Microsoft Entra 代理注册表中的集合定义代理在代理到代理协作期间如何以逻辑方式组织和发现代理。 当代理查询注册表时,系统会评估其元数据,并仅返回基于其集合成员身份进行发现所允许的代理。 集合可帮助组织建立明确的可发现性和协作边界,从而定义代理在代理注册表中如何发现。
可以向具有或不使用代理标识的代理分配为集合的成员。
- 具有代理标识的代理可以查询注册表并发现其他代理。
- 没有代理标识的代理可以是集合的一部分,可由其他代理发现,但它们无法自行执行发现。
换句话说,没有代理标识的代理只能在协作方案中充当目标代理。 若要充当客户端代理并查询注册表,需要代理标识。
集合类型
为了帮助管理员管理代理可发现性,Microsoft Entra 代理注册表提供预定义的集合和自定义集合。
-
全局集合:使代理在整个组织中可发现。
- 例如,负责全局集合内旅行预订的代理可由具有代理标识和相应 代理注册表角色的其他代理发现和调用。
-
自定义集合:由管理员创建,以应用符合业务或策略需求的发现边界。
- 例如,如果人力资源代理只应与工资单代理交互,管理员可以创建一个“人力资源部门”集合,以便只有该集合中的代理可以发现并相互协作。
代理协作策略
Microsoft Entra 代理注册表遵循与 Microsoft Entra 的其余部分相同的 零信任原则 :显式验证、使用最小特权访问并假定违规。 每个代理交互都由多个策略强制层管理,以确保安全且合规的通信。 若要了解如何应用这些原则,请参阅 为代理配置零信任。
- 访问策略:确定代理是否可以访问Microsoft Entra保护的资源,例如其他代理、身份验证终结点或条件访问保护的 API。
- 发现策略:使用系统和管理员定义的策略定义哪些代理可以通过注册表发现,以确定代理在协作过程中是如何发现的。
代理发现策略
发现策略定义如何在注册表中发现代理。 可以使用Microsoft提供的系统定义策略,也可以创建管理员定义的策略来满足组织的需求。
系统定义的发现策略:系统定义的策略自动应用于全局集合。
- 全局集合中的代理继承 “所有可发现” 策略。
- 此策略允许具有代理标识的其他代理发现并与全局集合中的代理协作。
管理员定义的发现策略:通过管理员定义的发现策略,可以根据业务或部门边界控制代理可发现性。
- 例如,可以将发现限制为特定部门,例如 HR。
FAQs
问:是否需要手动将代理移动到集合中? 是否可以批量执行此作?
是的,在初始预览版本中,将代理移动到集合是一个手动过程。 创建集合时;但是,可以一次添加多个代理。
问:是否可以创建自定义集合的数量限制?
否。 可以创建的自定义集合数量没有限制。
问:集合中的代理数量是否有限制?
是的。 在预览期间,每个集合最多支持 100 个代理。
问:Microsoft Entra 组和代理注册表集合之间的区别是什么?
Microsoft Entra 组和代理注册表集合用于管理代理和用户的不同目的。 下表总结了主要区别:
| 方面 | Microsoft Entra 组 | 代理注册表集合 |
|---|---|---|
| 目的 | 管理访问控制 | 管理发现和协作 |
| 用于 | 人员、设备和代理 | Agents |
| Scope | 适用于 Microsoft 365 和 Entra 服务 | 在 Microsoft Entra 代理注册表中应用 |
| 类比 | “谁可以进入房间” | “谁可以看到和沟通” |
问:集合是否替代Microsoft Entra 组?
否。 集合 补充 Microsoft Entra 组。 它们服务于不同的目的,共同实施零信任原则。
- Microsoft Entra 组管理访问控制,定义谁可以登录,以及他们可以跨 Microsoft 365 和 Entra 服务访问哪些资源。
- Microsoft Entra 代理注册表中的集合管理代理之间的发现和协作。
组答案,谁可以访问什么?
集合答案: 可以发现哪些代理并相互协作?,确保代理交互的安全、策略驱动的可见性。
问:何时应使用集合与组?
| 如果要控制... | 用。。。 |
|---|---|
| 谁可以登录或访问数据 | Groups |
| 可以发现用于协作的代理 | Collections |
问:什么是隔离集合?
隔离的集合是 Microsoft Entra 中的预定义集合,创建用于限制代理的发现。 此集合中的代理无法发现其他用户或代理。