Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra ID для агентов API в Microsoft Graph помогают создавать, защищать и управлять удостоверениями агентов ИИ, работающими в вашей организации. Вы можете программно создавать удостоверения агентов, контролировать их доступ к ресурсам и отслеживать их действия с помощью централизованной платформы.
В этой статье вы узнаете о ключевых понятиях и API для управления удостоверениями агентов в Microsoft Graph, в том числе о компонентах, составляющих удостоверение агента, о том, как применять политики безопасности и управления к агентам, а также о разрешениях, необходимых для программного управления агентами.
Дополнительные сведения о Microsoft Entra ID для агентов см. в статье Что такое Microsoft Entra ID для агентов.
Стандартные блоки удостоверений агентов
Следующие основные компоненты включают в себя архитектуру Microsoft Entra ID для агентов:
| Компонент | Назначение | Ресурс Microsoft Graph |
|---|---|---|
| Схема | Шаблон, определяющий тип удостоверения агента, включая разрешения, которые удостоверения агента предварительно наследуются автоматически. | agentIdentityBlueprint |
| Субъект схемы | Запись добавления схемы в клиент | agentIdentityBlueprintPrincipal |
| Удостоверение агента | Основное удостоверение для проверки подлинности | agentIdentity |
| Пользователь агента | Необязательная учетная запись для сценариев, для которых требуется учетная запись пользователя | agentUser |
Дополнительные сведения об архитектуре удостоверений агента см. в Microsoft Entra ID для агентов основных понятиях.
Связанные API для безопасности и управления для агентов
Microsoft Entra ID для агентов расширяет комплексные возможности безопасности и управления Microsoft Entra агентами ИИ, включая условный доступ, управление и журналы аудита.
Ответственность и подотчетность
Каждое удостоверение агента должно иметь назначенную сторону, подотчетную за действия агента, разрешения на доступ и общую безопасность, чтобы обеспечить подотчетность и надлежащее управление. API Microsoft Graph позволяют назначать следующие метаданные для удостоверений агентов и управлять ими для поддержки этого принципа.
| Metadata | Сфера применения |
|---|---|
| owner | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity |
| Спонсор | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity, agentUser |
| manager | agentUser |
Дополнительные сведения см. в разделе Административные отношения в Microsoft Entra ID для агентов (владельцы, спонсоры и руководители).
Условный доступ
Вы можете программно применять политики условного доступа для принудительного применения политик доступа к агентам ИИ на основе удостоверения агента, риска и других контекстных факторов.
- Используйте API оценки "Что если" , чтобы имитировать влияние политик условного доступа на удостоверения агентов, пытающихся получить доступ к ресурсам.
- Используйте API-интерфейсы политики условного доступа для применения политик условного доступа и управления ими для агентов ИИ, обращаюющихся к ресурсам организации. Эти политики можно применять на основе уровня риска агента или настраиваемых атрибутов безопасности, назначенных агентам.
Управление
Управление Microsoft Entra ID распространяется на агентов ИИ, позволяя управлять жизненным циклом доступа удостоверений агентов так же, как и другими удостоверениями. Применяя управление удостоверениями агентов, вы можете убедиться, что агенты имеют ответственное лицо, обеспечивающее контроль на протяжении всего жизненного цикла агента, и доступ к агенту не сохраняется дольше, чем требуется.
- Используйте пакеты доступа через API управления правами для назначения удостоверений агента группам безопасности, разрешениям OAuth приложения (включая разрешения Microsoft Graph) и Microsoft Entra ролям. Само удостоверение агента, его владелец, спонсор или администратор могут запрашивать пакеты доступа от имени агента.
- Назначьте спонсоров удостоверениям агента и пользователям агентов, чтобы назначить подотчетных пользователей, ответственных за принятие решений о жизненном цикле агента и доступе. Спонсоры получают уведомления о приближении срока действия назначений пакетов доступа и могут утвердить продление или разрешить срок действия доступа.
- Используйте проверки доступа , чтобы периодически проверять, что удостоверения агента по-прежнему нуждаются в доступе.
- Используйте рабочие процессы жизненного цикла для автоматизации задач жизненного цикла спонсора удостоверений агента для эффективного управления и соответствия требованиям, таких как активация уведомлений при изменении спонсора удостоверений агента или передача обязанностей по спонсорству от пользователя своему руководителю.
Полный обзор возможностей управления для удостоверений агентов см. в разделе Управление Microsoft Entra ID для удостоверений агентов.
Мониторинг действий
Microsoft Entra отчеты о входе и журналы аудита фиксируют действия, выполняемые удостоверениями агентов, обеспечивая видимость операций агента для мониторинга соответствия требованиям и безопасности— от создания удостоверений агента до изменения конфигурации агентов, включая назначения ролей и разрешений.
Разрешения для управления удостоверениями агента
Microsoft Graph предоставляет детализированные разрешения для управления удостоверениями агентов и связанными с ними компонентами. Разрешения следуют следующим шаблонам и публикуются в справочнике по разрешениям Microsoft Graph.
Разрешения для управления схемами и удостоверениями удостоверений агента:
- AgentIdentity*
Разрешения для управления пользователями агента:
- AgentIdUser.Read*
Для управления политиками условного доступа и просмотра журналов аудита для агентов требуются те же разрешения, что и для управления этими функциями для других типов удостоверений в Microsoft Entra. Дополнительные сведения см. в соответствующих статьях API для каждой функции.
Разрешения Microsoft Graph заблокированы для агентов
Удостоверения агента используют ту же модель разрешений Microsoft Graph, что и другие удостоверения. Таким образом, им можно предоставить делегированные разрешения или разрешения приложения на доступ к API Microsoft Graph.
Однако из-за автономного характера агентов и потенциальных рисков, которые они представляют, следующие разрешения Microsoft API Graph с высоким риском явно блокируются для агентов, чтобы предотвратить неправильное использование или непреднамеренное доступ к конфиденциальные данные. Эти разрешения не могут быть предоставлены удостоверениям агента с помощью Microsoft Graph или Центр администрирования Microsoft Entra.
Условные обозначения:
- ❌ указывает, что разрешение заблокировано в этой категории
- ➖ указывает, что разрешение неприменимо или заблокировано в этой категории