Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un'identità dell'agente è un'entità servizio speciale in Microsoft Entra ID. Rappresenta un'identità creata dal progetto di identità dell'agente e autorizzata a rappresentare. Non ha credenziali autonome. Il progetto di identità dell'agente può acquisire token per conto dell'identità dell'agente, a condizione che l'utente o l'amministratore tenant abbia concesso il consenso per l'identità dell'agente agli ambiti corrispondenti. Gli agenti autonomi acquisiscono i token dell'applicazione per conto dell'identità dell'agente. Gli agenti interattivi chiamati con un token utente acquisiscono token utente per conto dell'agente.
Le identità dell'agente possono essere usate per:
- Richiedere i token dell'agente da Microsoft Entra ID. L'oggetto del token di accesso è l'identità dell'agente.
- Ricevere i token di accesso in ingresso rilasciati da Microsoft Entra ID. Il pubblico del token di accesso è l'identità dell'agente.
- Richiedere token utente da Microsoft Entra ID per un utente autenticato. L'oggetto del token è un utente, mentre l'attore è l'identità dell'agente.
Importante
Microsoft Entra Agent ID è attualmente in ANTEPRIMA. Queste informazioni si riferiscono a un prodotto in versione preliminare che può essere modificato in modo sostanziale prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, rispetto alle informazioni fornite qui.
Anatomia di un'identità agente
Un account usato da un agente di intelligenza artificiale viene definito identità dell'agente. Analogamente all'account utente tipico, un'identità agente ha alcuni componenti chiave:
Identificatore. Ogni identità dell'agente ha un
id(noto anche come ID oggetto), ad esempioaaaaaaaa-1111-2222-3333-bbbbbbbbbb. Microsoft Entra genera l'ide identifica in modo univoco l'account all'interno di un tenant Microsoft Entra.Credenziali. Le identità degli agenti non hanno credenziali specifiche. Si basano sul progetto di identità dell'agente per acquisire i token per loro conto.
Nome visualizzato. Il nome visualizzato di un'identità agente viene mostrato in molte interfacce, ad esempio il Interfaccia di amministrazione di Microsoft Entra, il portale di Azure, Teams, Outlook e altro ancora. È il nome comprensibile di un agente e può essere modificato.
Sponsor. Le identità dell'agente possono avere uno sponsor, che registra l'utente o il gruppo umano responsabile di un agente. Questo sponsor viene usato per vari scopi, ad esempio contattare un essere umano nel caso in cui si verifichi un incidente di sicurezza.
Progetto. Tutte le identità dell'agente vengono create da un modello riutilizzabile denominato progetto di identità agente. Il progetto di identità dell'agente stabilisce il tipo di agente e registra i metadati condivisi tra tutte le identità dell'agente di un tipo comune.
Account utente dell'agente (facoltativo). Alcuni agenti devono accedere ai sistemi che richiedono rigorosamente un account utente Microsoft Entra per l'autenticazione. In questi casi, a un agente può essere assegnato un secondo account, denominato account utente di un agente. Questo secondo account è un account utente nel tenant Microsoft Entra configurato come agente IA. Ha un'identità diversa
iddall'identità dell'agente, ma viene sempre stabilita una relazione 1:1 tra l'identità di un agente e l'account utente del suo agente.
Si tratta dei componenti di base di un'identità agente che abilitano l'autenticazione e l'autorizzazione sicure. Lo schema completo dell'oggetto di un'identità agente è disponibile nella documentazione di riferimento Microsoft Graph.
Autorizzazione delle identità degli agenti
L'identità dell'agente è l'account primario usato da un agente di intelligenza artificiale per l'autenticazione in vari sistemi. Ha identificatori univoci, ad esempio l'ID oggetto e l'ID app, che hanno sempre lo stesso valore e possono essere usati in modo affidabile per le decisioni di autenticazione e autorizzazione.
A differenza degli utenti umani, gli agenti di intelligenza artificiale non usano password, Short Message Service (SMS), passkey o app di autenticazione per l'autenticazione. Le identità degli agenti non hanno credenziali specifiche. Eseguono l'autenticazione solo usando le credenziali di identità federate (FIC) rilasciate dal progetto di identità dell'agente. Il progetto contiene le credenziali che utilizza per acquisire token per conto delle identità degli agenti. Le credenziali non risiedono nell'identità dell'agente. Questi tipi di credenziali nel progetto includono:
- Credenziali di identità federate
- Certificati/chiavi crittografiche
- Segreti client
Le identità degli agenti possono ricevere token solo nel tenant di Microsoft Entra in cui sono state create. Non possono accedere a risorse o API in altri tenant.
Piani: sicurezza coerente per le identità degli agenti
Una caratteristica chiave delle identità dell'agente è che tutte le identità dell'agente vengono create da un modello riutilizzabile denominato progetto di identità agente. Il progetto stabilisce il "tipo" di agente e registra i metadati condivisi tra tutte le identità dell'agente di un tipo comune.
Si supponga che un'organizzazione usi un agente di intelligenza artificiale denominato "Agente assistente vendite". Se l'agente viene acquistato o predefinito, viene aggiunto un progetto di identità agente al tenant Microsoft Entra dell'organizzazione. Il progetto acquisisce le informazioni seguenti:
- Nome del progetto, ad esempio "Sales Assistant Agent"
- L'organizzazione che ha pubblicato il progetto, ad esempio "Contoso"
- I ruoli che l'agente può offrire, ad esempio "sales manager" o "sales rep"
- Tutte le autorizzazioni Microsoft Graph concesse ai relativi agenti, ad esempio "leggere il calendario dell'utente connesso"
Molti team di vendita distribuiscono l'agente AI all'interno dell'organizzazione. Un agente viene assegnato per le vendite in Nord America. Un altro viene distribuito per le vendite del Sud America. Una per le vendite aziendali, una per le piccole/medie imprese e un'altra per le startup. Al momento della creazione, a ognuno di questi agenti viene assegnata un'identità dell'agente. Ogni agente inizia a eseguire attività usando l'identità dell'agente per l'autenticazione.
Poiché ogni identità agente viene creata usando lo stesso progetto di identità agente, tutti gli agenti vengono visualizzati come "Agenti di assistente vendite" nella Interfaccia di amministrazione di Microsoft Entra. Questa funzionalità consente all'amministratore di Microsoft Entra di eseguire azioni come:
- Applicare un criterio di accesso condizionale a tutti gli agenti assistenti alle vendite.
- Disabilitare tutti gli agenti Assistente alle Vendite.
- Revocare una concessione di autorizzazione per tutti gli agenti Assistenti alle Vendite.
I progetti di identità agente offrono all'amministratore Microsoft Entra la possibilità di proteggere le identità degli agenti su larga scala impostando regole ed eseguendo operazioni in base al tipo di agente. Questa funzionalità garantisce una sicurezza coerente per ogni agente di intelligenza artificiale distribuito nell'organizzazione.