Идентификация агента 365

Удостоверение агента — это базовая концепция пакета SDK microsoft Agent 365. Каждый агент имеет свою уникальную, устойчивую корпоративную идентичность, отдельную от человеческих пользователей или общих регистраций приложений. Эта идентичность даёт агенту привилегии, аутентификацию, роли и возможности по соблюдению нормативных требований, аналогичные человеческому сотруднику.

Общие сведения о компонентах идентификации агента

При регистрации агента в Microsoft Agent 365 три ключевых компонента работают вместе, чтобы предоставить агенту свое удостоверение:

• Схема агента (агентическое приложение)
• Экземпляр агента
• Пользователь агента

Схема агента (агентическое приложение)

Схема агента определяет идентификатор агента, разрешения и требования к инфраструктуре. Он служит шаблоном для создания экземпляров агента и включает:

• Регистрация приложения Microsoft Entra
• Необходимые разрешения API (области доступа Microsoft Graph)
• Конфигурация проверки подлинности
• Определения ресурсов (план службы приложений, веб-приложение)

Экземпляр агента

Экземпляр агента представляет собой конкретное развертывание вашего плана агента. Каждый экземпляр имеет:

• Уникальный идентификатор агента Microsoft Entra ID
• Сервисный принципал для аутентификации
• Конфигурация для конкретного экземпляра
• Учетные данные федеративной идентичности для интеграции с Teams

Агентский пользователь

Пользователь агента — это идентичность во время выполнения, которая появляется в вашей организации. Пользователи агентов — это специализированный подтип идентичности пользователя, разработанный специально для агентов. Ключевые понятия, которые нужно понимать о пользователях агентов, — это их идентичность, интеграция организации, модель отношений и жизненный цикл.

Характеристики идентичности

Пользователи агентов обладают отличительными свойствами идентичности, отличающими их от традиционных учетных записей:

• Помечен как агентический в каталоге
• Получает токены с idtyp=user (тип идентификации пользователя)
• Имеет уникальный user ID агента (Object ID), отдельный от родительского экземпляра агента
• Нельзя использовать традиционные учетные данные (пароли, ключи доступа, факторы MFA)
• Необходимо создать через явный вызов API в родительском экземпляре агента.
• Имеет неизменяемую связь с родительским агентом (нельзя перезарегистрировать)

Интеграция организации

Пользователи агентов функционируют как полноправные члены вашей организации Microsoft 365 с такими возможностями:

• Синхронизированы с каталогом клиента Microsoft 365
• Можно назначать лицензии (Microsoft 365 E5, Teams Enterprise, Copilot)
• Наличие собственного почтового ящика и хранилища OneDrive (на основе лицензий)
• Отображается в организационной диаграмме и карточках людей
• Может находиться @mentioned в Teams, документах и других приложениях Microsoft 365
• Имеют собственное уникальное главное имя (например, agent@yourtenant.onmicrosoft.com)

Модель отношений

Связь между экземплярами агентов и пользователями агента строго придерживается принципа родитель-ребёнок:

• Каждый экземпляр агента может иметь не более одного дочернего пользователя агента
• Пользователь агента хранит ссылку на свой родительский экземпляр агента
• Родительский агент сохраняет ссылку на дочернего пользователя агента (если она существует)
• Эта двунаправленная связь обеспечивает надлежащее управление жизненным циклом и аудит

Жизненный цикл

Пользователи агентов предназначены для мгновенной доступности с автоматической очисткой, когда это больше не нужно:

• Поддержка мгновенной функциональности и возможность использования сразу после создания

  Note

  Подготовка ресурсов для пользователей агентов (почтовый ящик, OneDrive) может занять до 24 часов после присвоения лицензии, хотя обычно завершается за 10-15 минут.

• Если родительский экземпляр агента удаляется, пользователь дочернего агента также удаляется

• Взаимосвязь между экземпляром агента и пользователем агента неизменна и не может быть изменена

Important

Пользователям агентов необходимы соответствующие лицензии Microsoft 365 для доступа к таким сервисам, как Teams, Email, Calendar, SharePoint и OneDrive. К общим лицензиям относятся Microsoft 365 E5, Teams Enterprise и Microsoft 365 Copilot. После назначения лицензий подготовка ресурсов (почтовый ящик, OneDrive) обычно завершается в течение 10–15 минут, но в некоторых случаях может занять до 24 часов.

Разрешения и управление доступом

Управляйте разрешениями агентов на нескольких уровнях, чтобы обеспечить детальный контроль над правами и возможностями доступа.

Разрешения по умолчанию

Пользователи агентов имеют определённые характеристики разрешений:

• Управление с помощью политик условного доступа
• Освобождено от требований MFA (поскольку у них не может быть традиционных факторов аутентификации)
• Добавьте к Entra ID группы, включая группу All Agent Users
• Контроль доступа к ресурсам с помощью явных разрешений и лицензий

Управление разрешениями

Устанавливайте разные права на разных уровнях:

• Уровень схемы агента — определяет базовые разрешения для всех экземпляров.
• Уровень экземпляра агента — определенные разрешения для личности агента
• Уровень пользователя агента — разрешения и права доступа, специфичные для пользователя

Tip

Для агентов с идентификаторами пользователя агента используйте идентификатор пользователя агента преимущественно для доступа к ресурсам. Эта практика обеспечивает согласованное поведение пользователей в службах Microsoft 365.

Потоки проверки подлинности

Microsoft Agent 365 поддерживает два потока проверки подлинности для агентов, на основе идентификатора Microsoft Entra Agent.

Проверка подлинности удостоверения агента

Позволяет агенту действовать с собственной идентичностью.

В этом процессе:

• Агент аутентифицируется с помощью собственных учетных данных (учетных данных чертежа агента).
• Агент действует независимо с собственными присвоенными правами.
• Агент имеет собственную идентичность, отдельную от любого пользователя.
• Этот поток идеально подходит для автономных операций агентов, не требующих пользовательского контекста.

Варианты использования:

• Автономные операции агентов (запланированные задачи, мониторинг).
• Отправка писем или организация встреч из почтового ящика агента.
• Создание и управление ресурсами, принадлежащими агентам.
• Фоновая обработка без взаимодействия пользователя.

Узнайте больше о регистрации и создании агентов.

Поток от имени (OBO)

Позволяет агенту действовать от имени пользователя.

В этом процессе:

• Агент получает делегированный от пользователя токен.
• Агент обменивается этим токеном, чтобы выполнять действия так, будто их выполняет пользователь.
• Агент работает с правами и контекстом пользователя.
• Этот поток идеально подходит для сценариев, когда агенту необходимо получить доступ к ресурсам с разрешениями, специфичными для пользователя.
• Обеспечивает сильный аудит при использовании идентичности агента в реактивных потоках.

Варианты использования:

• Доступ к данным, специфичным для пользователя (электронная почта, календарь, файлы).
• Выполнение действий, требующих согласия пользователя.
• Сценарии, в которых требуется пользовательский контекст и права доступа.

Если ваши пользователи входят через стороннего провайдера идентификации, см. Интеграция Microsoft Entra ID для агентов с сторонними поставщиками идентификации.

Связанный контент

• Интегрировать Microsoft Entra ID для агентов с сторонними поставщиками идентификации
• Регистрация и создание агентов
• Регистрация пользовательского клиентского приложения