Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Схема идентификаций агента используется для создания идентификаций агентов и запроса токенов с помощью этих идентификаций. Во время процесса создания схемы идентификации агента необходимо задать владельца и спонсора этой схемы, чтобы установить подотчетность и административные отношения. Вы также настраиваете URI идентификатора и определяете область для агентов, созданных на основе этой схемы, если агент предназначен для получения входящих запросов от других агентов и пользователей.
Схему удостоверения агента можно создать двумя способами:
- Центр администрирования Microsoft Entra — используйте мастер для быстрой настройки, который создаёт чертёж и его главный объект.
- Microsoft API Graph или PowerShell — создайте и полностью настройте схему программным способом, включая учетные данные, URI идентификаторов, области и субъект схемы в одном рабочем процессе.
Необходимые условия
Чтобы создать схему удостоверения агента, вам потребуется:
- роль Привилегированный администратор ролей является наименее привилегированной ролью, необходимой для предоставления разрешений приложения Microsoft Graph.
- Администратор облачных приложений Cloud или Application Administrator должен предоставить делегированные разрешения Microsoft Graph.
- Роли разработчика идентификаторов агента и администратора идентификаторов агента могут создавать шаблоны идентификации агента и основные элементы шаблонов идентификации агента.
- Разработчик идентификатора агента может настроить федеративные учётные данные в шаблоне удостоверения агента.
- Администратор идентификатора агента может конфигурировать федеративные учетные данные идентификации в шаблоне идентификации агента и должен добавить секрет или учетные данные сертификата.
- При использовании PowerShell требуется версия 7.
Замечание
Владельцы схемы удостоверений агента или основной схемы удостоверений агента могут создавать удостоверения агента для этой схемы без необходимости в роли Microsoft Entra ID для агентов. Создатели плана идентификации агента автоматически устанавливаются владельцами как плана, так и связанного субъекта плана идентификации агента.
Подготовьте вашу среду
Чтобы упростить процесс, воспользуйтесь несколькими минутами, чтобы настроить среду для правильных разрешений.
Авторизация клиента для создания схем идентификации агента
В этой статье вы используете Microsoft Graph PowerShell или другой клиент для создания схемы удостоверения агента. Вы должны авторизовать этот клиент для создания и настройки шаблона идентичности агента, а также создания основного элемента шаблона идентичности агента. Для клиента требуются следующие разрешения Microsoft Graph:
- Делегированное разрешение AgentIdentityBlueprint.Create
- AgentIdentityBlueprint.AddRemoveCreds.All делегированное разрешение
- AgentIdentityBlueprint.UpdateAuthProperties.All делегированное разрешение
- AgentIdentityBlueprintPrincipal.Create делегированное разрешение
В этом руководстве используются все делегированные разрешения, но вы можете использовать разрешения приложения для этих сценариев, требующих их.
Чтобы подключиться ко всем необходимым областям для Microsoft Graph PowerShell, выполните следующую команду:
Connect-MgGraph -Scopes "AgentIdentityBlueprint.Create", "AgentIdentityBlueprint.AddRemoveCreds.All", "AgentIdentityBlueprint.UpdateAuthProperties.All", "AgentIdentityBlueprintPrincipal.Create", "User.Read" -TenantId <your-tenant-id>
Создание схемы удостоверения агента
Схемы идентификации агента должны иметь спонсора, будь то пользователь или группа поддержки, которая несет ответственность за агента. Рекомендуется назначить владельца, которым может быть пользователь или служебный принципал, способный вносить изменения в схему идентификации агента. Для получения дополнительной информации см. раздел Administrative relationships in Microsoft Entra ID для агентов.
Используйте административный центр Microsoft Entra
Вы можете создать схему удостоверения агента непосредственно в Центр администрирования Microsoft Entra. Мастер административного центра автоматически создает шаблон удостоверения агента и его профиль.
Замечание
Мастер центра администрирования задает имя схемы и назначает владельцев и спонсоров. Чтобы настроить учетные данные, идентификаторы URI, области или разрешения, используйте Microsoft API Graph или PowerShell, или настройте их после создания, используя страницы сведений чертежа в Центре администрирования.
Войдите в Центр администрирования Microsoft Entra.
Перейдите к Entra ID>Agents>Чертежи агентов.
Выберите схему нового агента (предварительная версия).
На вкладке "Основные сведения" введите имя в поле имени схемы агента и нажмите кнопку "Далее".
На вкладке "Владельцы и спонсоры ", при необходимости измените или добавьте владельцев и спонсоров для схемы:
- Щелкните значок карандаша рядом с полем "Владельцы" , чтобы изменить или добавить пользователей, которые могут управлять схемой.
- Щелкните значок карандаша рядом с полем "Спонсоры" , чтобы изменить или добавить пользователей, которые могут спонсировать схему.
Замечание
Спонсоры могут быть пользователями, динамическими группами членства или группами Microsoft 365. Группы безопасности и группы, которым могут назначаться роли, не поддерживаются в качестве спонсоров.
Нажмите кнопку Далее.
Просмотрите параметры и нажмите кнопку "Создать".
Выберите «Готово», чтобы выйти из мастера, или перейти к чертежу агента, чтобы просмотреть страницу сведений о чертеже или настроить дополнительные параметры.
Дополнительные сведения об управлении схемами идентификации агента см. в разделе "Управление схемами идентификации агента".
Создать программно
Чтобы создать схему удостоверения агента с помощью кода, используйте Microsoft API Graph или PowerShell.
На этом шаге создается схема удостоверения агента, назначается владелец и спонсор и требуются следующие сведения:
- Разрешение
AgentIdentityBlueprint.Create. - Заголовок OData-Version должен иметь значение 4.0.
- Идентификатор пользователя для полей владельца и спонсора в примере текста запроса. Спонсор является обязательным, но владелец является необязательным.
POST https://graph.microsoft.com/v1.0/applications/
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"@odata.type": "Microsoft.Graph.AgentIdentityBlueprint",
"displayName": "My Agent Identity Blueprint",
"sponsors@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>",
],
"owners@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>"
],
}
После создания схемы удостоверения агента запишите значение appId, чтобы использовать это на следующем этапе.
Настройка учетных данных для схемы удостоверения агента
Чтобы запросить токены доступа с помощью плана идентификации агента, необходимо добавить учетные данные клиента. Мы рекомендуем использовать управляемую идентичность в качестве федеративного идентификационного сертификата (FIC) для промышленных развертываний. Управляемые удостоверения позволяют получать токены Microsoft Entra без необходимости управлять учетными записями. Для получения дополнительной информации см. Управляемые удостоверения для ресурсов Azure.
Другие типы учетных данных приложения, включая keyCredentials и passwordCredentials, поддерживаются, но не рекомендуются для рабочей среды. Они могут быть удобными для локальной разработки и тестирования или в тех случаях, когда управляемые удостоверения не работают, но эти варианты не соответствуют лучшим практикам безопасности. Дополнительные сведения см. в разделе "Рекомендации по безопасности" для свойств приложения.
Помните, что для использования управляемого удостоверения необходимо запустить код в службе Azure, например виртуальной машине или Служба приложений Azure. Для локальной разработки и тестирования используйте секрет клиента или сертификат.
Чтобы отправить этот запрос, выполните указанные ниже действия.
- Вам требуется разрешение
AgentIdentityBlueprint.AddRemoveCreds.All. - Замените плейсхолдер
<agent-blueprint-id>элементомappIdиз схемы удостоверения агента. - Замените
<managed-identity-principal-id>заполнитель идентификатором управляемой идентификации.
Добавьте управляемое удостоверение в качестве учетных данных с помощью следующего запроса:
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/federatedIdentityCredentials
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"name": "my-managed-identity",
"issuer": "https://login.microsoftonline.com/<your-tenant-id>/v2.0",
"subject": "<managed-identity-principal-id>",
"audiences": [
"api://AzureADTokenExchange"
]
}
Другие учетные данные приложения
В сценариях, когда управляемые удостоверения не будут работать или если вы создаете схему локально для тестирования, выполните следующие действия, чтобы добавить учетные данные.
Чтобы отправить этот запрос, сначала необходимо получить токен доступа с правами делегирования AgentIdentityBlueprint.AddRemoveCreds.All
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/addPassword
Content-Type: application/json
Authorization: Bearer <token>
{
"passwordCredential": {
"displayName": "My Secret",
"endDateTime": "2026-08-05T23:59:59Z"
}
}
Замечание
У арендатора могут быть политики жизненного цикла учетных данных, ограничивающие максимальное время существования секретов клиента. Если вы получаете сообщение об ошибке о времени существования учетных данных, уменьшите endDateTime значение в соответствии с политикой вашей организации.
Не забудьте безопасно хранить созданные passwordCredential значения. Его нельзя просмотреть после первоначального создания. Вы также можете использовать сертификаты клиента в качестве учетных данных; См. раздел "Добавление учетных данных сертификата".
Если агенты, созданные по шаблону, будут поддерживать интерактивные агенты, в которых агент действует от имени пользователя, ваш шаблон должен предоставить область, чтобы интерфейс агента мог передать маркер доступа серверу агента. Затем этот токен можно использовать бэкэндом агента, чтобы получить токен доступа и действовать от имени пользователя.
Настройка URI идентификатора и области
Чтобы получать входящие запросы от пользователей и других агентов, например для любого веб-API, необходимо определить URI идентификатора и область OAuth для схемы удостоверения агента:
Чтобы отправить этот запрос, выполните указанные ниже действия.
- Вам потребуется разрешение
AgentIdentityBlueprint.UpdateAuthProperties.All. - Замените плейсхолдер
<agent-blueprint-id>элементомappIdиз схемы удостоверения агента. - Вам нужен глобальный уникальный идентификатор (GUID). В PowerShell запустите
[guid]::NewGuid()или используйте генератор GUID в Сети. Скопируйте созданный GUID и используйте его для замены<generate-a-guid>заполнителя.
PATCH https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"identifierUris": ["api://<agent-blueprint-id>"],
"api": {
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the application to access the agent on behalf of the signed-in user.",
"adminConsentDisplayName": "Access agent",
"id": "<generate-a-guid>",
"isEnabled": true,
"type": "User",
"value": "access_agent"
}
]
}
}
При успешном вызове генерируется ответ с кодом состояния 204.
Создание основного чертежа агента
В этом шаге вы создадите основной субъект для плана идентичности агента. Дополнительные сведения см. в разделе "Удостоверения агента", субъекты-службы и приложения.
Замените заполнитель <agent-blueprint-app-id> на appId, который вы скопировали из результатов предыдущего шага.
POST https://graph.microsoft.com/v1.0/serviceprincipals/microsoft.graph.agentIdentityBlueprintPrincipal
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"appId": "<agent-blueprint-app-id>"
}
Схема агента теперь готова и отображается в Центр администрирования Microsoft Entra. На следующем шаге вы будете использовать эту схему для создания удостоверений агента.
Удалите чертеж удостоверения агента
При деактивации агента удалите связанный шаблон идентификатора агента. Удаление шаблона активирует автоматическую очистку всех идентификационных данных дочерних агентов и учетных записей пользователей агентов. Пошаговые инструкции по удалению и восстановлению см. в разделе "Удаление и восстановление объектов удостоверений агента".