Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quando você cria um blueprint de identidade de agente, há duas configurações relacionadas à permissão de chave: acesso a recursos necessários e permissões herdáveis. Essas configurações funcionam em conjunto para definir o que um agente precisa, o que os administradores revisam durante o consentimento e como as permissões fluem para as identidades do agente.
Entender a relação entre essas configurações e como elas afetam a autorização é essencial para desenvolvedores que projetam blueprints de agente e administradores integrando agentes em suas organizações.
Acesso a recursos necessário
O acesso a recursos necessários é a declaração inicial, no modelo de identidade do agente, das APIs e permissões de que as identidades de agente subordinadas a esse modelo precisam para funcionar. Ele é expresso como um conjunto de aplicações de recursos alvo e os escopos delegados específicos e as funções de aplicativo que o agente solicita.
O acesso a recursos necessário serve como a lista de permissões de consentimento estático do agente. Quando um administrador de locatário examina o agente para aprovação, essa lista torna a decisão de consentimento explícita e revisável. Ele responde à pergunta: "O que este agente precisa para funcionar?"
O consentimento dinâmico ainda pode conceder permissões herdadas quando a permissão é solicitada explicitamente e o aplicativo de recurso é configurado como herdável. No entanto, as permissões solicitadas dinamicamente não são visíveis antecipadamente, a menos que também sejam declaradas no acesso necessário aos recursos.
Principais características do acesso ao recurso necessário:
- Declara o conjunto de permissões de linha de base que o agente precisa para sua experiência inicial.
- Fica visível para os administradores do locatário durante o processo de consentimento e integração.
- É uma declaração, não uma concessão de permissão. A autorização requer consentimento do administrador.
Permissões herdáveis
As permissões herdáveis são uma lista de aplicativos de recursos configurados em um blueprint de identidade do agente que define quais permissões podem ser herdadas automaticamente por identidades de agente criadas a partir desse blueprint. Quando um administrador concede permissões à entidade do blueprint de identidade do agente e essas permissões pertencem a aplicativos de recursos listados como herdáveis, todas as identidades de agente atuais e futuras criadas a partir desse modelo na organização recebem automaticamente essas permissões junto com seus tokens.
As permissões herdáveis resolvem um desafio de implantação comum: quando você tem várias instâncias do mesmo agente em ambientes ou unidades de negócios, não deseja que os administradores consentam novamente com as mesmas permissões em cada identidade de agente. As permissões herdáveis permitem que o administrador aprove uma vez no nível do blueprint e faça com que essa aprovação seja aplicada automaticamente.
Duas condições para herança
Para que uma permissão seja herdada por uma identidade de agente, ambas as seguintes condições devem ser atendidas:
- Os escopos de recurso, funções ou ambos devem ser listados na configuração de permissões herdáveis na planta de identidade do agente.
- A permissão deve ser concedida com:
- consentimento estático usando acesso a recursos obrigatórios ou
- consentimento dinâmico com as permissões explicitamente declaradas na solicitação de consentimento.
Se uma das condições estiver ausente, a herança não ocorrerá.
Quais são as permissões herdáveis incluídas
As permissões herdáveis dão suporte a ambos:
-
Escopos delegados: aparecem na reivindicação do token de acesso de permissão de aplicativo delegado do agente
scp. -
Funções do aplicativo: aparecem na reivindicação do token de permissão do aplicativo do agente
roles.
Padrões de herança
Os seguintes padrões têm suporte por aplicativo de recurso:
| Padrão | Description |
|---|---|
| Todos permitidos | Herda todos os escopos delegados disponíveis ou funções de aplicativo para o aplicativo de recursos especificado. Os escopos ou funções recém-concedidos à entidade do blueprint são incluídos automaticamente. |
| Nenhum | Não herde escopos ou funções para o aplicativo de recurso especificado. Use este padrão para desativar explicitamente a herança de escopos ou funções de forma independente. |
Você pode configurar escopos e funções independentemente no mesmo aplicativo de recursos. Por exemplo, você pode herdar todos os escopos sem herdar nenhum papel, ou vice-versa.
Declaração, concessão e herança
Acesso a recursos necessários e permissões herdáveis são configurações: elas não concedem nenhuma autorização por si só. É importante entender a distinção entre o que é declarado, o que é concedido e o que é herdado.
| Camada | O que é | Quem o controla | Efeito |
|---|---|---|---|
| Acesso a recursos necessário | A lista de APIs e permissões que o agente precisa para funcionar | Desenvolvedor (no blueprint) | Visível para os administradores durante a revisão de consentimento. Não concede acesso. |
| Permissões herdáveis | A lista de aplicativos de recursos elegíveis para herança | Desenvolvedor (no blueprint) | Define quais recursos os aplicativos podem ter permissões atribuídas às identidades dos agentes. Não concede acesso. |
| Aprovação da entidade do blueprint | Permissões concedidas por um administrador à entidade do blueprint em um locatário | Administrador de locatários | Concede autorização. Se o aplicativo de recursos também estiver listado como herdável, a permissão fluirá para todas as identidades dos agentes. |
| Consentimento do usuário ou do agente para a identidade do agente | Permissões concedidas diretamente a uma identidade específica do agente | Administrador de locatários | Concede autorização apenas para essa identidade de agente específica. |
| Permissões efetivas no token | O conjunto mesclado de permissões herdadas + concedidas diretamente | Plataforma (na emissão de tokens) | O que a identidade do agente pode realmente fazer em tempo de execução. |
Note
As permissões herdadas não são visíveis como permissões em identidades de agente no centro de administração do Microsoft Entra ou por meio de Microsoft Graph. Eles só são observáveis no conteúdo dos tokens em tempo de execução. A plataforma mescla permissões herdadas e concedidas diretamente durante a emissão de token.
Guia rápido de configuração de permissões
Use estas regras rápidas:
- O consentimento estático no nível do blueprint depende de a permissão estar incluída no acesso obrigatório aos recursos.
- O consentimento dinâmico no nível do blueprint pode funcionar mesmo quando a permissão não está no acesso ao recurso necessário, mas a permissão deve ser solicitada explicitamente.
- A herança das identidades dos agentes depende do fato de o aplicativo de recursos estar configurado como herdável.
- A visibilidade imediata depende do fato de a permissão estar incluída no acesso obrigatório aos recursos.
Consentimento estático (entidade do blueprint)
| Permissão no acesso a recursos necessário? | O aplicativo de recursos é herdável? | Herdadas pelas identidades dos agentes? | Visível para administradores de imediato? |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
| Sim | Não | Não | Sim |
| Não | Sim | Não | Não |
| Não | Não | Não | Não |
Consentimento dinâmico (princípio do blueprint, permissão solicitada explicitamente)
| Permissão no acesso a recursos necessário? | O aplicativo de recursos é herdável? | Herdadas pelas identidades dos agentes? | Visível para administradores de imediato? |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
| Sim | Não | Não | Sim |
| Não | Sim | Sim | Não |
| Não | Não | Não | Não |
O consentimento direto em uma identidade de agente permanece disponível em todos os casos, mas essas concessões se aplicam apenas a essa identidade de agente específica.
Práticas Recomendadas
Ao configurar o acesso aos recursos necessários e as permissões herdáveis para os blueprints de agente, procure equilibrar segurança, usabilidade e escalabilidade futura.
Minimize as permissões iniciais. Inclua apenas o acesso a recursos essencial para a funcionalidade principal do agente no acesso a recursos necessário. Solicitar permissões desnecessárias na instalação aumenta o atrito e reduz a confiança com os administradores de locatários.
Pré-declarar possíveis permissões futuras. Especifique os aplicativos de recursos que podem ser necessários para funcionalidades futuras do agente na lista de permissões herdáveis. Essa transparência permite que os administradores antecipem futuras solicitações de consentimento e facilitem implantações mais suaves entre ambientes.
Use permissões herdáveis para reutilização. Use permissões herdáveis para permitir que os administradores concedam consentimento uma vez no nível do blueprint e que essa aprovação se aplique automaticamente a todas as identidades do agente, inclusive em várias implantações e ambientes. Se você for exigir uma permissão, é recomendável tornar o aplicativo de recursos hereditário, para que os administradores não precisem concedê-la individualmente para cada identidade de agente.
Mantenha a governança simples e previsível. Definir explicitamente quais permissões são necessárias e que podem ser solicitadas posteriormente ajuda as organizações a manter um controle de acesso claro e evitar escalonamentos de permissões inesperados.
Examine as implicações de segurança. Verifique se as permissões herdáveis não concedem acesso excessivo nem expõem recursos confidenciais além do necessário. Audite regularmente listas de permissões para manter a conformidade e minimizar o risco.
Cenários de exemplo
Os cenários a seguir ilustram como diferentes configurações de permissão atendem a diferentes necessidades de implantação.
Cenário 1: o agente tem recursos opcionais que exigem permissões posteriormente
Priya está criando um agente de suporte técnico de TI que responde perguntas de uma base de dados de conhecimento. A Priya espera que os clientes habilitem ações opcionais posteriormente, como criar incidentes ou postar no Teams. O Priya deixa o acesso aos recursos necessários em branco ou reduzido ao mínimo. Ela define os aplicativos de recurso que seu agente usa na lista de permissões herdáveis. Quando a empresa habilita um recurso de ação, o administrador concede a permissão necessária uma única vez na entidade do blueprint, e essa aprovação é reutilizada em todas as implantações.
Cenário 2: o agente requer permissões antecipadamente que devem ser herdáveis
O Mateo está criando um novo agente de integração de novos funcionários que precisa de acesso ao Microsoft Graph para ler perfis de usuário e criar tarefas. Mateo lista as permissões padrão do Graph no acesso a recursos necessários e também adiciona o aplicativo de recurso do Graph à lista de permissões herdadas. Quando a empresa implementa o agente em várias unidades de negócios, a revisão administrativa é consistente: as mesmas permissões são solicitadas todas as vezes, e a configuração de herança reduz o trabalho de aprovação repetitivo.
Cenário 3: o agente requer permissões que não devem ser herdáveis
O Lin está criando um agente de operações com privilégios usado por uma pequena equipe de administradores para executar tarefas confidenciais. O agente precisa de permissões de alto privilégio imediatamente. O Lin os inclui no acesso aos recursos necessários, mas intencionalmente não os adiciona à lista de permissões herdáveis. Para sua empresa, cada instalação requer uma decisão de administrador nova e explícita, reduzindo a expansão de permissões para acesso altamente privilegiado.
Cenário 4: o Agente requer permissões diferentes em diferentes organizações
Aisha está criando um agente coletor de evidências de conformidade. Alguns locatários precisam dele para extrair de fontes de auditoria da Microsoft 365; outros precisam dele para extrair de sites do SharePoint. Aisha define um conjunto básico de recursos de acesso obrigatório e lista todas as opções de recursos possíveis na lista de permissões herdáveis. Cada organização concede apenas as permissões que correspondem à sua arquitetura de segurança, e a abordagem herdada reduz as aprovações repetidas durante a implementação.