Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra ID для агентов предоставляет централизованный набор средств для управления удостоверениями агентов в организации. Удостоверения агента — это отдельный тип удостоверения в Microsoft Entra ID, предназначенный для агентов ИИ с классификацией, метаданными и элементами управления безопасностью, предназначенными для рабочих нагрузок агента.
В этой статье рассматриваются основные задачи управления агентами: от просмотра и отключения агентов до управления доступом, мониторингом и реагированием на риски безопасности. Если вы являетесь администратором, ответственным за надзор за агентами в рамках всех клиентов, или спонсором, управляющим отдельными агентами, это руководство предоставляет информацию, необходимую для эффективного управления учетными данными агентов в вашей организации.
Необходимые условия
Для различных задач управления требуются разные роли и лицензии. В следующей таблице приведены сведения о ролях, необходимых для каждой области управления удостоверениями агента.
| задачи | Требуемая роль | Примечания |
|---|---|---|
| Просмотр идентификаторов агентов | учетная запись пользователя Microsoft Entra | Для просмотра не требуется роль администратора. |
| Управление удостоверениями агента | Администратор идентификатора агента или администратор облачных приложений | Владельцы удостоверений агента могут управлять своими собственными агентами без этих ролей. |
| Создание прототипов агента | Разработчик идентификатора агента | Пользователь добавляется в качестве владельца плана и связанного с ним пользовательского объекта службы. |
| Настраивать политики условного доступа | Администратор условного доступа | Требуется лицензия Microsoft Entra ID P1. |
| Просмотр отчетов о рисках защиты идентификаторов | Администратор безопасности, оператор безопасности или читатель безопасности | Требуется лицензия Microsoft Entra ID P2 в период предварительного просмотра. |
| Настройка рабочих процессов жизненного цикла | Администратор рабочих процессов жизненного цикла |
Просмотр идентификаторов агентов
Административный центр Microsoft Entra предоставляет централизованный интерфейс для просмотра всех агентских удостоверений в клиенте. Вы можете выполнять поиск, фильтрацию, сортировку и настройку столбцов для поиска определенных агентов.
- Войдите в Центр администрирования Microsoft Entra.
- Перейдите к Entra ID>Agents>Идентификаторы агентов.
- Выберите любое удостоверение агента, чтобы просмотреть его сведения, включая имя, описание, состояние, владельцев, спонсоров, предоставленные разрешения и журналы входа.
Чтобы найти конкретного агента, введите имя или идентификатор объекта в поле поиска, или добавьте фильтр ID приложения Blueprint. Вы можете настроить, какие столбцы отображаются, нажав кнопку "Выбрать столбцы ". Доступные столбцы включают Имя, Дата создания, Статус, ID объекта, Доступ для просмотра, ID приложения чертежа, Владельцы и Спонсоры, и использует удостоверение агента.
Подробные инструкции по фильтрации, настройке столбцов и просмотру агентов в этом представлении см. в разделе Просмотр и фильтрация агентов в вашем клиенте.
Управление схемами идентификации агента
Планы идентификации агентов — это исходные определения, на основе которых создаются уникальные идентичности агентов. Центр администрирования позволяет просматривать все субъекты схемы, управлять их разрешениями и отслеживать их действия.
- Войдите в Центр администрирования Microsoft Entra.
- Перейдите к Entra ID>Agents>Чертежи агентов.
- Выберите любой основной компонент схемы идентификации агента для управления им.
На странице управления схемой можно:
- Просмотр удостоверений связанного агента: просмотрите все удостоверения дочерних агентов, созданные на основе этого шаблона.
- Управление доступом к проекту: просмотр, управление и отзыв разрешений, назначенных проекту.
- Управление владельцами и спонсорами: владельцы занимаются техническим администрированием, а спонсоры отвечают за цель агента и решения жизненного цикла.
- Просмотр журналов аудита: отслеживание административных изменений для обеспечения безопасности и соответствия требованиям.
- Просмотр журналов входа: мониторинг событий проверки подлинности.
- Отключите схему: выберите "Отключить " на панели команд.
Подробные инструкции см. в разделе "Просмотр и управление схемами идентификации агента в вашем клиенте".
Настройка наследуемых разрешений для схем
Наследуемые разрешения позволяют удостоверениям агента автоматически наследовать делегированные права доступа OAuth 2.0 из родительского шаблона. При настройке наследуемых разрешений на проект только что созданные удостоверения агента получают базовый набор областей доступа без запроса на интерактивное согласие пользователя или администратора.
Два шаблона наследования поддерживаются для каждого приложения ресурсов:
| Рисунок | Описание |
|---|---|
| Перечисленные области | Наследовать только явно перечисленные области. Используется для детального управления. |
| Все разрешенные области | Наследуйте все доступные делегированные области полномочий для приложения-ресурса. Новые предоставленные области схемы автоматически включаются. |
Начните с перечисленных областей с использованием только основных разрешений, а затем развернитесь по мере необходимости. Этот подход соответствует принципу наименьших привилегий и упрощает аудит того, какие разрешения агенты фактически используют.
Ключевые ограничения:
- Максимум 10 приложений ресурсов на чертеж.
- Для перечисленных областей не более 40 областей на ресурсное приложение.
- Некоторые области с высоким уровнем привилегий блокируются политикой платформы и не могут наследоваться.
Наследуемые разрешения настраиваются с помощью свойства навигации inheritablePermissions в ресурсе приложения agentIdentityBlueprint с помощью Microsoft Graph. Пошаговые примеры API (добавление, обновление, удаление) см. в разделе "Настройка наследуемых разрешений для схем удостоверений агента".
Управление доступом агента к ресурсам
Политики условного доступа предоставляют элементы управления на уровне клиента для проверки подлинности удостоверений агента. Эти политики можно использовать для блокировки всех удостоверений агента, разрешения только определенных агентов или блокировки рискованных агентов на основе сигналов защиты идентификаторов.
Основные моменты условного доступа для удостоверений агента:
- Политики могут охватывать все удостоверения агента или всех пользователей агента с помощью опции управления Блок.
- Политики могут быть нацелены на все ресурсы, чтобы предотвратить доступ агентов по всей вашей организации.
- Условия риска агента (высокий, средний, низкий) позволяют блокировать агенты на основе сигналов риска от защиты идентификаторов.
- Политики поддерживают режим только для отчетов для безопасной оценки перед применением.
Это важно
Принудительное применение условного доступа применяется, когда удостоверение агента или учетная запись пользователя запрашивает токен для любого ресурса. Он не применяется, когда схема удостоверения агента получает токен для создания удостоверений агента или учетных записей пользователей агента.
Подробные инструкции по настройке политики, пошаговые руководства и примеры бизнес-сценариев см. в разделе условный доступ для идентификатора агента.
Мониторинг активности агентов
Журналы входа и аудита
Действия, связанные с удостоверением агента, записываются в журналы аудита и входа в Microsoft Entra.
- Журналы аудита записывают события, связанные с агентом, исходя из базового типа идентификации, из которого они возникают. Например, создание пользователя удостоверения агента отображается как действие аудита "Создать пользователя", а создание удостоверения агента отображается как "Создать служебный принципал".
-
Журналы входа включают
agentSignInтип ресурса, который предоставляет свойства об агенте и его поведении при входе.
Чтобы просмотреть журналы входа агента, выполните приведенные действия.
- Войдите в Центр администрирования Microsoft Entra как минимум с правами читателя отчетов.
- Перейдите к Entra ID>Monitoring и состояния>журналы входа.
- Используйте следующие фильтры:
- Тип агента: выберите пользователя идентификатора агента, идентификатор агента, схему идентификации агента или не агентическую.
- Агент: выберите "Нет " или "Да".
Вы также можете получить события входа агента с помощью Microsoft Graph:
GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'
Полные сведения о типах журналов и методах доступа см. в Microsoft Entra ID для агентов журналах.
Обнаружение и устранение риска агента
Защита идентификации для агентов
Защита Microsoft Entra ID контролирует идентификацию агентов на предмет аномального поведения. Он обнаруживает шесть автономных типов рисков, включая незнакомый доступ к ресурсам, пики входа и неудачные попытки доступа. Администраторы могут просматривать отчет о рискованных агентах и принимать меры реагирования: подтвердить компрометацию, подтвердить безопасность, отменить риск или отключить агента.
Замечание
Для защиты идентификаторов для агентов требуется лицензия Microsoft Entra ID P2 во время предварительной версии.
При подтверждении скомпрометированного агента уровень риска устанавливается на Высокий. Если у вас есть политика условного доступа, настроенная на блокировку при высоком риске агента, агент автоматически блокируется от доступа к ресурсам.
Сведения о полной таблице обнаружения рисков, меры реагирования, подробные сведения о API Graph и пошаговое руководство по отчетам см. в разделе Identity Protection для агентов.
Реагирование на инциденты безопасности агента
Если действие агента активирует обнаружение рисков или проблему безопасности, выполните следующую последовательность:
- Detect: просмотрите отчет Рискованные агенты в центре администрирования Microsoft Entra. Обнаруженные риски можно просматривать в течение срока до 90 дней. Сведения включают отображаемое имя агента, состояние риска, уровень риска, тип агента и спонсоров.
-
Ответ: выполните немедленное действие:
- Подтвердите компрометацию: устанавливает высокий уровень риска и активирует политики условного доступа на основе рисков, настроенные для блокировки при высоком уровне риска агента.
- Disable: запрещает все входы в Microsoft Entra ID и подключенные приложения.
- Изучение: просмотрите сведения об обнаружении рисков, журналах входа и журналах аудита, чтобы понять область и влияние.
-
Восстановление: на основе исследования:
- Если выявлен ложноположительный результат, проигнорируйте риск и повторно активируйте программу-агент.
- Если произошла компрометация: измените учетные данные перед повторной активацией или удалите удостоверение агента.
Подробные сведения о типах рисков, механизмах обнаружения и действиях реагирования см. в разделе "Защита идентификации" для агентов.
Управление удостоверениями агентов и контролем спонсоров
Обязанности спонсора
Каждая личность агента должна иметь отвечающего спонсора, ответственного за жизненный цикл и принятие решений о доступе. К ключевым поведением управления относятся:
- Автоматический перенос спонсора: если спонсор покидает организацию, Microsoft Entra ID автоматически переназначает спонсорство менеджеру спонсора.
- Уведомления об истечении срока действия: спонсоры получают уведомления, когда срок действия назначений пакетов доступа подходит к концу. Спонсоры могут запросить продление (которое активирует новый цикл утверждения) или позволить срокам действия назначений истечь.
- Пути запроса доступа: пакеты доступа можно запрашивать через три пути: собственный программный запрос агента, спонсор от имени агента или прямое назначение администратора.
Пакеты доступа могут предоставлять членство в группах безопасности, разрешения API OAuth для приложений (включая разрешения Microsoft Graph для приложений) и роли Microsoft Entra.
Полный обзор системы управления, включая конфигурацию пакета доступа и политики спонсора, см. в разделе "Удостоверения агента управления".
Автоматизация уведомлений спонсора с помощью рабочих процессов жизненного цикла
Lifecycle Workflows предоставляет две автоматизированные задачи для поддержки удостоверений агента.
- Отправка электронной почты руководителю об изменениях спонсорства
- Отправка электронной почты сопонсорам о изменениях спонсоров
Обе задачи относятся к категориям перемещения и выхода: они активируются только в шаблонах процессов для перемещения или выхода, а не в объединяющих шаблонах. Это обеспечивает непрерывность спонсорства, когда спонсор агента меняет роль или покидает организацию.
Инструкции по настройке рабочего процесса шаг за шагом см. в разделе «Задачи спонсора удостоверений агента» в контексте рабочих процессов жизненного цикла.
Автоматизация управления агентами в масштабе
Для организаций, управляющих большим количеством удостоверений агента, доступны следующие варианты:
- Отключение нескольких элементов: Центр администрирования поддерживает выбор нескольких идентичностей агента одновременно и отключение их пакетно на странице "Все идентичности агента".
-
Microsoft API Graph: конечные точки идентификации агента поддерживают программное управление. Например, защита идентификаторов выставляет на обозрение коллекции
riskyAgentsиagentRiskDetectionsдля программного мониторинга рисков.
Отключение или ограничение идентификаций агента
Организации могут управлять использованием удостоверений агента на трех уровнях в зависимости от необходимой области:
| Объем | Что делает | Сведения |
|---|---|---|
| Отдельный агент | Чтобы заблокировать доступ и выдачу токенов, отключите определенное удостоверение агента. Администраторы используют центр администрирования; владельцы и спонсоры используют портал "Моя учетная запись". | Просмотр и фильтрация удостоверений агента в вашем клиенте · Управление агентами в опыте конечного пользователя |
| Уровень схемы | Отключите шаблон удостоверения агента на странице управления. Это предотвращает создание новых удостоверений агента из этой схемы и блокирует существующие. | Просматривайте и управляйте шаблонами удостоверений агента в вашей арендаторской среде |
| На уровне арендатора | Блокировать проверку подлинности всех удостоверений агента с помощью политик условного доступа и при необходимости блокировать создание новых удостоверений агента с помощью элементов управления для конкретных продуктов (Microsoft Entra ID, Security Copilot, Copilot Studio, Azure AI Foundry; Microsoft Teams). | Отключение удостоверений агента в клиенте |
Повторное включение отключенного удостоверения агента на любом уровне восстанавливает доступ и выдачу токенов.
Предостережение
Глобальное отключение удостоверений агентов может привести к сбою существующих агентов, ухудшению взаимодействия с продуктами Microsoft и вынуждению команд использовать менее прозрачные удостоверения приложения или службы. Оцените влияние перед применением. Для частичного подхода используйте политики условного доступа для блокировки определенных агентов, а не всех удостоверений агента.