Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece diretrizes sobre como conceder acesso aos agentes por meio de consentimento, autorização manual e outros sistemas de autorização. Saiba mais sobre os diferentes métodos disponíveis para autorizar agentes a acessar recursos do Microsoft 365 e quando usar cada abordagem.
Pré-requisitos
- Um blueprint de identidade do agente e pelo menos uma identidade de agente criada a partir dele.
- Um projeto de identidade do agente com um URI de redirecionamento válido.
Como solicitar consentimento (permissões delegadas ou de aplicativo)
Usuários ou administradores podem conceder aos agentes acesso aos dados consentindo com permissões de API durante o fluxo OAuth. Esta seção explica como solicitar consentimento para permissões delegadas e de aplicativo para seus agentes.
Quando usar permissões delegadas ou de aplicativo
O tipo de permissões que você solicita depende de como seu agente opera e quais recursos ele precisa acessar.
Use permissões delegadas quando o agente interativo precisar agir em nome de um usuário conectado. Por exemplo, leia o email, o calendário ou os arquivos desse usuário. O acesso delegado é contido na reivindicação scp do token.
Use permissões de aplicativo quando o agente autônomo for executado sem um usuário presente e exigir acesso somente ao aplicativo. Por exemplo, para ler os perfis de todos os usuários. As permissões de aplicativo aparecem na declaração de funções do token.
Para obter mais informações, consulte permissões e visão geral de consentimento
Como funciona o consentimento
Para permissões delegadas, quando você redireciona o usuário para o endpoint da plataforma de identidade da Microsoft /authorize, eles revisam escopos, tais como User.Read e Mail.Read. Se o consentimento for concedido, o Microsoft Entra ID registrará um OAuth2PermissionGrant do seu agente (cliente) para o recurso, como o Microsoft Graph. Os tokens futuros delegados para esse recurso incluem os escopos aprovados em scp sem nova solicitação, a menos que o consentimento seja alterado. Se o aplicativo solicitar consentimento para permissões restritas de administrador, os usuários receberão um erro. Um administrador solicita essas permissões diretamente. Para obter mais informações, consulte permissões restritas ao administrador.
Compilando a URL de consentimento
Ao criar a URL de consentimento, a ID do cliente deve ser a ID da identidade do agente.
Para obter mais informações, consulte solicitando permissões por meio do consentimento. Algumas permissões exigem consentimento de um administrador antes que possam ser concedidas em um locatário. Para obter mais informações, consulte o consentimento do administrador na plataforma de identidade da Microsoft
Como conceder autorização manualmente (delegada ou aplicativo)
Você pode criar os objetos de autorização subjacentes diretamente. É útil para situações em que você deseja automatizar a autorização ou quando deseja evitar prompts interativos.
- Conceda manualmente permissões delegadas. Defina a ID do cliente como a ID de identidade do agente.
- Conceda manualmente permissões de aplicativo (atribuição de função de aplicativo). Defina a ID principal como a ID de identidade do agente.
Como gerenciar o acesso por meio de pacotes de acesso
Usando pacotes de acesso, você pode habilitar o acesso padronizado para muitos Agentes de IA com as mesmas necessidades de acesso. O pacote de acesso pode incluir funções de Entra, concessões de permissão delegada e de aplicativo OAuth2 e associações de grupo de segurança. Os agentes podem solicitar um pacote de acesso, ou um patrocinador ou administrador pode solicitá-los e, uma vez aprovado, a identidade do agente ou o usuário do agente recebe os direitos de acesso até que a atribuição seja revogada ou expire. Para obter mais informações, consulte pacotes de acesso para identidades de agente.
Outros sistemas de autorização
Os agentes podem ser autorizados de várias maneiras além de atribuições de funções em aplicativos, associações de grupo e autorizações de permissão OAuth2. Esses sistemas alternativos oferecem flexibilidade para atribuir acesso personalizado a diferentes plataformas, serviços e requisitos de segurança. As seções a seguir resumem alguns dos muitos métodos para autorização do agente.
RBAC do Azure (controle de acesso baseado em função do Azure)
Atribua funções do Azure à identidade do agente no escopo mais estreito (recurso, grupo de recursos, assinatura). Por exemplo, você pode conceder a função de Leitor do Key Vault em um único cofre, permitindo que o agente leia segredos sem precisar de permissões amplas de diretório ou de inquilino. Para obter mais informações e diretrizes passo a passo, consulte a documentação do RBAC do Azure.
Funções do Microsoft Entra
Algumas funções de diretório de baixo privilégio podem ser atribuíveis a agentes para metadados ou cenários de leitura. Funções de alto privilégio são bloqueadas para agentes por política de plataforma. Para saber mais sobre as funções do Microsoft Entra e o PIM, confira as funções do Microsoft Entra.
Controle de Acesso Baseado em Funções (RBAC) do Exchange
O RBAC do Exchange (controle de acesso baseado em função) permite que os administradores deleguem permissões aos recursos do Exchange. Ele garante que os agentes possam obter autorização granular, como acesso autônomo a uma caixa de correio ou a algumas caixas de correio. Para obter informações, consulte Controle de acesso baseado em função para aplicativos no Exchange Online
Consentimento Específico de Recursos do Teams (RSC)
O Consentimento Específico de Recursos do Teams (RSC) permite atribuições de permissão granulares para usuários no Microsoft Teams. RSC permite que você conceda permissões a um aplicativo ou agente com base em equipe, em vez de no nível do tenant. Essa abordagem é especialmente útil quando você deseja limitar o acesso apenas aos recursos e dados em equipes específicas. Esses dados incluem canais, mensagens ou informações de lista, sem conceder permissões organizacionais mais amplas. Para obter mais informações, consulte o consentimento específico do recurso para seu aplicativo do Teams.
APIs personalizadas (de terceiros)
Os agentes podem chamar outras APIs protegidas pelo OAuth. Verifique se o aplicativo de recurso e sua entidade de serviço existem no locatário, defina os escopos/funções de aplicativo necessários e siga os mesmos fluxos delegados ou de permissão de aplicativo. Para obter mais informações, consulte o guia da Microsoft para permissões e consentimento na plataforma de identidade da Microsoft.