Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra ID для агентов вводит административную модель, которая отделяет техническое администрирование от бизнес-отчетности, обеспечивая оперативный контроль и надзор без чрезмерных разрешений. В этом документе описываются административные отношения для типов удостоверений Microsoft Entra ID для агентов. Это руководство относится к удостоверениям агента, схемамудостоверений агента, субъектам схемы идентификации агента и учетным записям пользователей агентов. В статье рассматриваются владельцы, спонсоры и руководители и их важность в поддержании безопасных операций.
К административным связям, доступным в идентификаторе агента, относятся:
- Владельцы: технические администраторы, ответственные за оперативное управление планами идентификации агента и удостоверениями агента, включая их установку, конфигурацию и управление учетными данными.
- Спонсоры: представители бизнеса, которые отвечают за цель агента и решения жизненного цикла, включая проверки доступа и удержание агентов без технического административного доступа. Для каждого удостоверения агента и шаблона идентификации агента требуется по крайней мере один спонсор.
- Руководители: пользователь, ответственный за агента в иерархии организации, который может запрашивать пакеты доступа для своих подчиненных агентов.
Эти административные связи должны быть настроены для каждого объекта идентификатора агента и отделены от административных прав, предоставленных ролями управления доступом Microsoft Entra (RBAC), такими как, например, администратор идентификатора агента.
Owners
Владельцы обычно служат техническими администраторами для агентов, обработки операционных и конфигурационных аспектов. Отдельные пользователи и субъекты-службы могут быть заданы как владельцы. Группы не поддерживаются как владельцы. Служебные участники в качестве владельцев позволяют автоматически управлять идентификацией агентов. Владельцы необязательны для схем идентификаций агентов и самих идентификаций агентов.
Обязанности владельца
Владельцы могут изменять свойства, которые спонсор не может, например свойства проверки подлинности. Владельцы также могут добавлять или обновлять других владельцев и спонсоров для идентификаторов агента. Как и спонсоры, они могут отключить и удалить идентификации агента, которые больше не нужны. В отличие от спонсоров, владельцы могут повторно включать отключенные удостоверения агента и восстанавливать мягко удаленные удостоверения.
Доступ владельца и разрешения
Владельцы имеют права администратора, ограниченные назначенной им схемой удостоверений агента или самим удостоверением агента. Они могут изменять параметры, управлять учетными данными, изменять конфигурации и назначать больше владельцев.
Владельцы шаблона удостоверения агента или принципала шаблона удостоверения агента также могут создавать удостоверения агента из этого шаблона, используя делегированные разрешения, без необходимости иметь роль администратора удостоверений агента или разработчика удостоверений агента. Вызывающее приложение должно быть предоставлено одно из следующих делегированных разрешений: AgentIdentity.Create.All, AgentIdentity.ReadWrite.All или AgentIdentity.ReadWrite.ManagedBy.
Типичные персоналии владельцев
Владельцы обычно являются разработчиками или ИТ-специалистами с техническими знаниями для управления идентификацией приложений. Они могут быть создателями агентов, владельцами технических приложений или ИТ-администраторами для критически важных агентов. Для обеспечения резервного копирования можно назначить нескольких владельцев.
Субъекты-службы также могут быть заданы как владельцы, если в некоторых других службах управления требуется возможность изменять или удалять удостоверения определенных агентов без вмешательства пользователя.
Спонсоры
Спонсоры несут бизнес-ответственность за агентов, принимают решения по жизненному циклу без технического административного доступа. Они понимают бизнес-цель агента, и они могут определить, требуется ли агент по-прежнему или требуется доступ. Спонсоры необходимы для схем идентификации агента и удостоверений агента, гарантируя, что каждый агент имеет назначенного владельца бизнеса.
Спонсорство должно поддерживаться, чтобы обеспечить преемственность, когда сотрудник, являющийся спонсором, переходит на другую должность или увольняется. Пользователи и группы могут быть назначены спонсорами. При назначении группы все члены группы имеют права спонсора по объекту идентификатора агента. Не все типы групп поддерживаются в качестве спонсоров. Разрешены следующие типы групп:
- Динамические группы членства (безопасность или Microsoft 365)
- Назначенные группы членства (Microsoft 365)
Следующие типы групп не допускаются в качестве спонсоров:
- Группы с возможностью назначения ролей (безопасность или Microsoft 365)
- Назначенные группы членства (безопасность)
Обязанности спонсора
Спонсоры принимают решения о жизненном цикле агента, включая обновление, продление или удаление на основе бизнес-потребностей. Они запрашивают пакеты доступа от имени агентов и предоставляют бизнес-обоснование для запросов на доступ. Во время инцидентов безопасности спонсоры могут определить, ожидается ли поведение агента и авторизовать соответствующие ответы, включая приостановку или корректировку разрешений.
Доступ и разрешения спонсора
Спонсоры работают с минимальными привилегиями и ограниченными правами администратора. Они не могут изменять параметры приложения в схемах или идентификаторах агента. Доступ ограничен недеструктивными операциями жизненного цикла: включение и отключение агентов.
Спонсор типичных персон
Спонсоры обычно являются владельцами бизнеса, менеджерами по продуктам, руководителями групп или заинтересованными лицами, которые понимают цель агента. Для неопубликованных агентов создатели часто служат спонсорами. Для опубликованных агентов спонсоры обычно являются частью команд, которые используют агента.
Спонсоры удостоверений агента и спонсоры учетных записей агента
В идентификаторе агента Microsoft агенты могут иметь учетную запись пользователя agent для доступа к пользовательским службам. Учетная запись пользователя и удостоверение агента, базовый план и главный субъект схемы могут быть связаны со спонсорами. Существуют различия между спонсорами учетных записей пользователей и спонсорами идентификатора агента, проекта или главного субъекта проекта.
Спонсоры учетных записей агента совпадают с обычными спонсорами пользователей. Они не уполномочены вносить какие-либо изменения в спонсируемых пользователей, но могут запрашивать доступ от имени пользователя и могут участвовать в процессах утверждения. В отличие от этого, спонсоры идентификаторов агентов, планов и принципалов планов имеют ограниченный доступ для непосредственного управления этими идентификаторами, а также могут запрашивать доступ или одобрять в рабочих процессах жизненного цикла.
| Спонсоры учетной записи пользователя агента | Идентификация агента, схема, основные спонсоры схемы | |
|---|---|---|
| Допустимые типы | Пользователи, группы (любые) | Пользователи, выберите группы (динамическое членство, Microsoft 365). Группы с предоставлением ролей не поддерживаются. |
| Limits | Максимум 5 спонсоров | Максимум 100 спонсоров, не более 5 групп |
| Авторизация | Нет прямой авторизации для изменения пользователей спонсоров | Удалить или отключить идентификатор агента и изменить его спонсоров |
| Обязательно | Не требуется | Требуется при создании удостоверений агента и чертежей агента |
Если агент представлен как объектом личности агента, так и учетной записью пользователя агента, рекомендуется поддерживать уполномоченного агента в качестве основного пользователя или группы, ответственного за агента.
В разных сценариях могут потребоваться различные типы доступа или авторизации для идентификации агента и связанной с этой учетной записи пользователя. Спонсоры для каждого объекта могут запрашивать пакеты доступа от имени тех, кого они спонсируют. В большинстве случаев один и тот же пользователь или группа должны быть заданы в качестве спонсора для обоих объектов, чтобы убедиться, что они могут запрашивать соответствующий доступ как для удостоверения агента, так и учетной записи пользователя агента по мере необходимости.
Managers
Руководители являются отдельными пользователями, ответственными за идентичность агента в иерархии организации. Для агентов, активных в пользовательских сценариях, рекомендуется назначить менеджера в учетной записи пользователя агента. Руководители могут запрашивать пакеты доступа для учетных записей пользователей своих агентов и будут видеть агентов, назначенных на подотчетность им, в центре администрирования Microsoft Entra. Менеджеры не имеют авторизации для изменения или удаления агентов; владельцам, спонсорам или администраторам необходимо выполнить эти действия.
Требования и ограничения
Административная модель применяет конкретные требования и ограничения для обеспечения эффективного надзора и подотчетности.
Требования к созданию
При создании удостоверения агента или схемы агента требуется спонсор. Основные субъекты схемы идентификации агента освобождаются от требования наличия спонсора при создании. Владельцы и руководители всегда являются опциональными.
Политики назначения
Для делегированных запросов на создание, в которых существует как приложение, так и контекст пользователя, вызывающий пользователь автоматически становится спонсором, если никакие спонсоры не указаны явным образом. Однако, если во время создания назначается один или несколько других спонсоров, пользователь, инициирующий вызов, не добавляется автоматически. Пользователи с административными ролями для агентских идентификаторов не назначаются спонсорами автоматически при создании. Это помогает избежать случайного возложения на администраторов прямой ответственности за отдельных агентов.
Для запросов на создание только приложений сервис должен назначить одного или нескольких пользователей или поддерживаемых групп в качестве спонсора.