Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista limitações, problemas e lacunas de recursos observadas na prévia. Você sempre pode voltar a este artigo para os problemas mais atualizados conhecidos. Esses itens podem mudar ou ser resolvidos sem aviso prévio. O ID do Agente do Microsoft Entra está sujeito a seus termos e condições padrão de versão prévia.
Identidades de agentes e plantas de identidade de agentes
As seguintes questões e lacunas conhecidas estão relacionadas à identidade dos agentes e aos projetos de identidade dos agentes.
IDs de Agente em relacionamentos da API de grafos
As APIs Microsoft Graph suportam várias relações envolvendo identidades de agentes e blueprints de identidade de agentes, como /ownedObjects, /deletedItems, , /owners, e mais. Não há como filtrar essas consultas para devolver apenas IDs de Agente.
Resolução: Utilize as APIs existentes documentadas nos documentos de referência do Microsoft Graph e realize a filtragem no lado do cliente usando a odata.type propriedade para filtrar os resultados por IDs de agente.
Usuários do Agente
Os seguintes problemas e lacunas conhecidos estão relacionados aos usuários do agente.
Usuários de agentes de limpeza
Quando um blueprint ou identidade de agente é excluído, quaisquer usuários de agente criados usando esse blueprint ou identidade permanecem no tenant. Eles não aparecem como desativados ou excluídos, embora não possam autenticar.
Resolução: exclua todos os usuários de agente órfãos por meio do Centro de administração do Microsoft Entra, das APIs do Microsoft Graph ou das ferramentas de script.
Funções e permissões para gerenciamento de identidade de agentes
As seguintes questões e lacunas conhecidas estão relacionadas a papéis e permissões para gerenciar identidades de agentes.
O Global Reader não pode listar identidades de agentes
Ao consultar APIs Microsoft Graph para listar as identidades dos agentes usando o endpoint GET https://graph.microsoft.com/beta/servicePrincipals/graph.agentIdentity, os usuários designados para o papel de Global Reader recebem uma 403 Unauthorized resposta.
Resolução: use o endpoint GET https://graph.microsoft.com/beta/servicePrincipals para fazer a consulta.
Permissões delegadas para criação de identidade de agente
Atualmente, não há permissão delegada viável para criar identidades de agentes.
Resolução: os implementadores devem usar permissões de aplicativo para criar identidades de agente.
Directory.AccessAsUsuário.Todos faz com que outras permissões sejam ignoradas
Ao criar, atualizar e excluir IDs de Agente, os clientes podem usar permissões delegadas como AgentIdentityBlueprint.Create e AgentIdentityBlueprintPrincipal.EnableDisable.All. No entanto, se o cliente recebeu a permissão delegada Directory.AccessAsUser.All, a permissão do cliente para criar e modificar IDs de Agente é ignorada. Isso pode fazer com que as requisições Microsoft Graph falham com 403 Unauthorized, mesmo que o cliente e o usuário tenham as permissões apropriadas.
Resolução: remova a permissão Directory.AccessAsUser.All do cliente, solicite novos tokens de acesso e repita a solicitação.
Funções personalizadas
Você não pode incluir ações para gerenciamento de identidades de agentes nas definições personalizadas de papéis do Microsoft Entra ID.
Resolução: use funções internas de Administrador de ID do agente e de Desenvolvedor de ID do agente para todo o gerenciamento de IDs do agente.
Unidades administrativas
Você não pode adicionar identidades de agentes, blueprints de identidade de agente e princípios de blueprint de identidade de agente às unidades administrativas.
Resolução: use a propriedade de ID do Agente para limitar o conjunto de usuários que podem gerenciar esses objetos.
Atualização de fotos para usuários de agentes
A função de Administrador de ID de Agente não pode atualizar fotos para usuários de agentes.
Resolução: use a função Administrador de Usuário para atualizar fotos para usuários do agente.
centro de administração do Microsoft Entra
Os seguintes problemas e lacunas conhecidos estão relacionados ao centro de administração do Microsoft Entra.
Gerenciamento de blueprint de identidade de agente
Você não pode criar ou editar blueprints de identidade de agente pelo centro de administração do Microsoft Entra ou pelo portal Azure.
Resolução: para criar blueprints de identidade do agente, siga a documentação para criar e editar a configuração de blueprints usando as APIs do Microsoft Graph e o PowerShell.
Protocolos de autenticação
Os seguintes problemas e lacunas conhecidos estão relacionados a protocolos de autenticação.
DeSign-On única para aplicativos web
Os IDs de Agente não podem fazer login nas páginas de login do Microsoft Entra ID. Isso significa que eles não podem fazer login único em sites e aplicativos web usando os protocolos OpenID Connect ou SAML.
Resolução: use APIs da Web disponíveis para integrar agentes com aplicativos e serviços do local de trabalho.
Consentimentos e permissões
As seguintes questões e lacunas conhecidas estão relacionadas ao consentimento e às permissões.
Fluxo de trabalho de consentimento do administrador (ACW)
O fluxo de trabalho de consentimento do administrador do Microsoft Entra ID não funciona corretamente para permissões solicitadas pelos IDs de Agente.
Resolução: Os usuários podem entrar em contato com os administradores do locatário do Microsoft Entra ID para solicitar que permissões sejam concedidas a uma ID do Agente.
Permissões de aplicação para blueprints de identidade de agente
Você não pode conceder permissões de aplicação do ID do Microsoft Entra (papéis de app) aos principais do blueprint de identidade do agente.
Resolução: Conceder permissões de aplicativo a identidades de agente individuais.
Atribuição de função do aplicativo à identidade do agente
Você não pode atribuir funções de ID para o Microsoft Entra onde o recurso alvo da atribuição de função é a identidade do agente.
Resolução: Atribuir funções de aplicativo usando um principal de blueprint de identidade de agente como recurso de destino.
Consentimentos bloqueados por um step-up baseado em risco
Consentimentos de usuários bloqueados por step-up baseado em risco não mencionam "arriscado" na UX.
Resolução: Não há solução alternativa para isso. O aumento baseado em risco ainda é aplicado.
Administração do ID Microsoft Entra
Os seguintes problemas e lacunas conhecidos estão relacionados à administração do Microsoft Entra ID.
Grupos dinâmicos
Você não pode adicionar identidades de agentes e usuários de agentes aos grupos de ID do Microsoft Entra com membros dinâmicos.
Resolução: Adicionar IDs dos Agentes a grupos de segurança com associação fixa.
Monitoramento e logs
Os seguintes problemas e lacunas conhecidos estão relacionados ao monitoramento e aos registros.
Logs de auditoria
Os logs de auditoria não distinguem IDs de Agente de outras identidades:
- As operações sobre identidades de agentes, blueprints de identidade de agente e princípios de blueprint de identidade de agente são registradas na categoria Gerenciamento de Aplicações .
- As operações nos usuários agentes são registradas na categoria de Gerenciamento de Usuários .
- Operações iniciadas por identidades de agentes aparecem como principais de serviço nos registros de auditoria.
- Operações iniciadas pelos usuários agentes aparecem como usuários nos logs de auditoria.
Resolução: use as seguintes soluções alternativas para identificar atividades relacionadas à ID do agente nos logs de auditoria:
- Use os IDs de objeto fornecidos nos logs de auditoria para consultar o Microsoft Graph e determinar o tipo de entidade.
- Use o ID de correlação dos logs de login do Microsoft Entra para localizar a identidade do ator ou sujeito envolvido na atividade auditável.
Logs de atividades do Microsoft Graph
Os registros de atividade do Microsoft Graph não distinguem IDs de Agente de outras identidades:
- Solicitações das identidades dos agentes são registradas como aplicações, com a identidade do agente incluída na coluna appID .
- Solicitações dos usuários agentes são registradas como usuários, com o
agentUserID na coluna UserID .
Resolução: Junte os logs de entrada do Microsoft Entra para determinar o tipo de entidade.
Desempenho e escala
Os seguintes problemas e lacunas conhecidos estão relacionados ao desempenho e à escala.
Atrasos em múltiplas solicitações de criação
Ao usar as APIs Microsoft Graph para criar IDs de Agente, tentativas de criar múltiplas entidades em sequência rápida podem falhar com erros como 400 Bad Request: Object with id {id} not found. Retentar o pedido pode não dar certo por vários minutos. Os exemplos incluem:
- Crie o blueprint de identidade do agente, crie rapidamente o blueprint principal.
- Crie o blueprint de identidade do agente, adicione credencial rapidamente.
- Crie o principal do blueprint de identidade do agente, depois use o blueprint para criar a identidade do agente.
- Crie identidade de agente, crie rapidamente o usuário agente.
Essas sequências de requisições frequentemente falham ao usar permissões de aplicação MS Graph para autorizar as solicitações.
Resolução: use permissões delegadas sempre que possível. Adicione lógica de retentativa às suas requisições com recuo exponencial e um tempo de espera razoável.
Integrações de produtos
Os seguintes problemas e lacunas conhecidos estão relacionados à integração de produtos.
Agentes do Copilot Studio
Agentes criados usando o Copilot Studio devem optar por usar IDs de Agente nas configurações de ambiente do agente. Atualmente, apenas agentes de motor personalizados são suportados. Agentes do motor personalizado atualmente usam IDs de agente para autenticação nos canais onde são publicados. Atualmente, IDs de agente não são usados para autenticação de conectores ou ferramentas no Copilot Studio.
Bibliotecas e SDKs
Cenários de ID de Agente introduzem complexidade extra ao usar MSAL devido à necessidade de gerenciar Credenciais de Identidade Federada (FIC). Para desenvolvedores .NET, a Microsoft recomenda o uso do Microsoft.Identity.Web.AgentIdentities, que oferece uma experiência simplificada para os IDs de Agente. Para non-.NET implementações, use o Microsoft Entra SDK para ID de agente, projetado para simplificar a integração do ID de agente em outras linguagens.
Relatando novas questões
Se você encontrar um problema não listado, reporte um problema usando aka.ms/agentidfeedback.