Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra позволяет гарантировать, что правильные люди имеют правильный доступ к правильным приложениям и службам в нужное время. При добавлении платформы идентификации агентов Microsoft управление правами доступа представителей столь же важно в жизненном цикле управления идентификациями вашей организации. Платформа удостоверений агента Microsoft представляет концепцию идентификаторов агентов. Удостоверения агента — это учетные записи в Microsoft Entra ID, которые предоставляют уникальные возможности идентификации и проверки подлинности для агентов ИИ.
Это позволяет управлять удостоверениями агента с помощью функций Microsoft Entra аналогично тому, как вы управляете удостоверениями людей. С помощью удостоверений агента можно управлять удостоверениями и жизненным циклом доступа агентов, гарантируя, что агенты имеют ответственного лица, предоставляющего надзор на протяжении жизненного цикла агента, и доступ агента не сохраняется дольше, чем это необходимо. В этой статье представлен обзор использования Microsoft Entra для управления удостоверениями агентов.
Требования к лицензии
Microsoft Entra ID для агентов входит в состав агента Microsoft 365. Чтобы использовать функции идентификатора агента, пользователям требуется лицензия Microsoft Agent 365 или Microsoft 365 E7. Все агенты, действующие от имени лицензированного пользователя, охватываются лицензией этого пользователя. Агенты не требуют собственной лицензии. Сведения о ценах см. в FAQ по лицензированию Microsoft Agent 365.
Для некоторых функций безопасности Microsoft Entra для агентов требуется дополнительное лицензирование:
- Conditional Access для агентов: Microsoft Entra ID P1 или Microsoft 365 E3.
- ID Protection для агентов: Microsoft Entra ID P2, Microsoft 365 E5 или Microsoft Entra Suite.
- управление ID для агентов: Microsoft Entra ID P2, Microsoft 365 E5 или Microsoft Entra Suite.
- элементы управления сетью для агентов: Интернет-доступ Microsoft Entra, включенные в Microsoft Entra Suite или лицензированные отдельно. Дополнительные сведения см. в разделе "Что такое глобальный безопасный доступ".
Основы идентификации агентов
Исторически агенты ИИ полагались на инструменты для взаимодействия с различными приложениями и системами, и каждый из этих инструментов имел свою идентичность в этих приложениях и системах. Некоторые из этих инструментов используют служебные учетные записи для аутентификации в службах Microsoft с помощью API Microsoft Graph или Microsoft Azure. Microsoft Entra ID для агентов предоставляет поддержку удостоверений для самих агентов с четырьмя новыми типами объектов: схема идентификации агента, субъект схемы идентификации агента, удостоверение агента и пользователь агента. С помощью схемы удостоверения агента агент может создать один или несколько удостоверений агента и, при необходимости, пользователя агента для каждого удостоверения агента. У каждого пользователя агента и удостоверений агента могут быть разные права доступа.
Для мультитенантного агента образец схемы идентификации агента можно перенести в тенант с ресурсами, чтобы он смог создать удостоверения агента в этом тенанте, аналогично тому, как мультитенантное приложение может иметь субъект службы в каждом тенанте.
Удостоверение агента и учетная запись агента позволяют агентам искусственного интеллекта принимать цифровые удостоверения в Microsoft Entra. После создания удостоверений агента эти удостоверения агента могут управляться с помощью функций жизненного цикла и доступа. Спонсоры могут быть назначены идентификаторам агента после их создания. Спонсоры удостоверений агента — это пользователи, которые отвечают за принятие решений о его жизненном цикле и доступе. Дополнительные сведения о роли спонсора удостоверений агента см. в разделе " Административные отношения для идентификаторов агентов".
Идентификаторы агентов в других продуктах и порталах Microsoft
Microsoft Foundry автоматически подготавливает удостоверения агента и управляет ими в течение жизненного цикла агента. При создании первого агента в проекте Foundry Microsoft Foundry подготавливает схему удостоверения агента по умолчанию и удостоверение агента по умолчанию для проекта, а агенты в проекте проходят проверку подлинности с помощью удостоверения агента общего проекта. Публикация агента автоматически создает шаблон удостоверения для выделенного агента и само удостоверение агента, а агент будет проходить проверку подлинности с помощью уникального удостоверения агента. Foundry поддерживает использование удостоверения агента для аутентификации в протоколе контекста модели (MCP) и инструментах агент-агент (A2A). Дополнительные сведения см. в разделе Основные понятия идентичности агента в Microsoft Foundry.
Вы можете настроить приложение Служба приложений Azure или Функции Azure использовать платформу удостоверений агента Microsoft Entra для безопасного подключения к ресурсам в качестве агента. Дополнительные сведения см. в разделе Как использовать удостоверение агента в службе приложений и Функции Azure.
Агенты, созданные в Microsoft Copilot Studio, можно настроить так, чтобы они автоматически назначались в качестве идентификатора агента. При первом создании удостоверения агента в среде Power Platform после включения этого параметра автоматически создаются шаблон удостоверения агента Microsoft Copilot Studio и главная схема удостоверения агента. Дополнительные сведения см. в разделе Автоматическое создание удостоверений агента Entra для Copilot Studio (предварительная версия).
Для агентов на платформе Microsoft Teams разработчик может создавать схемы удостоверений агента и управлять ими на портале разработчика для Teams. Дополнительные сведения см. в статье "Управление приложениями на портале разработчика".
Microsoft Agent 365 предоставляет каждому агенту ИИ собственный Microsoft Entra ID для агентов для управления удостоверениями, жизненным циклом и доступом. Дополнительные сведения смотрите в разделе «Функции платформы удостоверений для Agent 365».
Назначение доступа к идентичностям агента
Когда создаются удостоверения агента, они имеют ограниченные разрешения, такие как делегированные области OAuth 2 разрешений, унаследованные от базового шаблона удостоверения родительского агента. Кроме того, идентификаторы агентов могут иметь доступ к ресурсам, назначенный им непосредственно через пакеты предоставления доступа. Агенты могут запрашивать пакет доступа для собственных идентификаторов агента или может запросить их владелец или спонсор от их имени. С помощью пакетов доступа вы можете назначить агенты с удостоверениями для доступа к следующим ресурсам:
- Членство в группах безопасности
- Разрешения API OAuth приложения, включая разрешения приложения Graph
- роли Microsoft Entra
Чтобы использовать пакеты доступа для удостоверений агента, настройте пакет доступа с необходимыми параметрами политики. При создании политики назначения пакетов доступа в разделе "Кто может получить доступ" выберите "Пользователи, субъекты-службы и удостоверения агентов в вашем каталоге", а затем выберите параметр "Все агенты".
Замечание
Если ваши агенты не используют идентификаторы агентов Microsoft Entra, тогда создайте политику назначения пакета доступа с параметром All Service principals, чтобы разрешить субъектам-служб в вашем каталоге иметь возможность запросить этот пакет доступа.
Агентам могут быть предоставлены пакеты доступа посредством трех разных путей запроса.
- Сам идентификатор агента может программно запрашивать доступ к пакету при необходимости для своих операций, создавая accessPackageAssignmentRequest.
- Спонсор агента может запрашивать доступ от имени агента, обеспечивая человеческий надзор в процессе запроса доступа. Дополнительные сведения см. в разделе "Запрос пакета доступа от имени удостоверения агента".
- Администратор может напрямую назначить идентификатор агента или пользователя агента к пакету доступа.
После отправки запрос доступа направляется к назначенным утверждающим на основе конфигурации пакета доступа.
Когда удостоверение агента получило назначение пакета доступа с истекающей датой и если спонсор установлен на удостоверение агента, по мере приближения даты окончания срока действия спонсор получает уведомления о предстоящем истечении срока действия. Затем спонсор имеет два варианта: он может запросить расширение пакета доступа (если разрешено политикой), или разрешить срок действия назначения пакета доступа. Если спонсор запрашивает расширение, этот запрос может активировать новый цикл утверждения, где утверждающие снова подтверждают, подходит ли продолжение доступа. Если спонсор не предпринимает никаких действий, назначение пакета доступа автоматически заканчивается в назначенный срок, и идентификатор агента теряет доступ к назначенным ресурсам.
Руководство по созданию пакета доступа для агентов см. в статье пакеты доступа для удостоверений агентов в Microsoft Entra ID для агентов. Руководство по назначению идентификаций существующему пакету доступа см. в статье "Просмотр, добавление и удаление назначений для пакета доступа в управлении доступом к привилегиям".
Управление агентами
При создании удостоверений агента владельцы и спонсоры агента могут вручную принимать решения об идентификации агента с помощью портала "Моя учетная запись", а также портала "Мой доступ".
На портале "Моя учетная запись" спонсоры и владельцы могут управлять жизненным циклом удостоверений агентов, таких как включение и отключение агента. Вы также можете просмотреть сведения о доступе, активности и жизненном цикле. Дополнительные сведения об управлении агентами см. в статье Manage Agent in Microsoft Entra ID.
На портале "Мой доступ" спонсоры и владельцы удостоверений агентов могут запрашивать пакеты доступа от имени своих удостоверений агента. Руководство по запросу пакетов доступа см. в статье "Запрос пакета доступа от имени удостоверения агента".
Идентификаторы агентов спонсируют администрирование
Одна из наиболее важных частей управления удостоверениями агента заключается в том, что делегированный пользователь всегда назначается, чтобы удостовериться, что доступ удостоверения агента к ресурсам является актуальным. Если спонсор покидает организацию, спонсорство идентификаторов агента автоматически передается его менеджеру. При передаче спонсорской поддержки всегда существует пользователь, который отвечает за управление доступом и жизненным циклом удостоверений агента. Функции Управление Microsoft Entra ID помогут упростить этот процесс в вашей организации. Рабочие процессы жизненного цикла включают несколько задач вокруг уведомления сопонсоров, а также руководителей спонсоров, о предстоящем изменении спонсорства. Для получения руководства по настройке рабочего процесса для спонсоров удостоверений агента см. статью "Задачи спонсора удостоверений агента" в рабочих процессах жизненного цикла.
Связанный контент
- Управление удостоверениями агентов в организации— обзор управления удостоверениями агента в течение всего жизненного цикла.
- Задачи, связанные со спонсорами удостоверений агента в рабочих процессах жизненного цикла — автоматизация уведомлений о смене спонсора с помощью рабочих процессов жизненного цикла.
- Управление агентами в пользовательском интерфейсе . Спонсоры могут управлять своими агентами на портале "Моя учетная запись".
- Что такое управление правами?
- Что такое Управление Microsoft Entra ID?