Controlar la infraestructura del agente como administrador de Microsoft Entra

Como administrador de Microsoft Entra, es posible que tenga que actuar sobre los agentes de Microsoft Foundry en su arrendatario. Antes de hacerlo, comprenda que Foundry proporciona acciones de infraestructura, no solo gobernanza en tiempo de ejecución. Al detener o eliminar un agente, opera en recursos de Azure. Estos recursos pueden servir a varios inquilinos o equipos.

Este artículo le ayuda a:

Obtener el acceso que necesita
Comprender cómo se asignan las acciones del Centro de administración a las operaciones de recursos de Azure
Tomar decisiones informadas sobre cuándo y cómo intervenir

La guía aquí se centra en la gobernanza a nivel de infraestructura de los agentes creados con Foundry Agent Service como respaldo para situaciones que requieren una acción administrativa directa.

Importante

Siempre prefiera Detener a Eliminar cuando necesite actuar sobre un agente. La detención es reversible. La eliminación elimina permanentemente los recursos de Azure y puede afectar a otras entidades.

Requisitos previos

Una de las siguientes asignaciones de roles Microsoft Entra:
- Microsoft Entra Administrador global
- Microsoft Entra administrador de IA
Si su organización usa Privileged Identity Management (PIM), active la asignación de roles antes de continuar.

Importante

Administradores de IA: no puede realizar el procedimiento de elevación de acceso usted mismo. ** Debe coordinar primero con el propietario del agente, quien puede:

Realizar las acciones de infraestructura en su nombre
Conceder las asignaciones de roles de Azure necesarias en los recursos específicos.

Si no puede identificar o llegar al propietario del agente, colabore con un administrador global como alternativa.

Comprender cómo funciona la infraestructura del agente

Los agentes de fábrica se ubican dentro de proyectos. Los proyectos forman parte de un recurso de cuenta de Foundry en una suscripción de Azure. Un proyecto proporciona a los desarrolladores un área de trabajo compartida para compilar, probar y colaborar en agentes. Cada proyecto tiene su propia identidad de proceso, almacenamiento y agente compartido. Varios agentes pueden existir dentro de un solo proyecto. Las acciones en el proyecto afectan a todos los agentes de ese proyecto.

Los desarrolladores crean agentes de Foundry dentro de un proyecto. Cada agente obtiene una identidad y un punto de conexión únicos para la interacción. Foundry registra automáticamente cada agente con el Registro del Agente 365 mediante la identidad única del agente.

Los agentes pueden tener varias versiones de agente a medida que los desarrolladores iteran y mejoran su funcionalidad. Cada versión representa una instantánea de la configuración y el comportamiento del agente en un momento dado específico.

Nota

Los agentes de respuesta también pueden usar un punto de conexión común que atienda a todos los agentes del proyecto. Los agentes que se ejecutan de esta manera comparten la infraestructura y la identidad del proyecto. No utilice los puntos de conexión del proyecto para producción. Foundry no crea registros adicionales en el Agente 365 para puntos de conexión de proyecto o identidades de proyecto.

Cuando un desarrollador publica un agente, Foundry crea un recurso de aplicación de agente dedicado. Este recurso tiene su propio punto de conexión y su identidad de agente Entra. La identidad de la aplicación es independiente de las identidades de agente individuales creadas anteriormente. Foundry también registra la aplicación en el Registro del Agente 365 mediante la identidad única de la aplicación.

Las aplicaciones de agente pueden tener varias implementaciones de agente. Cada implementación hace referencia a una versión del agente existente como definición.

Para obtener una descripción completa de las operaciones del ciclo de vida del agente, consulte Administrar agentes en el Plano de Control de Foundry. Para más información sobre los conceptos de Foundry a los que se hace referencia en esta sección, consulte:

Arquitectura de Microsoft Foundry para cómo se asignan los recursos de Foundry a los recursos de Azure.
Conceptos de identidad de agente sobre cómo funcionan las identidades de agente en Microsoft Entra ID.
Planee y administre Foundry para la organización de suscripciones y grupos de recursos.

Acciones de infraestructura frente a acciones del centro de administración

Las acciones disponibles en el plano de control de Foundry son operaciones de infraestructura en recursos de Azure. Son diferentes de las acciones Block y Unblock que es posible que esté familiarizado con en Administración de Microsoft 365 Center.

Acciones de bloqueo en el Centro de administración de Microsoft 365 y el Centro de administración de Teams afectan a la visibilidad del agente para los usuarios.

Scope: solo afecta a la proyección del agente en Teams y Microsoft 365 Copilot
Impacto: los usuarios no pueden acceder al agente a través de estos canales específicos
Acceso a Foundry: el agente permanece totalmente funcional en el portal de Foundry y en otros puntos de integración.
Infrastructure: Sin impacto en los recursos de Azure subyacentes ni en la informática

Las acciones de infraestructura en el Foundry Control Plane afectan a los recursos subyacentes del agente:

Detenga e inicie la operación en implementaciones individuales mediante la desasignación o el proceso de aprovisionamiento. Afectan a la infraestructura de Azure subyacente y hacen que el agente no esté disponible en todos los canales (Teams, Microsoft 365 Copilot, Foundry, API).
Delete quita permanentemente los recursos de Azure. En el caso de los agentes publicados, al eliminarlos se incluyen tanto la aplicación del agente como sus implementaciones. Esta acción no se puede deshacer.

Si una aplicación de agente atiende un escenario multiinquilino, las acciones de infraestructura afectan a todos los consumidores de ese agente, no solo a los usuarios del inquilino.

Siempre se prefiere Detener en lugar de Eliminar. Detener conserva la opción de reiniciar más adelante. Eliminar debe ser un último recurso, utilice solo después de haber coordinado con los propietarios de recursos y confirmar que el agente no debe volver a ejecutarse nunca.

Identificar el tipo de recurso Foundry para un agente

El Registro del Agente 365 muestra un inventario unificado de agentes y aplicaciones para agentes de Foundry. Ambos son "agentes", pero tienen diferentes funcionalidades de administración. Para saber qué opciones tiene, primero debe identificar el tipo de recurso Foundry con el que trabaja.

Foundry registra ambos tipos con un identificador de recurso de Foundry Azure:

Tipo de recurso	Patrón de identificador de recurso¹
Agente de fundición	`.../projects/{project-name}/agents/{agent-name}`
Aplicación de agente	`.../projects/{project-name}/applications/{application-name}`

¹ El patrón de identificador de recurso completo se omite para mayor brevedad. Ambos comparten un prefijo común: /subscriptions/{sub-id}/resourceGroups/{group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/projects/{project-name}/.... El diferenciador clave es el segmento después del proyecto: o agents/{agent-name} o applications/{application-name}.

En Administración de Microsoft 365 Center, puede encontrar estos valores en la sección "Detalles de la plataforma". El Centro de administración detecta automáticamente el tipo de recurso. Para aplicaciones del agente, se muestran los botones Detener o Iniciar o se le solicita permiso de elevación si cumple con los requisitos.

Coordinación con los propietarios de recursos

Los agentes de Foundry requieren recursos de Azure organizados dentro de suscripciones específicas, grupos de recursos y proyectos. Esos recursos tienen propietarios. Antes de realizar una acción de nivel de infraestructura, identifique y trabaje con esos propietarios siempre que sea posible.

Cuándo coordinar o actuar de forma independiente

Situación	Enfoque recomendado
Amenaza de seguridad activa o infracción de directiva	Actúe primero (detenga el agente) y, a continuación, notifique a los propietarios de recursos.
Revisión rutinaria de cumplimiento o resultado de auditoría	Póngase en contacto con los propietarios de recursos y trabaje conjuntamente en la corrección.
Agente que consume recursos inesperados o costos	Notifique a los propietarios de recursos. Considere la posibilidad de detener el agente solo si los costos son críticos y los propietarios no responden.
Comportamiento erróneo del agente, pero no un riesgo de seguridad	Póngase en contacto con los propietarios de recursos antes de tomar medidas. Detenga solo si el comportamiento es activamente perjudicial.

La gobernanza de la infraestructura es una responsabilidad compartida. Los administradores globales tienen el acceso para actuar. Los propietarios de recursos tienen el contexto para comprender el impacto. Coordinar conduce a mejores resultados.

Identificación de propietarios de recursos

Empiece comprobando los propietarios enumerados en los detalles del registro del agente en Administración de Microsoft 365 Center. También puede identificar a los propietarios y patrocinadores a través de los objetos Entra.

Si puede ver los recursos de Azure (elevar el acceso si no puede; consulte la sección siguiente), compruebe qué usuarios tienen permiso sobre los recursos:

En el portal Azure, vaya al grupo de recursos que contiene el proyecto Foundry del agente.
Seleccione Control de acceso (IAM)>Asignaciones de roles para ver quién tiene permisos sobre el recurso.

Las partes interesadas de los recursos pueden tener muchos roles diferentes. Los roles con privilegios como Propietario o Colaborador son una buena señal. Sin embargo, no todas las partes interesadas tienen estos roles con privilegios.

Compruebe el registro de actividad del recurso. El registro muestra quién realizó acciones de administración recientemente. Este enfoque le ayuda a identificar los administradores de recursos actuales, incluso si no tienen asignaciones de roles con privilegios.

Elevación del acceso para administrar suscripciones de Azure

Microsoft Entra ID y Azure usan sistemas de control de acceso independientes. El rol de administrador no proporciona acceso automáticamente a Azure suscripciones. Para ver y administrar los recursos de Azure que respaldan los agentes de Foundry, necesita asignaciones de roles en Azure. Si no tiene los permisos adecuados, solicite una elevación de privilegios.

El procedimiento de elevación requiere el rol De administrador global. Los administradores de IA deben coordinarse con los propietarios del agente o los administradores globales. Consulte los requisitos previos para obtener más información.

La elevación le asigna el rol Administrador de acceso de usuarios en el ámbito raíz (/). Este rol proporciona visibilidad sobre todas las suscripciones y grupos de administración del inquilino.

Para obtener el procedimiento completo, consulte Elevar el acceso para gestionar todas las suscripciones y grupos de gestión de Azure.

Importante

Elimine el acceso elevado tan pronto como termine. La elevación en el ámbito raíz es un permiso potente y se aplica el principio de privilegios mínimos. Siga el procedimiento de deselevación cuando complete las tareas.

Si su organización utiliza PIM, desactive la asignación de rol de administrador global después de desactivar la opción de elevación.

Eliminación del acceso con privilegios elevados

Cuando termine las tareas de administrador, quite los permisos elevados en orden inverso:

Eliminar asignaciones de roles de Azure: quítese los roles de IA de Azure que se haya dado (como Propietario de Azure IA) de los proyectos o grupos de recursos específicos de Foundry.

Azure portal:
1. En el portal de Azure, navega al recurso en el que te asignaste roles.
2. Seleccione Control de acceso (IAM)>Asignaciones de roles.
3. Busque la cuenta de usuario en la lista de asignaciones de roles.
4. Seleccione la asignación y elija Quitar.
CLI de Azure:
```
# List current role assignments to find the assignment ID
az role assignment list --assignee <your-email> --scope <resource-scope>

# Remove the specific role assignment
az role assignment delete --ids <assignment-id>
```
Quitar el rol User Access Administrator: quite el rol User Access Administrator de nivel raíz del procedimiento de elevación.

Azure portal:
1. En el portal de Azure, vaya a Microsoft Entra ID>Properties.
2. En Access management for Azure resources, establezca el interruptor en No.
3. Seleccione Guardar.
CLI de Azure:
```
# Remove the User Access Administrator role at root scope
az role assignment delete \
  --assignee <your-email> \
  --role "User Access Administrator" \
  --scope "/"
```

Este proceso de dos pasos garantiza la eliminación de los permisos específicos que se otorgó a sí mismo y la elevación general que habilitó esas autorizaciones.

Asignación de los roles adecuados

Después de elevar el acceso, asígnese el rol mínimo necesario para su acción. No permanezca en el ámbito raíz más tiempo del necesario.

Acción	Rol integrado mínimo para objetos de agente de Foundry	Rol integrado mínimo para aplicaciones de agente
Ver	Usuario de Azure AI (El lector no es suficiente)	Lector
Detener o iniciar	No es compatible	Responsable de Azure AI
Eliminar	Usuario de Azure AI	Responsable de Azure AI

Asigne roles en el ámbito más estrecho posible. En el caso de los agentes de Foundry, asigne el rol solo al recurso del proyecto Foundry con el que desea trabajar. En el caso de las aplicaciones de agente, asigne el rol en el ámbito de la aplicación. Si solo necesita administrar agentes en un único grupo de recursos, asigne el rol en el ámbito del grupo de recursos. No asigne estos roles en el ámbito de la suscripción o del grupo de administración.

Si su organización usa PIM, considere la posibilidad de crear asignaciones aptas en lugar de las permanentes. Las asignaciones elegibles requieren activación. Este enfoque crea una pista de auditoría y aplica los límites de tiempo.

Tomar medidas sobre un agente

Cuando necesite intervenir, elija la acción menos perjudicial para su situación. La elección de la acción y el tipo de agente determina qué interfaz usa para administrar el agente. Use las pestañas de cada sección para identificar la interfaz adecuada para su escenario.

Administración de Microsoft 365 Center incluye agentes Foundry en el inventario completo de agentes. Puede iniciar y detener aplicaciones de agente directamente desde la entrada del registro.

Tipo de agente	Acciones compatibles en el Centro de administración de Microsoft 365
Aplicaciones de agentes	Detener, Iniciar
Agentes de fundición	Ninguno: usar otra interfaz

El portal de Foundry proporciona una interfaz basada en web para administrar recursos de Foundry.

Tipo de agente	Acciones admitidas en el portal
Aplicaciones de agentes	Detener, Iniciar, Eliminar
Agentes de fundición	Eliminar (no se admiten stop e Start)

La API REST le permite administrar Foundry mediante programación. Este enfoque es útil cuando necesita actuar en varias implementaciones o automatizar las operaciones de ciclo de vida.

Tipo de agente	Acciones admitidas en el portal
Aplicaciones de agentes	Detener, Iniciar, Eliminar
Agentes de fundición	Eliminar (no se admiten stop e Start)

En los ejemplos se usan az rest comandos para simplificar la autenticación. La manera más fácil de ejecutar estos comandos es a través de Azure Cloud Shell. Cloud Shell no requiere instalación y usa la sesión de inicio de sesión de Azure actual. Si prefiere trabajar localmente, instale primero el CLI de Azure y sign in.

Para cada ejemplo de API REST, reemplace los valores de marcador de posición por su propia suscripción, grupo de recursos, cuenta de Foundry, proyecto y otros nombres de recursos.

Detener un agente

Detener un agente es el enfoque preferido para la mayoría de las situaciones. La detención deshabilita el agente sin destruir los recursos. Puede reiniciar el agente más adelante.

Al abrir la página de detalles del agente para una aplicación de agente de Foundry, Administración de Microsoft 365 Center comprueba automáticamente si tiene los permisos necesarios para administrar el agente. Si lo hace, hay disponible un botón Detener o Iniciar en la parte superior de la página, en función del estado actual de la aplicación. Si no ve estos botones, pero es Administrador Global, siga las indicaciones para elevar automáticamente su acceso y asignarse el rol de Propietario de Azure AI sobre la aplicación del agente.

Si la aplicación del agente se está ejecutando actualmente, seleccione Detener para detenerla. Esta acción detiene todos los despliegues de agentes asociados con la aplicación. La aplicación del agente y sus implementaciones siguen existiendo. Puede volver a iniciarlos más tarde.

Cuando esté listo para volver a iniciar la aplicación del agente, seleccione Iniciar. Esta acción inicia la implementación más reciente de la aplicación del agente. Si necesita iniciar otras implementaciones, use la API REST.

Si ha elevado sus privilegios de acceso, asegúrese de quitarlo cuando haya terminado.

Para detener completamente una aplicación de agente, debe detener cada una de sus implementaciones. Al detener una implementación se desasignan los recursos de proceso subyacentes, pero la implementación y la aplicación siguen existiendo y se pueden reiniciar más adelante.

En primer lugar, enumere las implementaciones de la aplicación del agente:

az rest --method get \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments?api-version=2025-10-01-preview"

A continuación, para cada implementación, ejecute el comando stop:

az rest --method post \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}/stop?api-version=2025-10-01-preview"

Cuando esté listo para volver a iniciar la aplicación del agente, puede iniciar una implementación con este comando:

az rest --method post \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}/start?api-version=2025-10-01-preview"

Eliminar un agente (último recurso)

La eliminación elimina permanentemente los recursos del agente y no se puede deshacer. Antes de eliminarlo, compruebe que ningún otro inquilino o equipo dependa del agente y confirme que los propietarios de recursos están de acuerdo con la eliminación permanente.

No se admite la eliminación de agentes de Foundry en Administración de Microsoft 365 Center. Use otra interfaz para eliminar si es realmente necesario.

Al usar el modelo de aplicación del agente, puede eliminar toda la aplicación o implementaciones individuales. Al eliminar la aplicación, se quitan todas las implementaciones y la propia aplicación. La eliminación de una implementación solo quita esa implementación, pero la aplicación y otras implementaciones permanecen.

Eliminación de toda la aplicación del agente

Para eliminar toda la aplicación del agente, ejecute el siguiente comando:

az rest --method delete \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}?api-version=2025-10-01-preview"

Precaución

Al eliminar una aplicación de agente, se quita permanentemente el recurso de Azure y todas sus implementaciones. Si el agente atiende varios inquilinos, esta acción afecta a todos ellos. Siempre prefiere detener una implementación en lugar de eliminarla.

Eliminación de una implementación específica dentro de una aplicación de agente

Si solo desea eliminar una implementación específica, obtenga primero el nombre de implementación de la lista de implementaciones de la aplicación:

az rest --method get \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments?api-version=2025-10-01-preview"

A continuación, ejecute este comando para eliminar esa implementación:

az rest --method delete \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}?api-version=2025-10-01-preview"

Precaución

Al eliminar una implementación, se quita permanentemente el recurso Azure. Si el tráfico de la aplicación se enruta a una implementación eliminada, los clientes ven errores. Si el agente atiende varios inquilinos, esta acción afecta a todos ellos. Siempre prefiere detener una implementación en lugar de eliminarla.

Si está seguro de que necesita eliminar un agente foundry, use este comando:

az rest --method delete \
  --resource "https://ai.azure.com/" \
  --uri "https://{accountName}.services.ai.azure.com/api/projects/{projectName}/agents/{agentName}?api-version=2025-11-15-preview"

Precaución

Al eliminar un agente, se quita permanentemente el recurso. Si el agente atiende varios inquilinos, esta acción afecta a todos ellos. Siempre prefiere detener una implementación en lugar de eliminarla.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-05-01

Controlar la infraestructura del agente como administrador de Microsoft Entra

Requisitos previos

Comprender cómo funciona la infraestructura del agente

Acciones de infraestructura frente a acciones del centro de administración

Identificar el tipo de recurso Foundry para un agente

Coordinación con los propietarios de recursos

Cuándo coordinar o actuar de forma independiente

Identificación de propietarios de recursos

Elevación del acceso para administrar suscripciones de Azure

Eliminación del acceso con privilegios elevados

Asignación de los roles adecuados

Tomar medidas sobre un agente

Detener un agente

Eliminar un agente (último recurso)

Contenido relacionado

Comentarios

Recursos adicionales