Compartilhar via

Fluxo de autenticação

Importante

Você precisa fazer parte do programa de versão preliminar do Frontier para obter acesso antecipado ao Microsoft Agent 365. A Frontier conecta você diretamente às mais recentes inovações de IA da Microsoft. As versões preliminares da Frontier estão sujeitas aos termos de versão preliminar existentes dos contratos de cliente. Como esses recursos ainda estão em desenvolvimento, sua disponibilidade e capacidades podem mudar ao longo do tempo.

Identidade de agente é um conceito fundamental no Microsoft Agent 365 SDK. Cada agente ganha sua própria identidade empresarial única e persistente, separada dos registros de usuários humanos ou de aplicativos genéricos. Essa identidade equipa o agente com privilégios, autenticação, funções e capacidades de conformidade semelhantes às de um funcionário humano.

Entendendo componentes de identidade do agente

Quando você registra um agente com o Microsoft Agent 365, três componentes-chave trabalham juntos para fornecer sua identidade ao seu agente:

Blueprint do agente (Aplicação agentica)

O blueprint do agente define a identidade, permissões e requisitos de infraestrutura do agente. Ele serve como modelo para criar instâncias de agentes e inclui:

  • Registro de aplicativo do Microsoft Entra.
  • Escopos de permissão da API do Microsoft Graph
  • Configuração de autenticação
  • Definições de recursos (Plano de Serviços de Aplicativos, Aplicativo Web)

Instância de aplicativo agente

Uma instância de aplicativo agente representa uma implantação específica do seu blueprint de agente. Cada caso tem:

  • ID de aplicativo agente único (Microsoft Entra ID)
  • Usar uma entidade de serviço para autenticação
  • Configuração específica de instância
  • Credenciais de identidade federada para integração com o Teams

Usuário agente

Um usuário agente é a identidade em tempo de execução que aparece na sua organização. Usuários agentes são um subtipo especializado de identidade de usuário projetado especificamente para agentes. Conceitos-chave que você precisa entender sobre usuários agentes são suas características de identidade, integração organizacional, modelo de relacionamento e ciclo de vida.

Características de identidade

Usuários agentes possuem propriedades de identidade distintas que os diferenciam das contas tradicionais de usuário:

  • Marcado como agente no diretório
  • Recebe tokens com idtyp=user (tipo de identidade de usuário)
  • Possui um ID de usuário único (ID de objeto) separado da instância do agente pai
  • Não pode ter credenciais tradicionais (senhas, chaves de acesso, fatores MFA)
  • Deve ser criado por meio de uma chamada de API explícita a partir da instância do agente pai
  • Tem um link imutável para sua instância agente pai (não pode ser re-parentada)

integração de grupos organizacionais

Usuários agentes funcionam como membros plenos da sua organização Microsoft 365 com as seguintes capacidades:

  • Estão sincronizados com o diretório de locatários do Microsoft 365
  • Podem ser atribuídas licenças (Microsoft 365 E5, Teams Enterprise, Copilot)
  • Ter sua própria caixa de correio e armazenamento OneDrive (baseado em licenças)
  • Apareça no organograma e nos cartões de pessoas
  • Pode estar @mentioned no Teams, documentos e outros aplicativos do Microsoft 365
  • Ter seu próprio nome principal único (por exemplo, agent@yourtenant.onmicrosoft.com)

Modelo de relacionamento

A conexão entre instâncias agenticas e usuários agenticos segue um padrão estrito de pai e filho:

  • Cada instância agentica pode ter no máximo um filho de usuário agentico
  • O usuário agente armazena uma referência à sua instância agente pai
  • A instância do agente pai mantém uma referência ao seu usuário agente filho (se existir)
  • Essa relação bidirecional permite uma gestão adequada do ciclo de vida e auditoria

Ciclo de vida

Usuários agentes são projetados para disponibilidade imediata com limpeza automática quando não for mais necessário:

  • Suporta funcionalidade instantânea e pode ser usada imediatamente após a criação

    Observação

    O provisionamento de recursos para usuários agentes (caixa de correio, OneDrive) pode levar até 24 horas após a atribuição da licença, embora normalmente seja concluído em 10-15 minutos.

  • Se a instância do agente pai for excluída, o usuário agente filho também é excluído

  • A relação entre a instância agente e o usuário agente é imutável e não pode ser alterada

Importante

Usuários agentes precisam de licenças apropriadas do Microsoft 365 para acessar serviços como Teams, E-mail, Calendário, SharePoint e OneDrive. Licenças comuns incluem Microsoft 365 E5, Teams Enterprise e Microsoft 365 Copilot. Após a atribuição das licenças, o provisionamento de recursos (caixa de correio, OneDrive) normalmente é concluído em 10-15 minutos, mas pode levar até 24 horas em alguns casos.

Permissões e controle de acesso (IAM)

Permissões de agentes são gerenciadas em múltiplos níveis para fornecer controle granular sobre direitos e capacidades de acesso.

Permissões padrão

Usuários agentes possuem características específicas de permissão:

  • Pode ser gerenciado por meio de políticas de acesso condicional
  • Isentos dos requisitos do MFA (já que não podem ter fatores tradicionais de autenticação)
  • Pode ser adicionado aos grupos do Entra ID, incluindo o grupo "Todos os Usuários Agentes"
  • O acesso a recursos é controlado por meio de concessões explícitas de permissões e licenças

Gerenciamento de permissões

As permissões podem ser definidas em diferentes níveis:

  • Nível de blueprint do agente - Define permissões base para todas as instâncias
  • Nível de instância do agente - Permissões específicas para a identidade do agente
  • Nível de usuário agente - Permissões e direitos de acesso específicos de usuários

Gorjeta

Para agentes com identidades de usuário agente, use a identidade de usuário agente principalmente para acesso a recursos. Essa prática proporciona um comportamento consistente semelhante ao do usuário em todos os serviços do Microsoft 365.

Fluxos de autenticação

O Microsoft Agent 365 suporta dois fluxos de autenticação para agentes, alimentados pelo Microsoft Entra Agent ID.

PwC Identity Authentication

Permite que um agente aja com sua própria identidade.

Neste fluxo:

  • O agente autentica usando suas próprias credenciais (credenciais do projeto do agente)
  • O agente opera de forma independente com suas próprias permissões atribuídas
  • O agente tem sua própria identidade, separada de qualquer usuário
  • Esse fluxo é ideal para operações autônomas de agentes que não exigem contexto do usuário

Casos de uso:

  • Operações de agentes autônomos (tarefas agendadas, monitoramento)
  • Enviando e-mails ou marcando reuniões a partir da caixa de correio do corretor
  • Criação e gestão de recursos de propriedade de agentes
  • Processamento em segundo plano sem interação do usuário

Saiba mais sobre como registrar e criar agentes

O fluxo on-behalf-of (OBO)

Permite que um agente atue em nome de um usuário.

Neste fluxo:

  • O agente recebe o token delegado pelo usuário
  • O agente troca esse token para realizar ações como se o usuário as estivesse realizando
  • O agente opera com as permissões e o contexto do usuário
  • Esse fluxo é ideal para cenários em que o agente precisa acessar recursos com permissões específicas de cada usuário
  • Proporciona auditoria forte quando a identidade agentical é usada em fluxos reativos

Casos de uso:

  • Acessando dados específicos do usuário (e-mails, calendário, arquivos)
  • Realizar ações que exigem consentimento do usuário
  • Cenários em que contexto do usuário e permissões são necessários

Próximas etapas

Agora que você entende os fluxos de autenticação e os conceitos de identidade do agente, crie seu blueprint e instância do agente.

  • Last updated on