Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli utenti dell'agente sono un tipo di identità specializzato progettato per colmare il divario tra gli agenti e le funzionalità utente umane. Gli utenti dell'agente consentono alle applicazioni basate sull'intelligenza artificiale di interagire con sistemi e servizi che richiedono identità utente, mantenendo al tempo stesso i limiti di sicurezza e i controlli di gestione appropriati. Consente alle organizzazioni di gestire l'accesso di tali agenti usando funzionalità simili a quelle degli utenti umani.
Esempio di scenari utente agente
A volte non è sufficiente che un agente esegua attività per conto di un utente o funzioni come applicazione autonoma. In alcuni scenari, un agente deve agire come utente, funziona essenzialmente come un lavoratore digitale. Di seguito sono riportati alcuni scenari di esempio in cui l'utente dell'agente è applicabile:
- L'organizzazione ha bisogno di dipendenti digitali a lungo termine che funzionano come membri del team con cassette postali, accesso alle chat e inclusione nei sistemi HR.
- L'agente deve accedere alle API o alle risorse disponibili solo per le identità utente
- L'agente deve partecipare ai flussi di lavoro collaborativi come membro del team
Per questi motivi, gli utenti dell'agente vengono creati. Gli utenti dell'agente sono facoltativi e devono essere creati solo per le interazioni in cui l'agente deve agire come utente o accedere alle risorse limitate agli account utente.
Utenti dell'agente
Gli utenti di Agent rappresentano un sottotipo di identità utente all'interno di Microsoft Entra. Queste identità sono progettate per consentire alle applicazioni agente di eseguire azioni nei contesti in cui è necessaria un'identità utente. A differenza delle entità servizio nonagenti o delle identità dell'applicazione, gli utenti dell'agente ricevono token con attestazione idtyp=user, consentendo loro di accedere alle API e ai servizi che richiedono in modo specifico le identità utente. Mantiene inoltre i vincoli di sicurezza necessari per le identità non disumane.
Un utente dell'agente non viene creato automaticamente. Richiede un processo di creazione esplicito che lo connette all'identità dell'agente padre. Questa relazione padre-figlio è fondamentale per comprendere come funzionano gli utenti dell'agente e sono protetti in Microsoft Entra. Una volta stabilita, questa relazione non è modificabile e funge da elemento fondamentale del modello di sicurezza per gli utenti dell'agente. La relazione è un mapping uno-a-uno (1:1). Ogni identità dell'agente può avere al massimo un utente dell'agente associato e ogni utente agente è collegato esattamente a un'identità dell'agente padre, collegata esattamente a un'applicazione di progetto di identità agente.
Utenti agente:
- Vengono creati anche usando un progetto di identità dell'agente.
- Vengono sempre associati a un'identità dell'agente specifica, specificata al momento della creazione.
- Avere identificatori univoci distinti, separati dall'identità dell'agente.
- Può eseguire l'autenticazione solo presentando un token emesso all'identità dell'agente associata.
Relazione tra l'utente e l'ID agente dell'agente
Il progetto di identità dell'agente non dispone dell'autorizzazione per impostazione predefinita per creare utenti dell'agente perché questa funzionalità è facoltativa e non sempre necessaria. Si tratta di un'autorizzazione che deve essere concessa in modo esplicito al progetto di identità dell'agente.
Gli utenti dell'agente vengono creati usando il progetto di identità dell'agente. Quando vengono concesse le autorizzazioni appropriate, il progetto di identità dell'agente può creare un utente agente e stabilire una relazione padre con un'identità agente specifica. L'identità dell'agente è considerata l'elemento padre dell'utente dell'agente.
Gli amministratori gestiscono il ciclo di vita di un utente agente. Un utente amministratore può eliminare l'utente dell'agente una volta che le funzionalità utente dell'agente non sono più necessarie.
Autenticazione e modello di sicurezza
Il modello di autenticazione per gli utenti dell'agente differisce in modo significativo dagli account utente umani:
Credenziali di identità federate: l'autenticazione avviene tramite credenziali assegnate all'utente dell'agente. Nei sistemi di produzione usare le credenziali di identità federate (FIC). Queste credenziali vengono usate per autenticare sia il progetto di identità dell'agente che l'identità dell'agente. Le credenziali assegnate all'utente vengono usate per l'autenticazione nell'ecosistema di agenti.
Modello di credenziali con restrizioni: gli utenti dell'agente non dispongono di credenziali regolari come le password. Sono invece limitati all'uso delle credenziali fornite tramite la relazione padre. Questa restrizione sulle credenziali, insieme alle restrizioni per l'accesso interattivo, garantisce che gli utenti dell'agente non possano essere usati come account utente standard.
Meccanismo di rappresentazione: l'identità dell'agente associata può rappresentare l'utente dell'agente figlio. Consente alla logica di business dell'elemento padre di ottenere i token e di agire come utente dell'agente quando necessario.
Funzionalità degli utenti dell'agente
Gli utenti di Agent possiedono funzionalità che consentono loro di funzionare in modo efficace all'interno di Microsoft 365 e di altri ambienti:
Gli utenti di Agent possono essere aggiunti ai gruppi di Microsoft Entra, inclusi i gruppi dinamici, consentendo loro di ereditare le autorizzazioni concesse a tali gruppi. Non possono tuttavia essere aggiunti a gruppi assegnabili a ruoli.
Gli utenti dell'agente possono accedere alle risorse e usare altre funzionalità di collaborazione in genere riservate agli utenti umani.
Gli utenti dell'agente possono essere aggiunti alle unità amministrative, in modo analogo agli utenti umani.
Agli utenti dell'agente possono essere assegnate licenze, spesso necessarie per il provisioning delle risorse di Microsoft 365.
Vincoli di sicurezza
Gli utenti dell'agente operano in vincoli di sicurezza specifici per garantire l'uso appropriato:
Limitazioni delle credenziali: gli utenti dell'agente non possono avere credenziali come password o passkey. L'unico tipo di credenziale supportato è il riferimento all'identità dell'agente al relativo elemento padre. Pertanto, anche se gli utenti dell'agente si comportano come utenti, le credenziali sono credenziali client riservate.
Restrizioni dei ruoli amministrativi: agli utenti dell'agente non è possibile assegnare ruoli di amministratore con privilegi. Questa limitazione fornisce un limite di sicurezza importante, impedendo potenziali elevazioni dei privilegi.
Modello di autorizzazione: gli utenti dell'agente in genere dispongono di autorizzazioni simili agli utenti guest, con più funzionalità per l'enumerazione di utenti e gruppi. Agli utenti dell'agente non è possibile assegnare ruoli di amministratore con privilegi. Le assegnazioni di ruolo personalizzate e i gruppi assegnabili a ruoli non sono disponibili per gli utenti dell'agente. Per altre informazioni, vedere Informazioni di riferimento sulle autorizzazioni di Microsoft Graph