Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Платформа удостоверений агента Microsoft — это платформа удостоверений и авторизации, созданная для решения уникальных проблем проверки подлинности, авторизации и управления, вызванных агентами ИИ, работающими в корпоративных средах.
В отличие от неагентных удостоверений приложений, предназначенных для веб-служб, или удостоверений пользователей, удостоверяющая платформа Microsoft специально создана для агентов ИИ. Платформа предоставляет специализированные компоненты, позволяющие агентам ИИ безопасно проходить проверку подлинности и получать доступ к ресурсам соответствующим образом. Кроме того, агенты могут обнаруживать другие агенты и работать в платформах управления корпоративного уровня.
В этом обзоре представлены основные компоненты платформы удостоверений агента Microsoft. В нем рассматриваются конструкции удостоверений, механизмы проверки подлинности, системы маркеров и возможности обнаружения, которые формируют основу управления удостоверениями агента в корпоративных средах.
Как приступить к работе
Microsoft Entra ID для агентов входит в состав агента Microsoft 365. Чтобы использовать функции идентификатора агента, пользователям требуется лицензия Microsoft Agent 365 или Microsoft 365 E7. Все агенты, действующие от имени лицензированного пользователя, охватываются лицензией этого пользователя. Агенты не требуют собственной лицензии. Сведения о ценах см. в FAQ по лицензированию Microsoft Agent 365.
Для некоторых функций безопасности Microsoft Entra для агентов требуется дополнительное лицензирование:
- Conditional Access для агентов: Microsoft Entra ID P1 или Microsoft 365 E3.
- ID Protection для агентов: Microsoft Entra ID P2, Microsoft 365 E5 или Microsoft Entra Suite.
- Управление идентификацией для агентов: Microsoft Entra ID P1 или Microsoft 365 E3.
- элементы управления сетью для агентов: Интернет-доступ Microsoft Entra, включенные в Microsoft Entra Suite или лицензированные отдельно. Дополнительные сведения см. в разделе "Что такое глобальный безопасный доступ".
Обзор архитектуры платформы
Платформа удостоверений агента Microsoft основана на нескольких базовых технических компонентах, которые совместно работают для предоставления полного решения для удостоверений и авторизации агентов ИИ:
Служба проверки подлинности: служба проверки подлинности, совместимая со стандартом OAuth 2.0 и OpenID Connect (OIDC), которая обеспечивает безопасную проверку подлинности на основе стандартов для агентов. Эта служба выдает токены, которые агенты используют для проверки подлинности ресурсов и API, поддерживая сценарии только приложения и делегированного доступа. На платформе существуют три объекта, формирующих основные конструкции идентификаторов: схема идентификатора агента, идентификатор агента и учетная запись пользователя агента.
SDKs: комплекты средств разработки программного обеспечения, которые позволяют разработчикам интегрироваться с платформой удостоверений агента Microsoft. Пакеты SDK абстрагируют сложность получения токенов и обработки рабочих протоколов, что упрощает платформам, создающим программных агентов, интеграцию управления удостоверениями в свои приложения. Microsoft платформа удостоверений агента включает два пакета SDK: Microsoft Identity Web (.NET) и пакет SDK Microsoft Entra для идентификатора агента.
Управление агентами: комплексное хранилище метаданных агентов и административный интерфейс в центре администрирования Microsoft Entra, позволяющий администраторам обнаруживать, просматривать, настраивать и управлять агентами. Платформа предоставляет реестр агентов, который является централизованным репозиторием для регистрации агентов и управления ими в организации.
Эти технические компоненты работают вместе с конструкциями удостоверений, описанными в следующем разделе, чтобы обеспечить полную функциональность платформы.
Проверка подлинности и авторизация
Платформа удостоверений агента Microsoft использует OAuth для авторизации и OpenID Connect (OIDC) для проверки подлинности.
OpenID Connect (OIDC) позволяет агентам аутентифицироваться и проверять личность других сущностей, с которыми они взаимодействуют, обеспечивая надежные доверительные отношения.
OAuth 2.0 позволяет агентам запрашивать маркеры доступа, которые предоставляют им возможность получать доступ к ресурсам от имени себя или пользователей, поддерживая сценарии доступа только для приложений, а также делегированного доступа.
Дополнительные сведения см. в разделе "Протоколы OAuth".
Маркеры — это базовый механизм защиты, позволяющий осуществлять безопасную связь и авторизацию на платформе управления идентификацией агента Microsoft. Платформа поддерживает несколько шаблонов потока маркеров, предназначенных для конкретных операционных сценариев. Дополнительные сведения см. в токенах на платформе удостоверений агента Microsoft
Интеграция и взаимодействие
Платформа удостоверений агента Microsoft предназначена для эффективной работы в экосистеме Microsoft и за ее пределами. Он интегрируется с:
- Microsoft Entra ID: платформа расширяет возможности Microsoft Entra ID для поддержки сценариев агента с использованием существующей инфраструктуры и политик удостоверений.
- Платформы и службы, создающие агенты: платформы, создающие агенты и управляющие ими, могут интегрироваться с платформой удостоверений агента Microsoft для защиты агентов. К ним относятся Microsoft собственные платформы, такие как Copilot Studio и не Microsoft платформы, такие как Amazon Web Services (AWS) Bedrock, n8n и другие платформы агентов, поддерживающие OAuth 2.0 и OpenID Connect. Организации могут подключать агентов с этих платформ, используя SDK аутентификации Microsoft Entra (в режиме sidecar) или федерацию удостоверений рабочих нагрузок, без необходимости управления учетными данными, специфичными для конкретной платформы.
- Расширенные продукты идентификации и безопасности Microsoft: интеграция с условным доступом, защитой идентификации, управлением удостоверениями, глобальным безопасным доступом и другими службами безопасности обеспечивает комплексную безопасность агента.
Это взаимодействие гарантирует, что организации могут создавать, развертывать и управлять удостоверениями агентов согласованно независимо от того, где создаются или развертываются агенты. Пошаговые инструкции по интеграции сторонних агентов (не Microsoft) см. в разделе Интеграция сторонних агентов с Microsoft Entra ID для агентов.