Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra-rechtenbeheer biedt toegangspakketten als governancemechanisme. Toegangspakketten zorgen ervoor dat agenttoegangstoewijzingen opzettelijk, controleerbaar en tijdgebonden zijn. Toegangspakketten vertegenwoordigen een gestructureerde benadering voor het beheren van identiteitsmachtigingen voor agents, in tegenstelling tot ad-hocmachtigingen die mogelijk geen geschikte beheeropties hebben. Toegangspakketten maken gestandaardiseerde toegang mogelijk voor veel AI-agents met dezelfde toegangsbehoeften, bijvoorbeeld een vloot van AI-agents voor klantondersteuning. Via toegangspakketten kunnen organisaties consistente governanceprocedures instellen voor agentidentiteit, het gebruikersaccount van de agent en de toegang tot resources van de service-principal. Zie Identiteiten van agents beheren voor meer informatie.
Vereiste voorwaarden
Voordat u een toegangspakket maakt, moet u controleren of aan de volgende vereisten in uw organisatie wordt voldaan:
Agents gebruiken Microsoft Entra Agent-ID-agentidentiteiten of service-principals voor autorisatie om toegang te krijgen tot bronnen.
De autorisatie is een van de volgende:
- Agents hebben hun identiteit nodig om OAuth-toepassingsmachtigingen toe te wijzen voor een doelresource, zoals Microsoft Graph of een toepassing, om toegang te krijgen tot de API's van een doelresource.
- Agenten moeten hun identiteit toegewezen krijgen als leden van groepen.
- Aan directoryrollen moet de identiteit van agenten worden toegewezen. De toegestane rollen worden vermeld in Microsoft Entra rollen die zijn toegestaan voor agents.
U hebt of kunt een rechtenbeheercatalogus maken die geschikt is voor het opslaan van deze resources. Het toegangspakket dat u gaat maken en alle resources die erin zijn opgenomen, worden toegevoegd aan de catalogus. Zie Een catalogus maken voor meer informatie.
Opmerking
Als u OAuth-API-machtigingen of directoryrollen toevoegt aan het toegangspakket als resourcerollen, wordt de catalogus gemarkeerd als geprivilegieerd wanneer deze aan het toegangspakket worden toegevoegd.
Een toegangspakket maken voor agentidentiteiten
Voor het gebruik van toegangspakketten voor agents configureert de IT-beheerder eerst een nieuw toegangspakket met de relevante resources, waaronder Entra-rollen, groepslidmaatschappen en OAuth-machtigingen voor toepassings-API's. Vervolgens configureert de beheerder in het toegangspakket de vereiste beleidsinstellingen. Deze instellingen bepalen wie toegang kan krijgen, wie toegang kan aanvragen, goedkeuringen, verlooptijd van toegang en extensie.
Omdat agentidentiteiten en service-principals niet kunnen worden toegevoegd via toegangspakketten voor toepassingsrollen, SAP-rollen of SharePoint Online-siterollen, kunt u geen bestaand toegangspakket dat een van deze resourcerollen bevat, opnieuw gebruiken. Maak in plaats daarvan een nieuw toegangspakket.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Aanbeveling
Als u OAuth API-machtigingen of directoryrollen als resourcerollen toevoegt aan het toegangspakket, moet u een globale beheerder zijn.
Blader naar ID-beheer>machtigingenbeheer>toegangspakketten.
Selecteer Nieuw toegangspakket.
Op het tabblad Basisinformatie geeft u het toegangspakket een naam en beschrijving en geeft u op in welke catalogus het toegangspakket moet worden gemaakt. Selecteer in de vervolgkeuzelijst Catalogus de catalogus waarin u het toegangspakket wilt plaatsen.
Selecteer Volgende: Resourcerollen. Selecteer op het tabblad Resourcerollen de resourcerollen die u wilt opnemen in het toegangspakket. Toegangspakketten voor agentidentiteiten kunnen beveiligingsgroepslidmaatschappen, directoryrollen of API-machtigingen als resourcerollen hebben. Zie een groep toevoegen, een Microsoft Entra-rol toevoegen en een API-machtiging toevoegen voor meer informatie. Voeg geen toepassingsrollen, SAP-rollen of SharePoint Online-siterollen toe aan een toegangspakket voor agentidentiteiten.
Selecteer Volgende: Aanvragen. Op het tabblad Aanvragen maakt u het eerste beleid om op te geven wie het toegangspakket kan aanvragen. in de sectie Wie kan toegang krijgen , selecteert u Voor gebruikers, service-principals en agentidentiteiten in uw directory. Selecteer in Specifieke scope de optie alle agenten.
Opmerking
Als uw agents service-principals gebruiken in plaats van Microsoft Entra agentidentiteiten, maakt u ook een beleid voor toewijzing van toegangspakketten met de optie Alle service-principals zodat service-principals in uw directory dit toegangspakket kunnen aanvragen.
Bepaal hoeveel goedkeuringsfasen er nodig zijn. Stel het aantal fasen in op 1 voor goedkeuring in één fase, 2 voor goedkeuring in twee fasen of 3 voor goedkeuring in drie fasen. Configureer vervolgens goedkeuringsfasen en wie de goedkeurders moeten zijn. Zie goedkeuring voor één fase voor meer informatie.
Nadat u elke goedkeuringsfase hebt opgegeven, selecteert u Volgende: Requestor Information.
Selecteer Volgende: Levenscyclus. Geef op hoe lang een toewijzing van een toegangspakket moet blijven voordat deze verloopt.
Klik op Volgende: Regels.
Selecteer Volgende: Beoordelen en maken. Op het tabblad Controleren en maken kunt u uw instellingen bekijken en controleren op validatiefouten.
Selecteer Maken om het toegangspakket en het oorspronkelijke beleid te maken.
Naast het gebruik van het Microsoft Entra-beheercentrum kunt u ook programmatisch een toegangspakket maken via Microsoft Graph en via de PowerShell-cmdlets voor Microsoft Graph. Zie Programmatisch een toegangspakket maken voor meer informatie.
Toegangsaanvraag en goedkeuringsproces
Agents kunnen vervolgens toegangspakketten toewijzen via drie verschillende aanvraagpaden.
- De agent-id zelf kan programmatisch een toegangspakket aanvragen wanneer dat nodig is voor de bewerkingen door een accessPackageAssignmentRequest te maken.
- De sponsor van de agent kan namens de agent-id toegang aanvragen, waardoor menselijk toezicht wordt geboden in het toegangsaanvraagproces. Zie Een toegangspakket aanvragen namens een agent-id voor meer informatie.
- Een beheerder kan de agentidentiteit of het gebruikersaccount van de agent rechtstreeks toewijzen aan het toegangspakket.
Na indiening wordt de toegangsaanvraag doorgestuurd naar aangewezen goedkeurders op basis van de configuratie van het toegangspakketbeleid.
Levenscyclus van toegangstoewijzing
Zodra een goedkeurder de toewijzingsaanvraag voor het toegangspakket accepteert, ontvangt de agent-identiteit tijdelijke toegang tot de opgegeven bronnen. De toegang wordt verleend op basis van de resourcerollen die zijn gedefinieerd in het toegangspakket. Hiermee wordt een duidelijke begin- en einddatum vastgesteld voor de toegang die de agent mogelijk nodig heeft.
Als de toewijzing aan een agentidentiteit is en er een sponsor is ingesteld voor de identiteit van de agent, ontvangt de sponsor, naarmate de vervaldatum nadert, meldingen over de aankomende vervaldatum. De sponsor heeft vervolgens twee opties: ze kunnen een uitbreiding van het toegangspakket aanvragen (indien toegestaan door beleid), of ze kunnen de toewijzing van het toegangspakket laten verlopen.
Als de sponsor een verlenging aanvraagt, kan deze aanvraag een nieuwe goedkeuringscyclus activeren, waarbij goedkeurders opnieuw bevestigen of continue toegang geschikt is. Als de sponsor geen actie onderneemt, verloopt de toewijzing van het toegangspakket automatisch op de einddatum en verliest de agentidentiteit de toegang tot de doelbronnen.