중요
Microsoft 에이전트 365에 대한 초기 액세스를 얻으려면 프론티어 미리 보기 프로그램의 일부여야 합니다. 프론티어는 Microsoft의 최신 AI 혁신과 직접 연결합니다. 프론티어 미리 보기에는 고객 계약의 기존 미리 보기 조건이 적용됩니다. 이러한 기능은 아직 개발 중이므로 가용성 및 기능은 시간이 지남에 따라 변경 될 수 있습니다.
에이전트 ID는 Microsoft Agent 365 SDK의 기본 개념입니다. 각 에이전트는 사용자 또는 일반 애플리케이션 등록과는 별도로 고유한 영구적 엔터프라이즈 ID를 얻습니다. 이 ID는 에이전트에 인간 직원과 유사한 권한, 인증, 역할 및 규정 준수 기능을 제공합니다.
에이전트 ID 구성 요소 이해
Microsoft 에이전트 365에 에이전트를 등록하면 세 가지 주요 구성 요소가 함께 작동하여 에이전트에 ID를 제공합니다.
에이전트 청사진(에이전트 애플리케이션)
에이전트 청사진은 에이전트의 ID, 권한 및 인프라 요구 사항을 정의합니다. 에이전트 인스턴스를 만들기 위한 템플릿 역할을 하며 다음을 포함합니다.
- Microsoft Entra 로그 및 애플리케이션 등록
- Microsoft Graph API 권한 범위
- 인증 구성
- 리소스 정의(App Service 계획, 웹앱)
에이전트 앱 인스턴스
에이전트 앱 인스턴스는 에이전트 청사진의 특정 배포를 나타냅니다. 각 인스턴스에는 다음이 있습니다.
- 고유 에이전트 앱 ID(Microsoft Entra ID)
- 인증에 서비스 주체 사용
- 인스턴스별 구성
- Teams 통합을 위한 페더레이션 ID 자격 증명
에이전트 사용자
에이전트 사용자는 조직에 표시되는 런타임 ID입니다. 에이전트 사용자는 에이전트를 위해 특별히 설계된 사용자 ID의 특수한 하위 유형입니다. 에이전트 사용자에 대해 이해해야 하는 주요 개념은 ID 특성, 조직 통합, 관계 모델 및 수명 주기입니다.
ID 특성
에이전트 사용자에게는 기존 사용자 계정과 차별화되는 고유한 ID 속성이 있습니다.
- 디렉터리에 에이전트로 표시됨
- (사용자 ID 유형)을 사용하여
idtyp=user토큰을 받습니다. - 부모 에이전트 인스턴스와 별도로 고유한 사용자 ID(개체 ID)가 있습니다.
- 기존 자격 증명(암호, 암호, MFA 요소)을 사용할 수 없습니다.
- 부모 에이전트 인스턴스에서 명시적 API 호출을 통해 만들어야 합니다.
- 부모 에이전트 인스턴스에 변경할 수 없는 링크가 있습니다(다시 부모로 설정할 수 없음).
조직 그룹 통합
에이전트 사용자는 다음 기능을 사용하여 Microsoft 365 조직의 전체 구성원으로 작동합니다.
- Microsoft 365 테넌트 디렉터리에 동기화됨
- 라이선스를 할당할 수 있습니다(Microsoft 365 E5, Teams Enterprise, Copilot)
- 자체 사서함 및 OneDrive 스토리지(라이선스 기반)
- 조직도 및 사용자 카드에 표시
- Teams, 문서 및 기타 Microsoft 365 앱에 있을 @mentioned 수 있습니다.
- 고유한 보안 주체 이름(예:
agent@yourtenant.onmicrosoft.com)이 있습니다.
관계 모델
에이전트 인스턴스와 에이전트 사용자 간의 연결은 엄격한 부모-자식 패턴을 따릅니다.
- 각 에이전트 인스턴스에는 최대 하나의 에이전트 사용자 자식이 있을 수 있습니다.
- 에이전트 사용자는 부모 에이전트 인스턴스에 대한 참조를 저장합니다.
- 부모 에이전트 인스턴스는 자식 에이전트 사용자에 대한 참조를 유지 관리합니다(있는 경우).
- 이 양방향 관계를 통해 적절한 수명 주기 관리 및 감사를 수행할 수 있습니다.
수명 주기
에이전트 사용자는 더 이상 필요하지 않은 경우 자동 정리를 사용하여 즉시 사용할 수 있도록 설계되었습니다.
즉시 사용 기능을 지원하며 만든 후 즉시 사용할 수 있습니다.
참고
에이전트 사용자(사서함, OneDrive)에 대한 리소스 프로비저닝은 라이선스 할당 후 최대 24시간이 걸릴 수 있지만 일반적으로 10-15분 내에 완료됩니다.
부모 에이전트 인스턴스가 삭제되면 자식 에이전트 사용자도 삭제됩니다.
에이전트 인스턴스와 에이전트 사용자 간의 관계는 변경할 수 없으며 변경할 수 없습니다.
중요
에이전트 사용자는 Teams, 전자 메일, 일정, SharePoint 및 OneDrive와 같은 서비스에 액세스하려면 적절한 Microsoft 365 라이선스가 필요합니다. 일반적인 라이선스에는 Microsoft 365 E5, Teams Enterprise 및 Microsoft 365 Copilot가 포함됩니다. 라이선스를 할당한 후 리소스 프로비저닝(사서함, OneDrive)은 일반적으로 10-15분 이내에 완료되지만 경우에 따라 최대 24시간이 걸릴 수 있습니다.
권한 및 액세스 제어(IAM)
에이전트 권한은 액세스 권한 및 기능에 대한 세부적인 제어를 제공하기 위해 여러 수준에서 관리됩니다.
기본 권한
에이전트 사용자에게는 다음과 같은 특정 사용 권한 특성이 있습니다.
- 조건부 액세스 정책을 통해 관리할 수 있습니다.
- MFA 요구 사항에서 제외(기존 인증 요소를 가질 수 없으므로)
- "모든 에이전트 사용자" 그룹을 포함하여 Entra ID 그룹에 추가할 수 있습니다.
- 리소스 액세스는 명시적 권한 부여 및 라이선스를 통해 제어됩니다.
권한 관리
사용 권한은 다음과 같은 다른 수준에서 설정할 수 있습니다.
- 에이전트 청사진 수준 - 모든 인스턴스에 대한 기본 권한 정의
- 에이전트 인스턴스 수준 - 에이전트 ID에 대한 특정 권한
- 에이전트 사용자 수준 - 사용자별 권한 및 액세스 권한
팁
에이전트 사용자 ID가 있는 에이전트의 경우 주로 리소스 액세스에 에이전트 사용자 ID를 사용합니다. 이 방법은 Microsoft 365 서비스에서 일관된 사용자와 유사한 동작을 제공합니다.
인증 흐름
Microsoft 에이전트 365는 Microsoft Entra 에이전트 ID로 구동되는 에이전트에 대해 두 가지 인증 흐름을 지원합니다.
PwC Identity Authentication
에이전트가 자체 ID로 작동할 수 있도록 합니다.
이 흐름에서:
- 에이전트는 자체 자격 증명(에이전트 청사진 자격 증명)을 사용하여 인증합니다.
- 에이전트는 자체 할당된 권한으로 독립적으로 작동합니다.
- 에이전트에는 사용자와 분리된 자체 ID가 있습니다.
- 이 흐름은 사용자 컨텍스트가 필요하지 않은 자율 에이전트 작업에 적합합니다.
사용 사례:
- 자율 에이전트 작업(예약된 작업, 모니터링)
- 에이전트의 사서함에서 전자 메일 보내기 또는 모임 만들기
- 에이전트 소유 리소스 만들기 및 관리
- 사용자 조작 없이 백그라운드 처리
OBO(On-Behalf-Of) 흐름
에이전트가 사용자를 대신하여 작동할 수 있도록 합니다.
이 흐름에서:
- 에이전트가 사용자의 위임된 토큰을 받습니다.
- 에이전트는 이 토큰을 교환하여 사용자가 작업을 수행하는 것처럼 작업을 수행합니다.
- 에이전트는 사용자의 권한 및 컨텍스트를 사용하여 작동합니다.
- 이 흐름은 에이전트가 사용자별 권한으로 리소스에 액세스해야 하는 시나리오에 적합합니다.
- 사후 흐름에서 에이전트 ID를 사용할 때 강력한 감사를 제공합니다.
사용 사례:
- 사용자별 데이터 액세스(이메일, 일정, 파일)
- 사용자 동의가 필요한 작업 수행
- 사용자 컨텍스트 및 권한이 필요한 시나리오
다음 단계:
인증 흐름 및 에이전트 ID 개념을 이해했으므로 이제 에이전트 청사진 및 인스턴스를 만듭니다.