Pacotes de acesso para identidades de agentes

A gestão de direitos do Microsoft Entra fornece pacotes de acesso como mecanismo de governação. Os pacotes de acesso garantem que as atribuições de acesso ao agente são intencionais, auditáveis e com prazos limitados. Os pacotes de acesso representam uma abordagem estruturada para gerir permissões de identidade de agente, em contraste com atribuições de permissões ad hoc que podem não ter controlos de governação adequados. Os pacotes de acesso permitem acesso padronizado para muitos Agentes de IA com as mesmas necessidades de acesso, por exemplo, uma frota de Agentes de IA de apoio ao cliente. Através de pacotes de acesso, as organizações podem estabelecer práticas de governação consistentes para a identidade do agente, conta de utilizador do agente e acesso do principal do serviço aos recursos. Para mais informações, consulte Identidades de agentes governantes.

Pré-requisitos

Antes de criar um pacote de acesso, confirme que os seguintes pré-requisitos são cumpridos na sua organização:

  1. Os agentes utilizam identidades de agente do ID do Agente Microsoft Entra, ou entidades de serviço, para autorização de aceder a recursos.

  2. A autorização é uma das seguintes:

    • Os agentes precisam que a sua identidade tenha permissões de aplicação OAuth atribuídas para um recurso alvo, como o Microsoft Graph ou uma aplicação, para poderem aceder às APIs de um recurso alvo.
    • Os agentes precisam que a sua identidade seja atribuída como membros de grupos.
    • Os agentes precisam que a sua identidade seja atribuída a funções de diretório. As funções permitidas estão listadas em Microsoft Entra funções permitidas para agentes.

  3. Tem ou pode criar um catálogo de gestão de direitos adequado para armazenar esses recursos. O pacote de acesso que irá criar, e quaisquer recursos incluídos nele, serão adicionados ao catálogo. Para mais informações, consulte criar um catálogo.

    Observação

    Se for adicionar permissões de API OAuth ou funções de diretório ao pacote de acesso como funções de recurso, então o catálogo será marcado como privilegiado quando estas forem adicionadas ao pacote de acesso.

Criar um pacote de acesso para as identidades dos agentes

Para usar pacotes de acesso para agentes, o administrador de TI configura primeiro um novo pacote de acesso com os recursos relevantes, incluindo funções Entra, membros de grupos e concessões de permissões OAuth às APIs de aplicação. Depois, o administrador configura no pacote de acesso as definições de políticas necessárias. Estas definições definem quem pode obter acesso, quem pode solicitar acesso, aprovações, expiração do acesso e extensão.

Dado que as identidades de agentes e os principais de serviço não podem ser adicionados a funções de aplicação, funções SAP ou funções de site SharePoint Online através de pacotes de acesso, não será possível reutilizar um pacote de acesso existente que contenha qualquer uma dessas funções de recursos. Em vez disso, crie um novo pacote de acesso.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.

    Sugestão

    Se vais adicionar permissões de API OAuth ou funções de diretório ao pacote de acesso como papéis de recurso, então terás de ser um Administrador Global.

  2. Navegue para Governação de ID>Gestão de direitos>Pacotes de acesso.

  3. Selecione Novo pacote de acesso.

  4. Na aba Basics dê ao pacote de acesso um nome, uma descrição e especifique em qual catálogo deseja criar o pacote de acesso. No menu pendente Catálogo, selecione o catálogo onde deseja colocar o pacote de acesso.

  5. Selecione Next: Funções de recurso. Na aba Papéis de Recursos, seleciona os papéis de recursos para inclusão no pacote de acesso. Os pacotes de acesso para identidades de agentes podem ter membros de grupos de segurança, funções de diretório ou permissões de API como funções de recurso. Para mais informações, veja adicionar um grupo, adicionar um papel de Microsoft Entra, e adicionar uma permissão de API. Não adicione funções de aplicação, funções SAP ou funções de site SharePoint Online a um pacote de acesso para identidades de agentes.

    Sugestão

    Se não tiver certeza de quais funções de recurso incluir, pode optar por não as adicionar ao criar o pacote de acesso e adicioná-las mais tarde. Para permissões de API, a validação da propriedade de recursos ocorre tanto quando incorpora permissões a um pacote de acesso como quando as adiciona a um pacote de acesso. Esta validação ajuda a garantir que apenas os proprietários autorizados de recursos possam introduzir ou expandir o acesso às permissões da API através de pacotes de acesso.

  6. Selecione Next: Requests. Na guia Solicitações , você cria a primeira política para especificar quem pode solicitar o pacote de acesso. na secção Quem pode obter acesso , selecione Para utilizadores, principais de serviço e identidades de agentes no seu diretório. Em Selecionar âmbito específico, selecione a opção Todos os agentes.

    Observação

    Se os seus agentes estiverem a usar principais de serviço em vez de identidades de agente do Microsoft Entra, então crie também uma política de atribuição de pacotes de acesso com a opção Todos os principais de serviço para permitir que os principais de serviço no seu diretório possam solicitar este pacote de acesso.

  7. Determine quantas fases de aprovação são necessárias. Defina a opção Quantos estágios como 1 para aprovação em um estágio, 2 para aprovação em dois estágios ou 3 para aprovação em três estágios. Depois configura as fases de aprovação e quem devem ser os aprovadores. Para mais informações, consulte aprovação de etapa única.

  8. Depois de especificar cada etapa de aprovação, selecione Próximo: Informação do Requerente.

  9. Selecione Próximo: Ciclo de Vida. Especifique quanto tempo deve permanecer uma atribuição de pacote de acesso antes de expirar.

  10. Selecione Next: Rules.

  11. Selecione Seguinte: Revisar + criar. No separador Rever + criar , pode rever as suas definições e verificar se existem erros de validação.

  12. Selecione Criar para criar o pacote de acesso e sua política inicial.

Para além de utilizar o Microsoft Entra Admin Center, também pode criar um pacote de acesso de forma programática, por meio do Microsoft Graph e usando os cmdlets do PowerShell para o Microsoft Graph. Para mais informações, consulte Criar um pacote de acesso programaticamente.

Processo de pedido e aprovação de acesso

Os agentes podem então ter pacotes de acesso atribuídos através de três diferentes vias de requisição.

Após a submissão, o pedido de acesso é encaminhado para aprovadores designados com base na configuração da política do pacote de acesso.

Ciclo de vida da atribuição de acesso

Uma vez que um aprovador aceita o pedido de atribuição do pacote de acesso, a identidade do agente recebe acesso temporalmente limitado aos recursos especificados. O acesso é concedido de acordo com os papéis de recurso definidos no pacote de acesso. Isto estabelece uma data clara de início e fim para o acesso que o agente possa precisar.

Se a atribuição for a uma identidade de agente, e um patrocinador estiver definido na identidade do agente, à medida que a data de expiração se aproxima, o patrocinador recebe notificações sobre a expiração pendente. O patrocinador tem então duas opções: pode solicitar uma extensão do pacote de acesso (se permitido pela política), ou pode permitir que a atribuição do pacote de acesso expire.

Se o patrocinador solicitar uma extensão, este pedido pode desencadear um novo ciclo de aprovação, no qual os aprovadores confirmam novamente se o acesso contínuo é apropriado. Se o patrocinador não tomar qualquer ação, a atribuição do pacote de acesso expira automaticamente na sua data de término, e a identidade do agente perde o acesso aos recursos alvo.

Conteúdo relacionado

  • Last updated on