Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Identifiant d’assistant Microsoft Entra API dans Microsoft Graph vous aident à créer, sécuriser et gérer des identités d’agent IA opérant dans votre organization. Vous pouvez créer par programmation des identités d’agent, contrôler leur accès aux ressources et surveiller leurs activités via une plateforme centralisée.
Dans cet article, vous allez découvrir les concepts clés et les API de gestion des identités d’agent dans Microsoft Graph, notamment les composants qui composent une identité d’agent, comment appliquer des stratégies de sécurité et de gouvernance aux agents et les autorisations requises pour gérer les agents par programmation.
Pour en savoir plus sur les Identifiant d’assistant Microsoft Entra, consultez Qu’est-ce que Identifiant d’assistant Microsoft Entra ?
Blocs de construction des identités d’agent
Les composants de base suivants comprennent l’architecture de Identifiant d’assistant Microsoft Entra :
| Composant | Objectif | Ressource Microsoft Graph |
|---|---|---|
| Blueprint | Modèle définissant le type d’identité de l’agent, y compris les autorisations dont les identités d’agent sont préautorisé pour hériter automatiquement | agentIdentityBlueprint |
| Principal de blueprint | Enregistrement de l’ajout d’un blueprint à un locataire | agentIdentityBlueprintPrincipal |
| Identité de l’agent | Identité principale pour l’authentification | agentIdentity |
| Utilisateur de l’agent | Compte facultatif pour les scénarios nécessitant un compte d’utilisateur | agentUser |
| Registre de l’agent | Référentiel centralisé pour la gestion des agents qui sert de plateforme pour la gestion des manifestes carte des agents, des instances d’agent et des collections d’agents. |
Pour en savoir plus sur l’architecture des identités d’agent, consultez les articles suivants :
- Concepts d’identité d’agent et de blueprint dans Microsoft Entra ID
- Identités d’agent, principaux de service et applications
- Qu’est-ce que le registre de l’agent Microsoft Entra ?
API associées pour la sécurité et la gouvernance des agents
Identifiant d’assistant Microsoft Entra étend les fonctionnalités de sécurité et de gouvernance complètes de Microsoft Entra aux agents IA, notamment l’accès conditionnel, la protection des identités et les journaux d’audit.
Propriété et responsabilité
Chaque identité d’agent doit avoir une partie désignée responsable des actions de l’agent, des autorisations d’accès et de la posture de sécurité globale pour garantir la responsabilité et la gouvernance appropriée. Les API Microsoft Graph vous permettent d’attribuer et de gérer les métadonnées suivantes pour les identités d’agent, afin de prendre en charge ce principe.
| Métadonnées | S’applique à |
|---|---|
| owner | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity |
| Sponsor | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity, agentUser |
| manager | agentUser |
Pour plus d’informations, consultez Relations administratives dans Identifiant d’assistant Microsoft Entra (propriétaires, sponsors et responsables).
Accès conditionnel
Vous pouvez appliquer par programmation des stratégies d’accès conditionnel pour appliquer des stratégies d’accès aux agents IA, en fonction de l’identité de l’agent, du risque et d’autres facteurs contextuels.
- Utilisez l’API d’évaluation What If pour simuler la façon dont les stratégies d’accès conditionnel affectent les identités d’agent qui tentent d’accéder aux ressources.
- Utilisez les API de stratégie d’accès conditionnel pour appliquer ou gérer des stratégies d’accès conditionnel pour les agents IA qui accèdent aux ressources de l’organisation. Vous pouvez appliquer ces stratégies en fonction du niveau de risque de l’agent ou des attributs de sécurité personnalisés attribués aux agents.
Protection de l’identité
Microsoft Entra ID Protection évalue en permanence le risque de l’agent en fonction de différents signaux et du Machine Learning. Vous pouvez utiliser les types de ressources agentRiskDetection et riskyAgent pour identifier et gérer les risques d’agent dans votre organization, y compris ignorer ou confirmer les risques détectés. Les risques confirmés peuvent déclencher des actions de correction automatisées telles que l’application de la stratégie d’accès conditionnel.
Journaux d’audit
Microsoft Entra journaux signIn capturent les activités effectuées par les identités d’agent, offrant ainsi une visibilité sur les opérations de l’agent pour la surveillance de la conformité et de la sécurité, de la création d’identités d’agent aux modifications de configuration sur les agents, y compris les attributions de rôles et d’autorisations.
Autorisations pour la gestion des identités d’agent
Microsoft Graph fournit des autorisations précises pour gérer les identités d’agent et leurs composants associés. Les autorisations suivent les modèles suivants et sont publiées dans la référence des autorisations Microsoft Graph.
Autorisations pour la gestion du registre de l’agent :
- AgentCardManifest.Read*
- AgentCollection.Read*
- AgentInstance.Read*
Autorisations pour la gestion des identités et des blueprints d’identité de l’agent :
- AgentIdentity*
Autorisations pour la gestion des utilisateurs de l’agent :
- AgentIdUser.Read*
La gestion des stratégies d’accès conditionnel, Identity Protection et l’affichage des journaux d’audit pour les agents nécessitent les mêmes autorisations que la gestion de ces fonctionnalités pour d’autres types d’identité dans Microsoft Entra. Pour plus d’informations, consultez les articles d’API correspondants pour chaque fonctionnalité.
Autorisations Microsoft Graph bloquées pour les agents
Les identités d’agent utilisent le même modèle d’autorisation Microsoft Graph que les autres identités. Par conséquent, ils peuvent se voir accorder des autorisations déléguées ou d’application pour accéder aux API Microsoft Graph.
Toutefois, en raison de la nature autonome des agents et des risques potentiels qu’ils posent, les autorisations microsoft API Graph à haut risque suivantes sont explicitement bloquées pour les agents afin d’empêcher toute utilisation incorrecte ou tout accès involontaire à des données sensibles. Ces autorisations ne peuvent pas être accordées aux identités d’agent via Microsoft Graph ou centre d’administration Microsoft Entra.
Légende :
- ❌ indique que l’autorisation est bloquée dans cette catégorie
- ➖ indique que l’autorisation n’est pas applicable/bloquée dans cette catégorie