Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Agentens användarkonto är en specialiserad identitetstyp som är utformad för att överbrygga klyftan mellan agenter och mänskliga användarfunktioner. Agentens användarkonto gör det möjligt för AI-baserade program att interagera med system och tjänster som kräver användaridentiteter, samtidigt som lämpliga säkerhetsgränser och hanteringskontroller upprätthålls. Det gör det möjligt för organisationer att hantera agentens åtkomst med liknande funktioner som de gör för mänskliga användare.
Exempel på agentens användarkontoscenarier
Ibland räcker det inte att en agent utför uppgifter åt en användare eller fungerar som ett autonomt program. I vissa scenarier måste en agent fungera som en användare och i huvudsak fungera som en digital arbetare. Följande är exempelscenarier där agentens användarkonto skulle vara tillämpligt:
- Organisationen behöver långsiktiga digitala medarbetare som fungerar som teammedlemmar med postlådor, chattåtkomst och inkludering i HR-system.
- Agenten måste komma åt API:er eller resurser som endast är tillgängliga för användaridentiteter
- Agenten måste delta i samarbetsarbetsflöden som gruppmedlem
Därför skapas agentens användarkonto. Agentens användarkonto är valfritt och bör endast skapas för interaktioner där agenten behöver agera som en användare eller åtkomstresurser som är begränsade till användarkonton.
Agentens användarkonto
Agentens användarkonto representerar en undertyp av användaridentitet inom Microsoft Entra. Dessa identiteter är utformade för att göra det möjligt för agentprogram att utföra åtgärder i kontexter där en användaridentitet krävs. Till skillnad från icke-agentiska tjänstens huvudnamn eller programidentiteter tar agentens användarkonto emot token med anspråk idtyp=user, vilket ger den åtkomst till API:er och tjänster som specifikt kräver användaridentiteter. Det upprätthåller också de säkerhetsbegränsningar som krävs för icke-mänskliga identiteter.
En agents användarkonto skapas inte automatiskt. Det kräver en uttrycklig skapandeprocess som förbinder den med dess överordnade agentidentitet. Den här relationen mellan överordnad och underordnad är grundläggande för att förstå hur agentens användarkonto fungerar och skyddas i Microsoft Entra. När den här relationen har upprättats är den oföränderlig och fungerar som en hörnsten i säkerhetsmodellen för agentens användarkonto. Relationen är en en-till-en-mappning (1:1). Varje agentidentitet kan ha högst ett associerat agentanvändarkonto, och varje agentanvändarkonto är länkat till exakt en överordnad agentidentitet, som i sin tur är kopplad till precis en agentidentitetsritningsapplikation.
Agentens användarkonto:
- Skapas också med hjälp av en agentidentitetsritning.
- Är alltid associerad med en specifik agentidentitet, som anges när den skapas.
- Har distinkta unika identifierare, åtskilda från agentidentiteten.
- Det går bara att autentisera genom att presentera en token som utfärdats för den associerade agentidentiteten.
Agentens relation mellan användarkonto och agentidentitet
Agentidentitetsritningen har inte som standard behörighet att skapa agentens användarkonto eftersom den här funktionen är valfri och inte alltid behövs. Det är en behörighet som måste uttryckligen beviljas för agentidentitetsritningen.
Agentens användarkonto skapas med hjälp av agentidentitetsritningen. När agentens identitetsmall beviljas rätt behörigheter kan den skapa agentens användarkonto och etablera en föräldrarelation med en specifik agentidentitet. Agentidentiteten betraktas som överordnad för agentens användarkonto.
Administratörer hanterar livscykeln för en agent användarkonto. En administratörsanvändare kan ta bort agentens användarkonto när dess funktioner inte längre behövs.
Autentiserings- och säkerhetsmodell
Autentiseringsmodellen för agentens användarkonto skiljer sig markant från de mänskliga användarkontona:
Federerade identitetsuppgifter: Autentisering sker via autentiseringsuppgifter som tilldelats agentens användarkonto. I produktionssystem använder du federerade identitetsautentiseringsuppgifter (FIC). Dessa autentiseringsuppgifter används för att autentisera både agentidentitetsritningen och agentidentiteten. De autentiseringsuppgifter som tilldelats användaren används för autentisering i hela agentekosystemet.
Begränsad modell för autentiseringsuppgifter: Agentens användarkonto har inte vanliga autentiseringsuppgifter som lösenord. I stället är det begränsat till att använda de autentiseringsuppgifter som tillhandahålls via den överordnade relationen. Den här begränsningen av autentiseringsuppgifter, tillsammans med begränsningar för interaktiv inloggning, säkerställer att agentens användarkonto inte kan användas som ett standardanvändarkonto.
Personifieringsmekanism: Den associerade agentidentiteten kan imitera den underordnade agentens användarkonto. Det gör att den överordnade affärslogiken kan hämta token och fungera som agentens användarkonto när det behövs.
Funktioner för agentens användarkonto
Agentens användarkonto har funktioner som gör att den kan fungera effektivt i Microsoft 365 och andra miljöer:
En agentens användarkonto kan läggas till i Microsoft Entra-grupperna, inklusive dynamiska grupper, vilket gör att det kan ärva behörigheter som beviljats för dessa grupper. Det kan dock inte läggas till i rolltilldelningsbara grupper.
Agentens användarkonto kan komma åt resurser och använda andra samarbetsfunktioner som vanligtvis är reserverade för mänskliga användare.
Agentens användarkonto kan läggas till i administrativa enheter, liknande mänskliga användare.
Agentens användarkonto kan tilldelas licenser, vilket ofta är nödvändigt för att etablera Microsoft 365 resurser.
Säkerhetsbegränsningar
Agentens användarkonto fungerar under specifika säkerhetsbegränsningar för att säkerställa lämplig användning:
Begränsningar för autentiseringsuppgifter: Agentens användarkonto kan inte ha autentiseringsuppgifter som lösenord eller nycklar. Den enda typ av autentiseringsuppgifter som stöds är agentidentitetsreferensen till dess överordnade. Så även om agentens användarkonto fungerar som en användare är dess autentiseringsuppgifter konfidentiella klientautentiseringsuppgifter.
Begränsningar för administrativa roller: Agentens användarkonto kan inte tilldelas privilegierade administratörsroller. Den här begränsningen ger en viktig säkerhetsgräns som förhindrar potentiella utökade privilegier.
Behörighetsmodell: Agentens användarkonto har vanligtvis behörigheter som liknar gästanvändare, med fler funktioner för att räkna upp användare och grupper. Agentens användarkonto kan inte tilldelas privilegierade administratörsroller. Anpassad rolltilldelning och rolltilldelningsbara grupper är inte tillgängliga för agentens användarkonto. Mer information finns i Microsoft Graph behörighetsreferens