Często zadawane pytania dotyczące Identyfikator agenta Microsoft Entra

Identyfikator agenta Microsoft Entra to platforma tożsamości i zabezpieczeń, która rozszerza możliwości firmy Microsoft na agentów sztucznej inteligencji. Organizacje wdrażają agentów pomocniczych, autonomicznych i podobnych do użytkowników, dlatego potrzebują specjalnie utworzonych konstrukcji tożsamości w celu uwierzytelniania, autoryzacji, rządzenia i ochrony tych nieludzkich tożsamości. Identyfikator agenta Entra firmy Microsoft odpowiada tym potrzebom, zapewniając ujednoliconą platformę do zarządzania tożsamościami agentów w skali przedsiębiorstwa.

Tożsamości i strategie agenta

Jak filtrować zapytania Microsoft interfejs Graph API, aby zwracały tylko tożsamości agentów?

Microsoft Graph interfejsy API obsługujące relacje z tożsamościami agenta, takimi jak /ownedObjects, /deletedItems i /owners nie obsługują filtrowania według typu jednostki. Użyj istniejących interfejsów API i odfiltrowuj wyniki po stronie klienta przy użyciu właściwości odata.type, aby zidentyfikować obiekty tożsamości agenta w odpowiedzi.

Co się stanie z kontem użytkownika agenta po usunięciu tożsamości agenta lub strategii?

Po usunięciu szablonu tożsamości agenta lub tożsamości agenta skojarzone konta użytkowników agentów pozostają u dzierżawcy. Nie są wyświetlane jako wyłączone ani usunięte, ale nadal nie mogą się uwierzytelnić. Ręczne usuwanie kont użytkowników osieroconych agentów przy użyciu Microsoft interfejs Graph API lub Microsoft Entra PowerShell.

Dlaczego sekwencyjne żądania microsoft interfejs Graph API czasami kończą się niepowodzeniem podczas tworzenia obiektów tożsamości agenta?

Podczas tworzenia obiektów tożsamości agenta w krótkich odstępach czasu przy użyciu interfejsów API Microsoft Graph, żądania mogą zakończyć się niepowodzeniem z powodu błędów takich jak 400 Bad Request: Object with id {id} not found. Typowe sekwencje wyzwalające to zachowanie obejmują:

• Utworzenie szablonu tożsamości agenta, a następnie natychmiastowe utworzenie głównego szablonu.
• Utworzenie głównego szablonu, a następnie natychmiastowe użycie tego szablonu do utworzenia tożsamości agenta.
• Utworzenie tożsamości agenta, a następnie natychmiastowe utworzenie konta użytkownika agenta.

Te błędy są bardziej typowe w przypadku korzystania z uprawnień tylko do aplikacji. Użyj delegowanych uprawnień tam, gdzie to możliwe, i dodaj logikę ponawiania z wykładniczym opóźnieniem do żądań.

Czy istnieją limity liczby szablonów tożsamości agenta na dzierżawcę?

Następujące limity mają zastosowanie do strategii tożsamości agenta:

• Platformy do zarządzania inne niż Microsoft, korzystające z uprawnień wyłącznie aplikacyjnych, są ograniczone do maksymalnie 250 tożsamości agentów na plan. Delegowane wywołania i platformy należące do Microsoft (Foundry, Copilot Studio) nie podlegają temu limitowi.
• Użytkowników niebędących administratorami obowiązuje dotychczasowy limit 250 posiadanych obiektów w usłudze Microsoft Entra ID, który ma zastosowanie we wszystkich typach zasobów Microsoft Entra.
• Plany mogą zajmować maksymalnie 95% całkowitego limitu zasobów dzierżawy. Aby uzyskać więcej informacji, zobacz wiersz Resources w Microsoft Entra limity i ograniczenia usługi.

Jak sprawdzić, kiedy administrator zatwierdzi strategię tożsamości agenta w swojej dzierżawie?

Brak wbudowanych mechanizmów powiadomień dla zatwierdzania szablonu tożsamości agenta. Gdy administrator dzierżawy tworzy lub zatwierdza szablon tożsamości agenta, nie otrzymujesz powiadomienia za pośrednictwem Microsoft Entra lub Microsoft Graph.

Aby sprawdzić, czy szablon został zatwierdzony w określonej dzierżawie, wykonaj zapytanie do Microsoft interfejs Graph API pod kątem obiektów głównych blueprint skojarzonych z twoją aplikacją. Jeśli administrator jeszcze nie zatwierdził szkicu, zapytanie nie zwraca żadnych wyników dla tego najemcy.

Role, uprawnienia i grupy

Czy mogę zarządzać tożsamościami agentów przy użyciu ról niestandardowych?

Definicje ról niestandardowych nie obsługują akcji zarządzania tożsamościami agenta. Użyj wbudowanych ról administratora identyfikatora agenta i administratora identyfikatora agenta dla wszystkich funkcji zarządzania tożsamościami agenta.

Czy mogę dodać tożsamości agentów do jednostek administracyjnych?

Tożsamości agentów, szablony tożsamości agenta i główne elementy szablonów tożsamości agenta nie mogą być dodawane do jednostek administracyjnych. owners Użyj właściwości tożsamości agenta, aby ograniczyć użytkowników, którzy mogą zarządzać określonymi obiektami.

Czy mogę zaktualizować zdjęcie konta użytkownika agenta?

Rola Administrator identyfikatora agenta nie ma uprawnień do aktualizowania zdjęć dla konta użytkownika agenta. W tym zadaniu użyj roli Administrator użytkowników .

Czy mogę zarządzać kontem użytkownika agenta przy użyciu grup dynamicznych?

Dynamiczne reguły członkostwa w grupach nie obsługują dobierania konta użytkownika agenta. Użyj przypisanych grup, aby zarządzać członkostwem w grupach konta użytkownika agenta.

Uwierzytelnianie i zgoda

Czy tożsamości agentów mogą logować się do aplikacji internetowych przy użyciu logowania jednokrotnego?

Tożsamości agentów nie mogą się zalogować do stron logowania Microsoft Entra ID, co oznacza, że nie mogą używać Jednokrotnego logowania za pomocą protokołów OpenID Connect lub SAML. Korzystaj z dostępnych API webowych do integracji agentów z aplikacjami i usługami w miejscu pracy.

Czy przepływ pracy zgody administratora działa dla żądań uprawnień Identyfikator agenta Microsoft Entra?

Przepływ pracy zatwierdzania przez administratora usługi Microsoft Entra ID admin nie działa poprawnie dla uprawnień żądanych przez tożsamości agenta. Użytkownicy powinni skontaktować się z administratorem dzierżawy Microsoft Entra, aby zażądać udzielenia uprawnień bezpośrednio dla tożsamości agenta.

Co zrobić, jeśli zgoda użytkownika zostanie zablokowana przez krok oparty na ryzyku?

Mechanizm zwiększonej weryfikacji oparty na ryzyku jest egzekwowany dla przepływów zgody na tożsamość agenta. Jeśli zgoda użytkownika jest zablokowana, nie ma obejścia. Użytkownik musi rozwiązać oznaczone ryzyko, zanim będzie można uzyskać zgodę.

Monitorowanie i dzienniki

Jak mogę zidentyfikować działania związane z identyfikacją agenta w dziennikach audytu?

Dzienniki inspekcji domyślnie nie odróżniają tożsamości agentów od innych typów tożsamości Microsoft Entra:

• Operacje na tożsamościach agentów, szablonach i głównych elementach szablonów są rejestrowane w kategorii ApplicationManagement.
• Operacje na kontach użytkowników agentów są rejestrowane w kategorii Zarządzanie użytkownikami .
• Operacje inicjowane przez tożsamości agenta są wyświetlane jako jednostki usługi.
• Operacje inicjowane przez konta użytkowników agentów pojawiają się jako działania użytkowników.

Aby zidentyfikować działanie związane z identyfikatorem agenta, użyj identyfikatorów obiektów z dzienników inspekcji, aby wysłać zapytanie do Microsoft Graph i określić typ jednostki. Możesz również użyć identyfikatora korelacji dzienników logowania, aby zlokalizować tożsamość aktora lub podmiotu zaangażowanego w działanie.

Jak zidentyfikować tożsamości agentów w dziennikach aktywności Microsoft Graph?

Microsoft Graph dzienniki aktywności nie oddzielają obecnie tożsamości agentów od innych typów tożsamości:

• Żądania od tożsamości agentów są rejestrowane jako aplikacje, przy czym tożsamość agenta jest uwzględniona w kolumnie appID.
• Żądania z kont użytkowników agentów są rejestrowane jako użytkownicy z identyfikatorem użytkownika agenta w kolumnie UserID .

Dołącz do Microsoft Entra dzienników logowania, aby określić typ jednostki.

Zasoby do rozwoju

Czy istnieją zestawy SDK lub biblioteki dostępne dla scenariuszy Identyfikator agenta Microsoft Entra?

Używany zestaw SDK zależy od scenariusza:

Interfejs wiersza polecenia i zestaw SDK agenta Microsoft 365 są zalecanym punktem wyjścia dla większości deweloperów. CLI obsługuje aprowizację tożsamości agenta, tworzenie wzorca oraz konfigurację uprawnień w jednym poleceniu. Zestaw SDK obsługuje pozyskiwanie tokenów w czasie wykonywania. Aby uzyskać więcej informacji, zobacz dokumentację zestawu SDK Microsoft Entra Agent 365.

Microsoft. Identity.Web udostępnia interfejsy API wyższego poziomu do uzyskiwania tokenów dla tożsamości agentów w aplikacjach .NET. Użyj Microsoft. Identity.Web.AgentIdentities pakiet, aby uprościć zarządzanie tożsamościami agentów.

Kontener zestawu SDK Microsoft Entra opakowuje Microsoft.Identity.Web jako usługa sieciowa wdrożona jako kontener pomocniczy. Użyj tej opcji, gdy agent działa na platformie Kubernetes i/lub nie jest wbudowany w .NET. Aby uzyskać więcej informacji, zobacz zestaw SDK Microsoft Entra dla identyfikatora agenta.

Microsoft Graph interfejsy API zapewniają zarządzanie tożsamościami agentów, gdy inne opcje nie pasują do twojego scenariusza. Aby uzyskać więcej informacji, zobacz Microsoft interfejs Graph API for agent identity blueprints.

Identyfikator agenta Microsoft Entra to platforma tożsamości i zabezpieczeń, która rozszerza możliwości firmy Microsoft na agentów sztucznej inteligencji. Organizacje wdrażają agentów pomocniczych, autonomicznych i podobnych do użytkowników, dlatego potrzebują specjalnie utworzonych konstrukcji tożsamości w celu uwierzytelniania, autoryzacji, rządzenia i ochrony tych nieludzkich tożsamości. Identyfikator agenta Entra firmy Microsoft odpowiada tym potrzebom, zapewniając ujednoliconą platformę do zarządzania tożsamościami agentów w skali przedsiębiorstwa.

Microsoft Graph interfejsy API obsługujące relacje z tożsamościami agenta, takimi jak /ownedObjects, /deletedItems i /owners nie obsługują filtrowania według typu jednostki. Użyj istniejących interfejsów API i odfiltrowuj wyniki po stronie klienta przy użyciu właściwości odata.type, aby zidentyfikować obiekty tożsamości agenta w odpowiedzi.

Po usunięciu szablonu tożsamości agenta lub tożsamości agenta skojarzone konta użytkowników agentów pozostają u dzierżawcy. Nie są wyświetlane jako wyłączone ani usunięte, ale nadal nie mogą się uwierzytelnić. Ręczne usuwanie kont użytkowników osieroconych agentów przy użyciu Microsoft interfejs Graph API lub Microsoft Entra PowerShell.

Podczas tworzenia obiektów tożsamości agenta w krótkich odstępach czasu przy użyciu interfejsów API Microsoft Graph, żądania mogą zakończyć się niepowodzeniem z powodu błędów takich jak 400 Bad Request: Object with id {id} not found. Typowe sekwencje wyzwalające to zachowanie obejmują:

• Utworzenie szablonu tożsamości agenta, a następnie natychmiastowe utworzenie głównego szablonu.
• Utworzenie głównego szablonu, a następnie natychmiastowe użycie tego szablonu do utworzenia tożsamości agenta.
• Utworzenie tożsamości agenta, a następnie natychmiastowe utworzenie konta użytkownika agenta.

Te błędy są bardziej typowe w przypadku korzystania z uprawnień tylko do aplikacji. Użyj delegowanych uprawnień tam, gdzie to możliwe, i dodaj logikę ponawiania z wykładniczym opóźnieniem do żądań.

Następujące limity mają zastosowanie do strategii tożsamości agenta:

• Platformy do zarządzania inne niż Microsoft, korzystające z uprawnień wyłącznie aplikacyjnych, są ograniczone do maksymalnie 250 tożsamości agentów na plan. Delegowane wywołania i platformy należące do Microsoft (Foundry, Copilot Studio) nie podlegają temu limitowi.
• Użytkowników niebędących administratorami obowiązuje dotychczasowy limit 250 posiadanych obiektów w usłudze Microsoft Entra ID, który ma zastosowanie we wszystkich typach zasobów Microsoft Entra.
• Plany mogą zajmować maksymalnie 95% całkowitego limitu zasobów dzierżawy. Aby uzyskać więcej informacji, zobacz wiersz Resources w Microsoft Entra limity i ograniczenia usługi.

Brak wbudowanych mechanizmów powiadomień dla zatwierdzania szablonu tożsamości agenta. Gdy administrator dzierżawy tworzy lub zatwierdza szablon tożsamości agenta, nie otrzymujesz powiadomienia za pośrednictwem Microsoft Entra lub Microsoft Graph.

Aby sprawdzić, czy szablon został zatwierdzony w określonej dzierżawie, wykonaj zapytanie do Microsoft interfejs Graph API pod kątem obiektów głównych blueprint skojarzonych z twoją aplikacją. Jeśli administrator jeszcze nie zatwierdził szkicu, zapytanie nie zwraca żadnych wyników dla tego najemcy.

Definicje ról niestandardowych nie obsługują akcji zarządzania tożsamościami agenta. Użyj wbudowanych ról administratora identyfikatora agenta i administratora identyfikatora agenta dla wszystkich funkcji zarządzania tożsamościami agenta.

Tożsamości agentów, szablony tożsamości agenta i główne elementy szablonów tożsamości agenta nie mogą być dodawane do jednostek administracyjnych. owners Użyj właściwości tożsamości agenta, aby ograniczyć użytkowników, którzy mogą zarządzać określonymi obiektami.

Rola Administrator identyfikatora agenta nie ma uprawnień do aktualizowania zdjęć dla konta użytkownika agenta. W tym zadaniu użyj roli Administrator użytkowników .

Dynamiczne reguły członkostwa w grupach nie obsługują dobierania konta użytkownika agenta. Użyj przypisanych grup, aby zarządzać członkostwem w grupach konta użytkownika agenta.

Tożsamości agentów nie mogą się zalogować do stron logowania Microsoft Entra ID, co oznacza, że nie mogą używać Jednokrotnego logowania za pomocą protokołów OpenID Connect lub SAML. Korzystaj z dostępnych API webowych do integracji agentów z aplikacjami i usługami w miejscu pracy.

Przepływ pracy zatwierdzania przez administratora usługi Microsoft Entra ID admin nie działa poprawnie dla uprawnień żądanych przez tożsamości agenta. Użytkownicy powinni skontaktować się z administratorem dzierżawy Microsoft Entra, aby zażądać udzielenia uprawnień bezpośrednio dla tożsamości agenta.

Mechanizm zwiększonej weryfikacji oparty na ryzyku jest egzekwowany dla przepływów zgody na tożsamość agenta. Jeśli zgoda użytkownika jest zablokowana, nie ma obejścia. Użytkownik musi rozwiązać oznaczone ryzyko, zanim będzie można uzyskać zgodę.

Dzienniki inspekcji domyślnie nie odróżniają tożsamości agentów od innych typów tożsamości Microsoft Entra:

• Operacje na tożsamościach agentów, szablonach i głównych elementach szablonów są rejestrowane w kategorii ApplicationManagement.
• Operacje na kontach użytkowników agentów są rejestrowane w kategorii Zarządzanie użytkownikami .
• Operacje inicjowane przez tożsamości agenta są wyświetlane jako jednostki usługi.
• Operacje inicjowane przez konta użytkowników agentów pojawiają się jako działania użytkowników.

Aby zidentyfikować działanie związane z identyfikatorem agenta, użyj identyfikatorów obiektów z dzienników inspekcji, aby wysłać zapytanie do Microsoft Graph i określić typ jednostki. Możesz również użyć identyfikatora korelacji dzienników logowania, aby zlokalizować tożsamość aktora lub podmiotu zaangażowanego w działanie.

Microsoft Graph dzienniki aktywności nie oddzielają obecnie tożsamości agentów od innych typów tożsamości:

• Żądania od tożsamości agentów są rejestrowane jako aplikacje, przy czym tożsamość agenta jest uwzględniona w kolumnie appID.
• Żądania z kont użytkowników agentów są rejestrowane jako użytkownicy z identyfikatorem użytkownika agenta w kolumnie UserID .

Dołącz do Microsoft Entra dzienników logowania, aby określić typ jednostki.

Używany zestaw SDK zależy od scenariusza:

Interfejs wiersza polecenia i zestaw SDK agenta Microsoft 365 są zalecanym punktem wyjścia dla większości deweloperów. CLI obsługuje aprowizację tożsamości agenta, tworzenie wzorca oraz konfigurację uprawnień w jednym poleceniu. Zestaw SDK obsługuje pozyskiwanie tokenów w czasie wykonywania. Aby uzyskać więcej informacji, zobacz dokumentację zestawu SDK Microsoft Entra Agent 365.

Microsoft. Identity.Web udostępnia interfejsy API wyższego poziomu do uzyskiwania tokenów dla tożsamości agentów w aplikacjach .NET. Użyj Microsoft. Identity.Web.AgentIdentities pakiet, aby uprościć zarządzanie tożsamościami agentów.

Kontener zestawu SDK Microsoft Entra opakowuje Microsoft.Identity.Web jako usługa sieciowa wdrożona jako kontener pomocniczy. Użyj tej opcji, gdy agent działa na platformie Kubernetes i/lub nie jest wbudowany w .NET. Aby uzyskać więcej informacji, zobacz zestaw SDK Microsoft Entra dla identyfikatora agenta.

Microsoft Graph interfejsy API zapewniają zarządzanie tożsamościami agentów, gdy inne opcje nie pasują do twojego scenariusza. Aby uzyskać więcej informacji, zobacz Microsoft interfejs Graph API for agent identity blueprints.