本文列出了预览中观察到的限制、问题和功能缺口。 你随时可以回到这篇文章,获取最新的已知问题。 这些事项可能会在不需通知的情况下更改或解决。 Microsoft Entra 代理 ID 受其 标准预览条款和条件的约束。
代理身份与代理身份蓝图
以下已知问题和漏洞与代理身份及代理身份蓝图相关。
图API关系中的代理ID
Microsoft Graph API 支持涉及代理身份和代理身份蓝图的各种关系,如 /ownedObjects、 /deletedItems、 /owners、 等。 没有办法将这些查询筛选成只返回代理ID。
解决方法:使用 Microsoft Graph 参考文档中记录的现有 API,并使用 odata.type 属性在客户端进行筛选,将结果筛选为代理 ID。
代理用户
以下已知的问题和漏洞与代理用户相关。
清理代理用户
当代理身份蓝图或代理身份被删除时,使用该蓝图或身份创建的任何代理用户仍会保留在租户中。 它们不会显示为禁用或删除,但无法认证。
解决方法:通过 Microsoft Entra 管理中心、Microsoft Graph API 或脚本工具删除任何孤立的代理用户。
代理身份管理的角色与权限
以下已知问题和漏洞涉及代理身份管理的角色和权限。
全局阅读器无法列出代理身份
当使用该端点 GET https://graph.microsoft.com/beta/servicePrincipals/graph.agentIdentity查询Microsoft图API以列出代理身份时,分配给全局阅读器角色的用户会收到 403 Unauthorized 响应。
解决方法:改用终结点 GET https://graph.microsoft.com/beta/servicePrincipals 进行查询。
代理身份创建的委托权限
目前没有可行的授权权限来创建代理身份。
解决方法:实现者必须使用应用程序权限来创建代理标识。
Directory.AccessAsUser.All 会导致其他权限被忽略
在创建、更新和删除代理ID时,客户端可以使用委托权限,如 AgentIdentityBlueprint.Create 和 AgentIdentityBlueprintPrincipal.EnableDisable.All。 然而,如果客户端已获得委派权限 Directory.AccessAsUser.All,客户端创建和修改代理 ID 的权限将被忽略。 这可能导致 Microsoft Graph 请求在 中 403 Unauthorized失败,尽管客户端和用户都拥有相应权限。
解决方法:从客户端中删除 Directory.AccessAsUser.All 权限,请求新的访问令牌,然后重试请求。
自定义角色
你不能在 Microsoft Entra ID 自定义角色定义中包含代理身份管理的作。
解决方法:使用内置角色 代理 ID 管理员 和 代理 ID 开发人员 管理代理 ID 的所有管理。
管理单元
你不能向管理单元添加代理身份、代理身份蓝图和代理身份蓝图主体。
解决方法:使用 owners 代理 ID 的属性来限制可以管理这些对象的用户集。
为经纪人用户更新照片
代理 ID管理员 角色无法为代理用户更新照片。
解决方法:使用 用户管理员 角色更新代理用户的照片。
Microsoft Entra 管理中心
以下已知问题和漏洞与 Microsoft Entra 管理中心有关。
无代理身份蓝图管理
你不能通过 Microsoft Entra 管理中心或 Azure 门户创建或编辑代理身份蓝图。
解决方法:若要创建代理标识蓝图,请按照文档使用 Microsoft Graph API 和 PowerShell 创建和编辑蓝图配置 。
身份验证协议
以下已知问题和漏洞与认证协议有关。
单Sign-On 到网页应用
代理ID无法登录Microsoft Entra ID的登录页面。 这意味着他们无法单签名登录使用 OpenID Connect 或 SAML 协议的网站和网页应用。
解决方法:使用可用的 Web API 将代理与工作区应用和服务集成。
许可和权限
以下已知的问题和漏洞与同意和许可相关。
管理员同意工作流程(ACW)
Microsoft Entra ID 管理员同意流程 对代理 ID 请求的权限无法正常工作。
解决方法:用户可以联系其Microsoft Entra ID 租户管理员,请求向代理 ID 授予权限。
代理身份蓝图的应用权限
你不能将 Microsoft Entra ID 应用权限(应用角色)授予代理身份蓝图主体。
解决方法:改为向各个代理标识授予应用程序权限。
应用角色分配给代理身份
你不能为 Microsoft Entra ID 应用分配分配目标资源是代理身份的应用分配角色。
解决方法:使用代理标识蓝图主体作为目标资源分配应用角色。
因风险基础的介入而阻挠同意
被风险型升级屏蔽的用户同意,用户体验中没有提及“风险”。
解决方法:没有解决方法。 基于风险的提升措施依然被执行。
Microsoft Entra ID Administration
以下已知问题和漏洞与 Microsoft Entra ID 管理相关。
动态组
你不能将代理身份和代理用户添加到带有动态成员的 Microsoft Entra ID 组中。
解决方法:将代理 ID 添加到具有固定成员身份的安全组。
监视和日志
以下已知问题和漏洞与监控和日志相关。
审核日志
审计日志无法区分代理ID与其他身份:
- 对代理身份、代理身份蓝图和代理身份蓝图主体的作记录在 应用管理 类别中。
- 代理用户的作记录在 用户管理 类别中。
- 代理身份发起的作在审计日志中以服务主体形式出现。
- 代理用户发起的作会在审计日志中以用户形式出现。
解决方法:使用以下解决方法标识审核日志中的代理 ID 相关活动:
- 利用审计日志中提供的对象ID查询Microsoft Graph并确定实体类型。
- 使用Microsoft Entra登录日志关联ID来定位参与可审计活动的行为者或主体的身份。
Microsoft Graph 活动日志
Microsoft Graph 活动日志无法区分代理 ID 与其他身份:
- 来自代理身份的请求会被记录为应用程序,代理身份包含在 appID 列中。
- 代理用户的请求会被记录为用户,ID
agentUser显示在 UserID 列中。
解决方法:与 Microsoft Entra 登录日志联接以确定实体类型。
性能和规模
以下已知问题和差距与性能和规模有关。
多次创建请求的延迟
当使用 Microsoft Graph API 创建代理 ID 时,尝试快速顺序创建多个实体可能会因 S 等错误 400 Bad Request: Object with id {id} not found而失败。 重试请求可能要等几分钟才成功。 示例包括:
- 创建代理身份蓝图,快速创建蓝图主体。
- 创建代理身份蓝图,快速添加凭证。
- 创建一个代理身份蓝图主体,然后用蓝图创建代理身份。
- 创建代理身份,快速创建代理用户。
这些请求序列在使用 MS Graph 应用权限授权请求时常常失败。
解决方法:尽可能使用委派的权限。 在请求中加入重试逻辑,比如指数退回和合理的超时。
产品集成
以下已知问题和漏洞与产品集成相关。
Copilot Studio 代理
使用 Copilot Studio 构建的代理必须在代理环境设置中选择启用代理 ID。 目前只支持自定义引擎代理。 自定义引擎代理目前使用代理ID来认证发布的频道。 目前 Copilot Studio 中不使用代理 ID 来认证连接器或工具。
库与SDK。
由于需要管理联邦身份凭证(FIC),使用MSAL时,代理ID场景会带来额外的复杂性。 对于 .NET 开发者,Microsoft 建议使用 Microsoft.Identity.Web.AgentIdentities,这为代理 ID 提供了更高效的体验。 对于 non-.NET 实现,可以使用 Microsoft Entra SDK(代理ID),该SDK旨在简化跨语言的代理ID集成。
报告新问题
如果你遇到未列出的问题,请使用 aka.ms/agentidfeedback 报告问题。