Microsoft Entra Aracı Kimliği hakkında sık sorulan sorular

Microsoft Entra Aracısı Kimliği, Microsoft Entra özelliklerini yapay zeka aracılarına genişleten bir kimlik ve güvenlik çerçevesidir. Kuruluşlar yardımcı, otonom ve kullanıcı benzeri aracılar dağıttıkça, bu insan dışı kimliklerin kimliğini doğrulamak, yetkilendirmek, yönetmek ve korumak için amaca yönelik yerleşik kimlik yapılarına ihtiyaç duyarlar. Microsoft Entra Aracı Kimliği, kurumsal ölçekte aracı kimliklerini yönetmek için birleşik bir platform sağlayarak bu gereksinimleri karşılar.

Aracı kimlikleri ve şemaları

Microsoft Graph API sorgularını yalnızca aracı kimliklerini döndürecek şekilde nasıl filtre uygularım?

/ownedObjects, /deletedItems ve /owners gibi aracı kimliklerini içeren ilişkileri destekleyen Microsoft Graph API'leri varlık türüne göre filtrelemeyi desteklemez. Yanıttan aracı kimliği nesnelerini tanımlamak için mevcut API'leri kullanın ve istemci tarafında odata.type özelliğini kullanarak sonuçları filtreleyin.

Bir aracı kimliği veya şeması silindiğinde aracının kullanıcı hesabına ne olur?

Bir aracı kimliği şeması veya aracı kimliği silindiğinde, ilişkili aracıların kullanıcı hesapları kiracıda kalır. Bunlar devre dışı bırakılmış veya silinmiş olarak gösterilmiyor, ancak kimlik doğrulaması yapamıyorlar. Microsoft Graph API veya Microsoft Entra PowerShell kullanarak yetim kalmış aracıların kullanıcı hesaplarını manuel olarak silin.

Aracı kimliği nesneleri oluşturulurken neden sıralı Microsoft Graph API istekleri başarısız oluyor?

Microsoft Graph API'leri kullanarak aracı kimliği nesnelerini hızla oluştururken, istekler 400 Bad Request: Object with id {id} not found gibi hatalarla başarısız olabilir. Bu davranışı tetikleyen yaygın diziler şunlardır:

• Bir temsilci kimliği taslağı oluşturma ve ardından hemen taslak ana sorumlusunu oluşturma.
• Ana şema oluşturarak ve ardından bu şemayı hemen kullanarak bir aracı kimliği oluşturma.
• Bir ajan kimliği oluşturma ve ardından hemen bir ajan kullanıcı hesabı oluşturma.

Bu hatalar yalnızca uygulama izinleri kullanılırken daha yaygındır. Mümkün olduğunda devredilmiş izinleri kullanın ve isteklerinizde üstel geri çekilmeli tekrar deneme mantığını ekleyin.

Kiracı başına aracı kimliği şemalarının sayısıyla ilgili sınırlar var mı?

Aracı kimliği şemaları için aşağıdaki sınırlar geçerlidir:

• Yalnızca uygulama izinlerini kullanan Microsoft olmayan yönetim platformları şema başına 250 aracı kimliğiyle sınırlıdır. Temsilcili çağrılar ve Microsoft sahip olunan platformlar (Foundry, Copilot Studio) bu sınıra tabi değildir.
• Yönetici olmayan kullanıcılar, tüm Microsoft Entra kaynak türleri için geçerli olan Microsoft Entra ID'da önceden var olan 250 sahip olunan nesne sınırına tabidir.
• Şemalar, kiracının toplam kaynak kotasının en fazla %95’ini kullanabilir. Daha fazla bilgi için Microsoft Entra hizmet sınırları ve kısıtlamaları içindeki Resources satırına bakın.

Bir yöneticinin kiraladığı sistemde aracı kimliği planımı onayladığını nasıl anlarım?

Aracı kimliği şema onayı için yerleşik bildirim mekanizması yoktur. Kiracı yöneticisi aracınız için bir aracı kimliği planı oluşturduğunda veya onayladığında, Microsoft Entra veya Microsoft Graph üzerinden bildirim almazsınız.

Belirli bir kiracıda taslağınızın onaylanıp onaylanmadığını kontrol etmek amacıyla, uygulamanızla ilişkilendirilmiş taslak başlıca nesneler için Microsoft Graph API'sini sorgulayın. Yönetici şemayı henüz onaylamadıysa, sorgu söz konusu kiracı için hiçbir sonuç döndürmez.

Roller, izinler ve gruplar

Aracı kimliklerini yönetmek için özel roller kullanabilir miyim?

Özel rol tanımları aracı kimliklerini yönetme eylemlerini desteklemez. Tüm aracı kimliği yönetimi için yerleşik Aracı Kimliği Yöneticisi ve Aracı Kimliği Geliştirici rollerini kullanın.

Yönetim birimlerine aracı kimlikleri ekleyebilir miyim?

Aracı kimlikleri, aracı kimliği şemaları ve aracı kimliği şema sorumluları yönetim birimlerine eklenemez. owners Belirli nesneleri yönetebilecek kullanıcıları sınırlamak için aracı kimliklerinin özelliğini kullanın.

Bir aracının kullanıcı hesabının fotoğrafını güncelleştirebilir miyim?

Aracı Kimliği Yöneticisi rolünün, aracının kullanıcı hesabı için fotoğrafları güncelleştirme izni yoktur. Bu görev için Kullanıcı Yöneticisi rolünü kullanın.

Bir aracının kullanıcı hesabını yönetmek için dinamik grupları kullanabilir miyim?

Dinamik grup üyeliği kuralları, aracının kullanıcı hesabını hedeflemeyi desteklemez. Bir aracının kullanıcı hesabının grup üyeliklerini yönetmek için atanan grupları kullanın.

Kimlik doğrulaması ve onay

Aracı kimlikleri çoklu oturum açma (SSO) kullanarak web uygulamalarında oturum açabilir mi?

Aracı kimlikleri Microsoft Entra ID oturum açma sayfalarında oturum açamaz; bu da OpenID Connect veya SAML protokolleriyle çoklu oturum açma kullanamadıkları anlamına gelir. Mevcut web API'lerini kullanarak ajanları iş yerleri uygulamaları ve hizmetleriyle entegre edin.

Yönetici onayı iş akışı Microsoft Entra Aracı Kimliği izin istekleri için çalışıyor mu?

Microsoft Entra ID admin onayı iş akışı, aracı kimliklerin istenen izinleri için düzgün çalışmıyor. Kullanıcılar, aracı kimliğine doğrudan yetki verilmesi için Microsoft Entra kiracı yöneticisine başvurmalıdır.

Kullanıcı onayı risk tabanlı bir adım atılarak engellenirse ne yapmalıyım?

Aracı kimliği onay akışları için risk tabanlı adım atma uygulanır. Kullanıcının onayı engellenirse geçici çözüm yoktur. Kullanıcının belirtilen riski çözmesi gerekir; onay işlemine geçmeden önce.

İzleme ve günlükler

Denetim günlüklerindeki aracı kimliği etkinliklerini nasıl tanımlayabilirim?

Denetim günlükleri aracı kimliklerini varsayılan olarak diğer Microsoft Entra kimlik türlerinden ayırmaz:

• Aracı kimlikleri, şemalar ve şema sorumluları üzerindeki işlemler ApplicationManagement kategorisinde günlüğe kaydedilir.
• Aracıların kullanıcı hesaplarındaki işlemler Kullanıcı Yönetimi kategorisinde günlüğe kaydedilir.
• Aracı kimlikleri tarafından başlatılan işlemler hizmet ilkeleri olarak görünür.
• Aracıların kullanıcı hesapları tarafından başlatılan işlemler kullanıcı olarak gösterilir.

Aracı Kimliği ile ilgili etkinliği tanımlamak için denetim günlüklerindeki nesne kimliklerini kullanarak Microsoft Graph sorgulayıp varlık türünü belirleyin. Ayrıca, etkinliğe dahil olan aktörün veya konunun kimliğini bulmak için oturum açma günlükleri bağıntı kimliğini de kullanabilirsiniz.

Microsoft Graph etkinlik günlüklerinde aracı kimliklerini nasıl belirleyebilirim?

Microsoft Graph etkinlik günlükleri şu anda aracı kimliklerini diğer kimlik türlerinden ayırmaz:

• Ajan kimliklerinden gelen talepler uygulama olarak kaydedilir ve ajan kimliği appID sütununda yer alır.
• Aracıların kullanıcı hesaplarından gelen istekler, aracı kullanıcı kimliği UserID sütununda olacak şekilde kullanıcı olarak kayıt edilir.

Varlık türünü belirlemek için Microsoft Entra oturum açma günlüklerine katılın.

Geliştirme kaynakları

Microsoft Entra Aracı Kimliği senaryolar için kullanılabilir SDK'lar veya kitaplıklar var mı?

Kullandığınız SDK senaryonuza bağlıdır:

çoğu geliştirici için önerilen başlangıç noktası Microsoft Agent 365 CLI ve SDK'dır. CLI aracı kimliği sağlama, şema oluşturma ve izin kablolarını tek bir komutla işler. SDK, belirteç alımını çalışma zamanında yönetir. Daha fazla bilgi için bkz. Microsoft Entra Agent 365 SDK belgeleri.

Microsoft. Identity.Web, .NET uygulamalarında aracı kimlikleri için belirteç almak için daha üst düzey API'ler sağlar. Microsoft.Identity.Web.AgentIdentities paketini, aracı kimliklerin yönetimini basitleştirmek için kullanın.

Microsoft Entra SDK kapsayıcısı, bir yan taşıyıcı kapsayıcı olarak dağıtılan bir web hizmeti olarak Microsoft.Identity.Web'i sarar. Aracınız Kubernetes üzerinde çalışıyorsa ve/veya .NET yerleşik değilse bu seçeneği kullanın. Daha fazla bilgi için bkz. Microsoft Entra SDK for Agent ID.

Microsoft Graph API'ler, diğer seçenekler senaryonuza uymadığında aracı kimlik yönetimi sağlar. Daha fazla bilgi için bkz. Microsoft Graph API for agent identity blueprints.

Microsoft Entra Aracısı Kimliği, Microsoft Entra özelliklerini yapay zeka aracılarına genişleten bir kimlik ve güvenlik çerçevesidir. Kuruluşlar yardımcı, otonom ve kullanıcı benzeri aracılar dağıttıkça, bu insan dışı kimliklerin kimliğini doğrulamak, yetkilendirmek, yönetmek ve korumak için amaca yönelik yerleşik kimlik yapılarına ihtiyaç duyarlar. Microsoft Entra Aracı Kimliği, kurumsal ölçekte aracı kimliklerini yönetmek için birleşik bir platform sağlayarak bu gereksinimleri karşılar.

/ownedObjects, /deletedItems ve /owners gibi aracı kimliklerini içeren ilişkileri destekleyen Microsoft Graph API'leri varlık türüne göre filtrelemeyi desteklemez. Yanıttan aracı kimliği nesnelerini tanımlamak için mevcut API'leri kullanın ve istemci tarafında odata.type özelliğini kullanarak sonuçları filtreleyin.

Bir aracı kimliği şeması veya aracı kimliği silindiğinde, ilişkili aracıların kullanıcı hesapları kiracıda kalır. Bunlar devre dışı bırakılmış veya silinmiş olarak gösterilmiyor, ancak kimlik doğrulaması yapamıyorlar. Microsoft Graph API veya Microsoft Entra PowerShell kullanarak yetim kalmış aracıların kullanıcı hesaplarını manuel olarak silin.

Microsoft Graph API'leri kullanarak aracı kimliği nesnelerini hızla oluştururken, istekler 400 Bad Request: Object with id {id} not found gibi hatalarla başarısız olabilir. Bu davranışı tetikleyen yaygın diziler şunlardır:

• Bir temsilci kimliği taslağı oluşturma ve ardından hemen taslak ana sorumlusunu oluşturma.
• Ana şema oluşturarak ve ardından bu şemayı hemen kullanarak bir aracı kimliği oluşturma.
• Bir ajan kimliği oluşturma ve ardından hemen bir ajan kullanıcı hesabı oluşturma.

Bu hatalar yalnızca uygulama izinleri kullanılırken daha yaygındır. Mümkün olduğunda devredilmiş izinleri kullanın ve isteklerinizde üstel geri çekilmeli tekrar deneme mantığını ekleyin.

Aracı kimliği şemaları için aşağıdaki sınırlar geçerlidir:

• Yalnızca uygulama izinlerini kullanan Microsoft olmayan yönetim platformları şema başına 250 aracı kimliğiyle sınırlıdır. Temsilcili çağrılar ve Microsoft sahip olunan platformlar (Foundry, Copilot Studio) bu sınıra tabi değildir.
• Yönetici olmayan kullanıcılar, tüm Microsoft Entra kaynak türleri için geçerli olan Microsoft Entra ID'da önceden var olan 250 sahip olunan nesne sınırına tabidir.
• Şemalar, kiracının toplam kaynak kotasının en fazla %95’ini kullanabilir. Daha fazla bilgi için Microsoft Entra hizmet sınırları ve kısıtlamaları içindeki Resources satırına bakın.

Aracı kimliği şema onayı için yerleşik bildirim mekanizması yoktur. Kiracı yöneticisi aracınız için bir aracı kimliği planı oluşturduğunda veya onayladığında, Microsoft Entra veya Microsoft Graph üzerinden bildirim almazsınız.

Belirli bir kiracıda taslağınızın onaylanıp onaylanmadığını kontrol etmek amacıyla, uygulamanızla ilişkilendirilmiş taslak başlıca nesneler için Microsoft Graph API'sini sorgulayın. Yönetici şemayı henüz onaylamadıysa, sorgu söz konusu kiracı için hiçbir sonuç döndürmez.

Özel rol tanımları aracı kimliklerini yönetme eylemlerini desteklemez. Tüm aracı kimliği yönetimi için yerleşik Aracı Kimliği Yöneticisi ve Aracı Kimliği Geliştirici rollerini kullanın.

Aracı kimlikleri, aracı kimliği şemaları ve aracı kimliği şema sorumluları yönetim birimlerine eklenemez. owners Belirli nesneleri yönetebilecek kullanıcıları sınırlamak için aracı kimliklerinin özelliğini kullanın.

Aracı Kimliği Yöneticisi rolünün, aracının kullanıcı hesabı için fotoğrafları güncelleştirme izni yoktur. Bu görev için Kullanıcı Yöneticisi rolünü kullanın.

Dinamik grup üyeliği kuralları, aracının kullanıcı hesabını hedeflemeyi desteklemez. Bir aracının kullanıcı hesabının grup üyeliklerini yönetmek için atanan grupları kullanın.

Aracı kimlikleri Microsoft Entra ID oturum açma sayfalarında oturum açamaz; bu da OpenID Connect veya SAML protokolleriyle çoklu oturum açma kullanamadıkları anlamına gelir. Mevcut web API'lerini kullanarak ajanları iş yerleri uygulamaları ve hizmetleriyle entegre edin.

Microsoft Entra ID admin onayı iş akışı, aracı kimliklerin istenen izinleri için düzgün çalışmıyor. Kullanıcılar, aracı kimliğine doğrudan yetki verilmesi için Microsoft Entra kiracı yöneticisine başvurmalıdır.

Aracı kimliği onay akışları için risk tabanlı adım atma uygulanır. Kullanıcının onayı engellenirse geçici çözüm yoktur. Kullanıcının belirtilen riski çözmesi gerekir; onay işlemine geçmeden önce.

Denetim günlükleri aracı kimliklerini varsayılan olarak diğer Microsoft Entra kimlik türlerinden ayırmaz:

• Aracı kimlikleri, şemalar ve şema sorumluları üzerindeki işlemler ApplicationManagement kategorisinde günlüğe kaydedilir.
• Aracıların kullanıcı hesaplarındaki işlemler Kullanıcı Yönetimi kategorisinde günlüğe kaydedilir.
• Aracı kimlikleri tarafından başlatılan işlemler hizmet ilkeleri olarak görünür.
• Aracıların kullanıcı hesapları tarafından başlatılan işlemler kullanıcı olarak gösterilir.

Aracı Kimliği ile ilgili etkinliği tanımlamak için denetim günlüklerindeki nesne kimliklerini kullanarak Microsoft Graph sorgulayıp varlık türünü belirleyin. Ayrıca, etkinliğe dahil olan aktörün veya konunun kimliğini bulmak için oturum açma günlükleri bağıntı kimliğini de kullanabilirsiniz.

Microsoft Graph etkinlik günlükleri şu anda aracı kimliklerini diğer kimlik türlerinden ayırmaz:

• Ajan kimliklerinden gelen talepler uygulama olarak kaydedilir ve ajan kimliği appID sütununda yer alır.
• Aracıların kullanıcı hesaplarından gelen istekler, aracı kullanıcı kimliği UserID sütununda olacak şekilde kullanıcı olarak kayıt edilir.

Varlık türünü belirlemek için Microsoft Entra oturum açma günlüklerine katılın.

Kullandığınız SDK senaryonuza bağlıdır:

çoğu geliştirici için önerilen başlangıç noktası Microsoft Agent 365 CLI ve SDK'dır. CLI aracı kimliği sağlama, şema oluşturma ve izin kablolarını tek bir komutla işler. SDK, belirteç alımını çalışma zamanında yönetir. Daha fazla bilgi için bkz. Microsoft Entra Agent 365 SDK belgeleri.

Microsoft. Identity.Web, .NET uygulamalarında aracı kimlikleri için belirteç almak için daha üst düzey API'ler sağlar. Microsoft.Identity.Web.AgentIdentities paketini, aracı kimliklerin yönetimini basitleştirmek için kullanın.

Microsoft Entra SDK kapsayıcısı, bir yan taşıyıcı kapsayıcı olarak dağıtılan bir web hizmeti olarak Microsoft.Identity.Web'i sarar. Aracınız Kubernetes üzerinde çalışıyorsa ve/veya .NET yerleşik değilse bu seçeneği kullanın. Daha fazla bilgi için bkz. Microsoft Entra SDK for Agent ID.

Microsoft Graph API'ler, diğer seçenekler senaryonuza uymadığında aracı kimlik yönetimi sağlar. Daha fazla bilgi için bkz. Microsoft Graph API for agent identity blueprints.