autres fonctionnalités collaboratives généralement réservées aux utilisateurs humains.
Le compte d’utilisateur de l’agent peut être ajouté à des unités administratives similaires aux utilisateurs humains.
Le compte d'utilisateur de l'agent peut être attribué à des licences, ce qui est souvent nécessaire pour approvisionner des ressources Microsoft 365.
Contraintes de sécurité
Le compte d’utilisateur de l’agent fonctionne sous des contraintes de sécurité spécifiques pour garantir l’utilisation appropriée :
Limitations des informations d’identification : le compte d’utilisateur de l’agent ne peut pas avoir d’informations d’identification telles que les mots de passe ou les clés secrètes. Le seul type d’informations d’identification pris en charge est la référence d’identité de l’agent à son parent. Ainsi, même si le compte d’utilisateur de l’agent se comporte en tant qu’utilisateur, ses informations d’identification sont des informations d’identification client confidentielles.
Restrictions de rôle d’administration : le compte d’utilisateur de l’agent ne peut pas être affecté à des rôles d’administrateur privilégiés. Cette limitation fournit une limite de sécurité importante, ce qui empêche l’élévation potentielle des privilèges.
Modèle d’autorisation : le compte d’utilisateur de l’agent dispose généralement d’autorisations similaires aux utilisateurs invités, avec plus de fonctionnalités pour énumérer les utilisateurs et les groupes. Le compte d’utilisateur de l’agent ne peut pas être affecté à des rôles d’administrateur privilégiés. L’attribution de rôle personnalisée et les groupes assignables de rôle ne sont pas disponibles pour le compte d’utilisateur de l’agent. Pour plus d’informations, consultez la référence des autorisations de Microsoft Graph