Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
É necessário fazer parte do programa de pré-visualização Frontier para obter acesso antecipado ao Microsoft Agent 365. A Frontier liga-o diretamente às mais recentes inovações de IA da Microsoft. As pré-visualizações da Frontier estão sujeitas aos termos de pré-visualização existentes dos seus contratos com clientes. Como estas funcionalidades ainda estão em desenvolvimento, a sua disponibilidade e capacidades podem mudar ao longo do tempo.
A identidade do agente é um conceito fundamental no Microsoft Agent 365 SDK. Cada agente ganha a sua própria identidade empresarial única e persistente, separada dos registos de utilizadores humanos ou de aplicações genéricas. Esta identidade equipa o agente com privilégios, autenticação, funções e capacidades de conformidade semelhantes às de um colaborador humano.
Compreensão dos componentes de identidade do agente
Quando regista um agente com o Microsoft Agent 365, três componentes-chave trabalham em conjunto para fornecer ao seu agente a sua identidade:
Blueprint do agente (aplicação agentica)
O blueprint do agente define a identidade, as permissões e os requisitos de infraestrutura do agente. Serve como modelo para criar instâncias de agentes e inclui:
- Configurar o Registo de Aplicação do Microsoft Entra para DGSS v2
- Permissões de API necessárias (escopos Microsoft Graph)
- Verificar a Configuração da Autenticação:
- Definições de recursos (Plano de Serviços de Aplicação, Aplicação Web)
Instância de aplicação agente
Uma instância de aplicação agente representa uma implementação específica do seu blueprint de agente. Cada instância tem:
- ID de aplicação agente único (Microsoft Entra ID)
- Autenticação do principal de serviço
- Utilizar configuração de SDK específica:
- Credenciais de identidade federadas para integração com o Teams
Utilizador agente
Um utilizador agente é a identidade em tempo de execução que aparece na sua organização. Os utilizadores agentes são um subtipo especializado de identidade de utilizador, concebido especificamente para agentes. Conceitos-chave que precisa de compreender sobre os utilizadores agentes são as suas características de identidade, integração organizacional, modelo de relação e ciclo de vida.
Características de identidade
Os utilizadores agentes têm propriedades de identidade distintivas que os diferenciam das contas tradicionais de utilizador:
- Marcado como agente no diretório
- Recebe tokens com
idtyp=user(tipo de identidade de utilizador) - Tem um ID de utilizador único (ID de Objeto) separado da instância do agente principal
- Não pode ter credenciais tradicionais (palavras-passe, chaves de acesso, fatores MFA)
- Deve ser criado através de uma chamada de API explícita a partir da instância do agente pai
- Tem uma ligação imutável à sua instância agente principal (não pode ser re-parentada)
Integração organizacional
Os utilizadores agentes funcionam como membros plenos da sua organização Microsoft 365 com as seguintes capacidades:
- Estão sincronizados com o seu diretório de tenant do Microsoft 365
- Podem ser atribuídas licenças (Microsoft 365 E5, Teams Enterprise, Copilot)
- Ter a sua própria caixa de correio e armazenamento OneDrive (com base nas licenças)
- Apareça no organograma e nos cartões de pessoas
- Pode estar @mentioned no Teams, documentos e noutras aplicações Microsoft 365
- Têm o seu próprio nome principal único (por exemplo,
agent@yourtenant.onmicrosoft.com)
Modelo de relacionamento
A ligação entre instâncias agenticas e utilizadores agenticos segue um padrão estrito pai-filho:
- Cada instância agentical pode ter, no máximo, um filho de utilizador agente
- O utilizador agente armazena uma referência à sua instância agente progenitor
- A instância do agente pai mantém uma referência ao seu utilizador agente filho (se existir)
- Esta relação bidirecional permite uma gestão adequada do ciclo de vida e auditoria
Ciclo de vida
Os utilizadores Agentic são concebidos para disponibilidade imediata com limpeza automática quando já não for necessário:
Suporta funcionalidade instantânea e pode ser usada imediatamente após a criação
Nota
O provisionamento de recursos para utilizadores agentes (caixa de correio, OneDrive) pode demorar até 24 horas após a atribuição da licença, embora normalmente seja concluído em 10-15 minutos.
Se a instância do agente pai for eliminada, o utilizador agente filho também é eliminado
A relação entre a instância do agente e o utilizador agente é imutável e não pode ser alterada
Importante
Os utilizadores agentes precisam de licenças Microsoft 365 apropriadas para aceder a serviços como Teams, Email, Calendário, SharePoint e OneDrive. Licenças comuns incluem Microsoft 365 E5, Teams Enterprise e Microsoft 365 Copilot. Após a atribuição das licenças, o provisionamento de recursos (caixa de correio, OneDrive) normalmente conclui-se em 10-15 minutos, mas pode demorar até 24 horas em alguns casos.
Permissões e controlo de acesso (IAM)
As permissões dos agentes são geridas em múltiplos níveis para proporcionar controlo granular sobre direitos de acesso e capacidades.
Permissões de utilizador predefinidas
Os utilizadores agentes têm características específicas de permissão:
- Pode ser gerido através de políticas de acesso condicional
- Isentos dos requisitos do MFA (uma vez que não podem ter fatores tradicionais de autenticação)
- Pode ser adicionado a grupos Entra ID, incluindo o grupo "Todos os Utilizadores Agentes"
- O acesso a recursos é controlado através de concessões explícitas de permissões e licenças
Gestão de Permissões
As permissões podem ser definidas em diferentes níveis:
- Nível do blueprint do agente - Define permissões base para todas as instâncias
- Nível de instância do agente - Permissões específicas para a identidade do agente
- Nível de utilizador agente - Permissões e direitos de acesso específicos de cada utilizador
Sugestão
Para agentes com identidades de utilizador agente, use a identidade de utilizador agente principalmente para acesso a recursos. Esta prática proporciona um comportamento consistente semelhante ao do utilizador em todos os serviços Microsoft 365.
Fluxos de autenticação do
O Microsoft Agent 365 suporta dois fluxos de autenticação para agentes, alimentados pelo Microsoft Entra Agent ID.
Identidade e Autenticação
Permite a um agente agir com a sua própria identidade.
Neste fluxo:
- O agente autentica-se usando as suas próprias credenciais (credenciais do projeto do agente)
- O agente opera de forma independente com as suas próprias permissões atribuídas
- O agente tem a sua própria identidade, separada de qualquer utilizador
- Este fluxo é ideal para operações autónomas de agentes que não requerem contexto do utilizador
Casos de uso:
- Operações de agentes autónomos (tarefas agendadas, monitorização)
- Enviar emails ou marcar reuniões a partir da caixa de correio do agente
- Criação e gestão de recursos detidos por agentes
- Processamento em segundo plano sem interação do utilizador
Fluxo On-Behalf-Of (OBO)
Permite que um agente atue em nome de um utilizador.
Neste fluxo:
- O agente recebe o token delegado pelo utilizador
- O agente troca este token para realizar ações como se o utilizador as estivesse a realizar
- O agente opera com as permissões e o contexto do utilizador
- Este fluxo é ideal para cenários em que o agente precisa de aceder a recursos com permissões específicas do utilizador
- Proporciona uma auditoria forte quando a identidade agentica é usada em fluxos reativos
Casos de uso:
- Aceder a dados específicos do utilizador (emails, calendário, ficheiros)
- Realizar ações que requerem consentimento do utilizador
- Cenários em que o contexto do utilizador e permissões são necessários
Próximos passos
Agora que compreendes os fluxos de autenticação e os conceitos de identidade do agente, cria o teu blueprint e a instância do agente.