Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie einen Agent-Identitäts-Blueprint erstellen, gibt es zwei wichtige Berechtigungskonfigurationen: erforderlicher Ressourcenzugriff und vererbbare Berechtigungen. Diese Konfigurationen arbeiten zusammen, um zu definieren, was ein Agent benötigt, welche Administratoren während der Zustimmung überprüfen und wie Berechtigungen zu Agentidentitäten fließen.
Das Verständnis der Beziehung zwischen diesen Konfigurationen und deren Auswirkungen auf die Autorisierung ist für Entwickler, die Agent-Blueprints entwerfen, und Administratoren, die Agents in ihre Organisationen integrieren, von wesentlicher Bedeutung.
Erforderlicher Ressourcenzugriff
Der erforderliche Ressourcenzugriff ist die anfängliche Deklaration der APIs und Berechtigungen im Agentenidentitäts-Blueprint, die die untergeordneten Agentenidentitäten des Blueprints zum Betrieb benötigen. Er wird als eine Gruppe von Zielressourcenanwendungen und den spezifischen delegierten Bereichen und Anwendungsrollen, die der Agent anfordert, ausgedrückt.
Erforderlicher Ressourcenzugriff fungiert als Liste statischer Einwilligungsberechtigungen des Agenten. Wenn ein Mandantenadministrator den Agent zur Genehmigung überprüft, macht diese Liste die Zustimmungsentscheidung explizit und überprüfbar. Es beantwortet die Frage: "Was braucht dieser Agent, um zu funktionieren?"
Dynamische Zustimmung kann weiterhin Berechtigungen erteilen, die geerbt werden, wenn die Berechtigung explizit angefordert wird und die Ressourcen-App als vererbbar konfiguriert ist. Dynamisch angeforderte Berechtigungen werden jedoch nicht im Vorfeld angezeigt, es sei denn, sie werden auch im erforderlichen Ressourcenzugriff deklariert.
Wichtige Merkmale des erforderlichen Ressourcenzugriffs:
- Deklariert den Basissatz der Berechtigungen, die der Agent für seine anfängliche Erfahrung benötigt.
- Ist für Mandantenadministratoren während des Zustimmungs- und Onboardingprozesses sichtbar.
- Ist eine Deklaration, keine Berechtigungserteilung. Die Autorisierung erfordert die Zustimmung des Administrators.
Vererbbare Berechtigungen
Vererbbare Berechtigungen sind eine Liste der Ressourcen-Apps, die in einem Agentidentitäts-Blueprint konfiguriert sind, der definiert, welche Berechtigungen automatisch von agentidentitäten geerbt werden können, die aus diesem Blueprint erstellt wurden. Wenn ein Administrator Berechtigungen für den Agentidentitäts-Blueprint-Prinzipal gewährt und diese Berechtigungen aus Ressourcen-Apps stammen, die als vererbbar aufgeführt sind, erhalten alle vorhandenen und zukünftigen Agentidentitäten, die aus diesem Blueprint in der Organisation erstellt wurden, automatisch diese Berechtigungen mit ihren Token.
Vererbbare Berechtigungen adressieren eine häufige Bereitstellungsherausforderung: Wenn Sie mehrere Instanzen desselben Agents in verschiedenen Umgebungen oder Geschäftseinheiten haben, möchten Sie nicht, dass Administratoren für die gleichen Berechtigungen bei jeder Agentenidentität erneut zustimmen. Vererbbare Berechtigungen ermöglichen es dem Administrator, die Genehmigung einmal auf der Blueprint-Ebene zu erteilen und dass diese Genehmigung automatisch übernommen wird.
Zwei Bedingungen für die Vererbung
Damit eine Berechtigung von einer Agentidentität geerbt werden kann, müssen beide der folgenden Bedingungen erfüllt sein:
- Die Ressourcenbereiche, Rollen oder beide müssen in der vererbbaren Berechtigungskonfiguration für den Agentidentitäts-Blueprint aufgeführt werden.
- Die Berechtigung muss gewährt werden mit:
- statische Einwilligung durch erforderlichen Ressourcenzugriff oder
- dynamische Zustimmung mit den Berechtigungen, die explizit in der Einwilligungsanfrage angegeben sind.
Wenn eine bedingung fehlt, tritt die Vererbung nicht auf.
Zu den vererbbaren Berechtigungen gehören
Vererbbare Berechtigungen unterstützen beide:
-
Delegierte Bereiche: Erscheinen im Anspruc
scpdes delegierten Anwendungsberechtigungstokens des Agenten. -
Anwendungsrollen: Erscheinen im Anspruch
rolesdes Anwendungsberechtigungstokens des Agenten.
Vererbungsmuster
Die folgenden Muster werden pro Ressourcen-App unterstützt:
| Muster | Beschreibung |
|---|---|
| Alles erlaubt | Erben Sie alle verfügbaren delegierten Berechtigungen oder Anwendungsrollen für die angegebene Ressourcenanwendung. Neu zugewiesene Geltungsbereiche oder Rollen für den Blueprint-Principal werden automatisch eingeschlossen. |
| Keines | Vererbt keine Bereiche oder Rollen für die angegebene Ressourcen-App. Verwenden Sie dieses Muster, um die Vererbung für Geltungsbereiche oder Rollen unabhängig voneinander zu deaktivieren. |
Sie können Bereiche und Rollen unabhängig in derselben Ressourcen-App konfigurieren. Sie können beispielsweise alle Bereiche erben, während Sie keine Rollen erben oder umgekehrt.
Deklarierung, Erteilung und Vererbung
Erforderlicher Ressourcenzugriff und vererbbare Berechtigungen sind Konfigurationen: Sie gewähren an sich keine Autorisierung. Es ist wichtig, den Unterschied zwischen dem, was deklariert, gewährt und geerbt wird, zu verstehen.
| Ebene | Was es ist | Wer steuert sie | Effekt |
|---|---|---|---|
| Erforderlicher Ressourcenzugriff | Die Liste der APIs und Berechtigungen, die der Agent für die Funktion benötigt | Entwickler (auf dem Blueprint) | Sichtbar für Administratoren während der Zustimmungsüberprüfung. Gewährt keinen Zugriff. |
| Vererbbare Berechtigungen | Die Liste der Ressourcen-Apps, die für die Vererbung berechtigt sind | Developer (auf dem Blueprint) | Definiert, welche Ressourcen-Apps über einen Berechtigungsfluss für Agentidentitäten verfügen können. Gewährt keinen Zugriff. |
| Zustimmung zum Hauptelement des Plans | Berechtigungen, die ein Administrator dem Blueprint-Prinzipal in einem Mandanten erteilt hat | Mandantenadministrator | Erteilt autorisierung. Wenn die Ressourcen-App auch als vererbbar aufgeführt wird, fließt die Berechtigung auf alle Agentenidentitäten. |
| Zustimmung des Benutzers oder Agenten zur Agentidentität | Berechtigungen, die direkt einer bestimmten Agentidentität erteilt werden | Mandantenadministrator | Erteilt nur die Autorisierung für diese bestimmte Agent-Identität. |
| Effektive Berechtigungen im Token | Der zusammengeführte Satz von geerbten + direkt gewährten Berechtigungen | Plattform (bei Tokenausstellung) | Was die Agent-Identität tatsächlich zur Laufzeit bewirken kann. |
Hinweis
Geerbte Berechtigungen werden nicht als Berechtigungen für Agentidentitäten im Microsoft Entra Admin Center oder über Microsoft Graph angezeigt. Sie sind nur in den Tokeninhalten zur Laufzeit feststellbar. Die Plattform führt geerbte und direkt gewährte Berechtigungen während der Tokenausstellung zusammen.
Spickzettel für die Berechtigungskonfiguration
Verwenden Sie diese schnellen Regeln:
- Die statische Zustimmung auf Blueprint-Ebene hängt davon ab, ob die Berechtigung für den erforderlichen Ressourcenzugriff erforderlich ist.
- Die dynamische Zustimmung auf Blueprint-Ebene kann auch dann funktionieren, wenn die Berechtigung nicht im erforderlichen Ressourcen-Zugriff enthalten ist, muss jedoch explizit angefordert werden.
- Die Vererbung von Agentenidentitäten hängt davon ab, ob die Ressourcenanwendung als vererbbar konfiguriert ist.
- Die Vorabsichtbarkeit hängt davon ab, ob sich die Berechtigung im erforderlichen Ressourcenzugriff befindet.
Statische Zustimmung (Blaupausenprinzip)
| Ist eine Berechtigung für den Zugriff auf die erforderlichen Ressourcen notwendig? | Ressourcen-App ist vererbbar? | Von Agentidentitäten übernommen? | Sichtbar für Administratoren im Vorfeld? |
|---|---|---|---|
| Ja | Ja | Ja | Ja |
| Ja | Nein | Nein | Ja |
| Nein | Ja | Nein | Nein |
| Nein | Nein | Nein | Nein |
Dynamische Zustimmung (Grundprinzip, explizit angeforderte Berechtigung)
| Ist eine Zugriffserlaubnis für den erforderlichen Ressourcenzugriff notwendig? | Ressourcen-App ist vererbbar? | Von Agentidentitäten übernommen? | Sichtbar für Administratoren im Vorfeld? |
|---|---|---|---|
| Ja | Ja | Ja | Ja |
| Ja | Nein | Nein | Ja |
| Nein | Ja | Ja | Nein |
| Nein | Nein | Nein | Nein |
Die direkte Zustimmung zu einer Agentidentität bleibt in allen Fällen verfügbar, diese Zuschüsse gelten jedoch nur für diese bestimmte Agentidentität.
Bewährte Vorgehensweisen
Wenn Sie erforderlichen Ressourcenzugriff und vererbbare Zugriffsberechtigungen für Agent-Blueprints konfigurieren, sollten Sie dabei Sicherheit, Benutzerfreundlichkeit und zukünftige Skalierbarkeit in Einklang bringen.
Minimieren Sie Vorabberechtigungen. Beschränken Sie sich bei den erforderlichen Ressourcenzugriffen auf diejenigen, die für die Kernfunktionalität des Agenten unerlässlich sind. Das Anfordern unnötiger Berechtigungen bei der Installation erhöht die Reibung und verringert das Vertrauen mit Mandantenadministratoren.
Vorherige Anmeldung potenzieller zukünftiger Berechtigungen. Geben Sie Ressourcen-Apps an, die für zukünftige Agent-Features in der Liste vererbbarer Berechtigungen erforderlich sein können. Mit dieser Transparenz können Administratoren zukünftige Zustimmungsanforderungen antizipieren und reibungslosere Bereitstellungen in allen Umgebungen ermöglichen.
Verwenden Sie vererbbare Berechtigungen zur Wiederverwendbarkeit. Verwenden Sie vererbbare Berechtigungen, um Administratoren die Zustimmung einmal auf Der Blueprint-Ebene zu erteilen und diese Genehmigung automatisch auf alle Agentidentitäten anzuwenden, einschließlich über mehrere Bereitstellungen und Umgebungen hinweg. Wenn Sie eine Berechtigung benötigen, empfiehlt es sich, die Ressourcen-App auch vererbbar zu machen, damit Administratoren sie nicht für jede Agentidentität einzeln erteilen müssen.
Halten Sie Governance einfach und vorhersehbar. Durch die explizite Definition, welche Berechtigungen erforderlich sind und welche später angefordert werden können, hilft Organisationen, eine klare Zugriffssteuerung aufrechtzuerhalten und unerwartete Berechtigungseskalationen zu vermeiden.
Überprüfen Sie die Sicherheitsauswirkungen. Stellen Sie sicher, dass vererbbare Berechtigungen keinen übermäßigen Zugriff gewähren oder vertrauliche Ressourcen verfügbar machen, die über das erforderliche Maß hinausgehen. Überwachen Sie regelmäßig Berechtigungslisten, um Die Compliance aufrechtzuerhalten und Risiken zu minimieren.
Beispielszenarien
Die folgenden Szenarien veranschaulichen, wie verschiedene Berechtigungskonfigurationen unterschiedliche Bereitstellungsanforderungen erfüllen.
Szenario 1: Agent verfügt über optionale Features, die später Berechtigungen erfordern
Priya baut einen IT-Helpdesk-Agent auf, der Fragen aus einer Wissensbasis beantwortet. Priya erwartet, dass Kunden später optionale Aktionen wie das Erstellen von Vorfällen oder das Veröffentlichen in Teams aktivieren. Priya lässt den erforderlichen Ressourcenzugriff leer oder minimal. Sie definiert die Ressourcen-Apps, die ihr Agent in der vererbbaren Berechtigungsliste verwendet. Wenn ihr Unternehmen eine Aktionsfunktion aktiviert, erteilt der Administrator einmalig die erforderliche Berechtigung auf dem Blueprint-Principal, und diese Genehmigung wird für alle Bereitstellungen erneut genutzt.
Szenario 2: Agent erfordert Vorabberechtigungen, die vererbbar sein sollten
Mateo erstellt einen Onboarding-Agenten für neue Mitarbeiter, der auf Microsoft Graph zugreifen kann, um Benutzerprofile zu lesen und Aufgaben zu erstellen. Mateo listet die grundlegenden Graph-Berechtigungen im erforderlichen Ressourcenzugriff auf und fügt auch die Graph-Ressourcen-App zur vererbbaren Berechtigungsliste hinzu. Wenn sein Unternehmen den Agent auf mehrere Geschäftseinheiten verteilt, ist die Administratorüberprüfung konsistent: Die gleichen Berechtigungen werden jedes Mal angefordert, und die vererbbare Bezeichnung reduziert wiederholten Genehmigungsaufwand.
Szenario 3: Agent erfordert Berechtigungen, die nicht vererbbar sein sollten
Lin erstellt einen Agenten für privilegierte Operationen, der von einem kleinen Administratorenteam zum Ausführen vertraulicher Aufgaben verwendet wird. Der Agent benötigt sofort hohe Berechtigungen. Lin enthält diese in den erforderlichen Ressourcenzugriff, fügt sie aber absichtlich nicht zur vererbbaren Berechtigungsliste hinzu. Für ihr Unternehmen erfordert jede Installation eine neue, explizite Administratorentscheidung, um die Ausweitung der Berechtigungen für hochprivilegierte Zugriffe zu reduzieren.
Szenario 4: Agent erfordert unterschiedliche Berechtigungen in verschiedenen Organisationen
Aisha entwickelt einen Agenten zur Erfassung von Compliance-Nachweisen. Einige Mandanten benötigen sie, um von Microsoft 365 Überwachungsquellen abzurufen. Andere benötigen sie, um von SharePoint Websites abzurufen. Aisha definiert einen kleinen Kernsatz im erforderlichen Ressourcenzugriff und listet das vollständige Menü der möglichen Ressourcen in der vererbbaren Berechtigungsliste auf. Jede Organisation gewährt nur die Berechtigungen, die ihrer Architektur entsprechen, und der vererbbare Ansatz reduziert wiederholte Genehmigungen während des Rollouts.