Creación de un plano técnico de identidad del agente

Un plano técnico de identidad del agente se usa para crear identidades de agente y solicitar tokens mediante esas identidades de agente. Durante el proceso para crear un plano técnico de identidad del agente, establezca el propietario y el patrocinador de ese plano técnico para establecer relaciones administrativas y de responsabilidad. También puede configurar un identificador URI y definir un ámbito para los agentes creados a partir de este plano técnico si el agente está diseñado para recibir solicitudes entrantes de otros agentes y usuarios.

Puede crear un plano técnico de identidad del agente de dos maneras:

Centro de administración Microsoft Entra: Utilice el asistente para una configuración rápida que cree el modelo y su principal.
Microsoft Graph API o PowerShell: cree y configure completamente el plano técnico mediante programación, incluidas las credenciales, los URI de identificador, los ámbitos y la entidad de plano técnico en un único flujo de trabajo.

Prerrequisitos

Para crear un plano técnico de identidad del agente, necesita:

Administrador de roles con privilegios es el rol con los privilegios mínimos necesarios para otorgar permisos de aplicación de Microsoft Graph.
Cloud Application Administrator o Application Administrator es necesario para conceder permisos delegados de Microsoft Graph.
Tanto los roles Agent ID Developer y Agent ID Administrator pueden crear planes de identidad del agente y los principales de estos planes.
- El desarrollador de identificaciones de agentes puede configurar credenciales de identidad federada en un plano de identidad del agente.
- Administrador de ID de Agente puede configurar credenciales de identidad federada en una plantilla de identidad del agente y se requiere agregar un secreto o una credencial de certificado.
Si usa PowerShell, se requiere la versión 7.

Nota:

Los propietarios de una plantilla de identidad de agente o el principal de la plantilla de identidad de agente pueden crear identidades de agente para esa plantilla sin un rol de ID de Agente de Microsoft Entra. Los creadores de planos de identidad de agente se establecen automáticamente como propietarios del plano de identidad de agente y de la entidad de plano de identidad de agente asociada.

Preparación del entorno

Para simplificar el proceso, dedique unos instantes a configurar el entorno para los permisos adecuados.

Autorizar a un cliente para crear esquemas de identidad de agente

En este artículo, utilizará Microsoft Graph PowerShell u otro cliente para crear su modelo de identidad del agente. Debe autorizar a este cliente a crear y configurar una plantilla de identidad del agente y crear un principal de plantilla de identidad del agente. El cliente requiere los siguientes permisos de Microsoft Graph:

Los pasos descritos en esta guía usan todos los permisos delegados, pero puede usar permisos de aplicación para esos escenarios que los requieran.

Para conectarse a todos los ámbitos necesarios para Microsoft Graph PowerShell, ejecute el siguiente comando:

Connect-MgGraph -Scopes "AgentIdentityBlueprint.Create", "AgentIdentityBlueprint.AddRemoveCreds.All", "AgentIdentityBlueprint.UpdateAuthProperties.All", "AgentIdentityBlueprintPrincipal.Create", "User.Read" -TenantId <your-tenant-id>

Creación de un plano técnico de identidad del agente

Los planos de identidad del agente deben tener un patrocinador, que es el usuario o el grupo respaldado que es responsable del agente. Se recomienda un propietario, que es el usuario o el principal de servicio que pueda realizar cambios en la plantilla de identidad del agente. Para obtener información, vea Relaciones administrativas en Agente de Microsoft Entra ID.

Uso del Centro de administración Microsoft Entra

Puede crear un plano técnico de identidad del agente directamente en el Centro de administración Microsoft Entra. El asistente del Centro de administración crea automáticamente tanto la plantilla de identidad del agente como su principal.

Nota:

El asistente del Centro de administración establece el nombre del plano técnico y asigna propietarios y patrocinadores. Para configurar credenciales, identificadores URI, ámbitos o permisos, use Microsoft Graph API o PowerShell, o configúrelas después de su creación a través de las páginas de detalles del plano técnico en el Centro de administración.

Inicie sesión en el Centro de administración de Microsoft Entra.
Vaya a Entra ID>Agentes>Esquemas de agentes.
Seleccione Nuevo plano técnico del agente (versión preliminar).
En la pestaña Aspectos básicos , escriba un nombre en el campo Nombre del plano técnico del agente y seleccione Siguiente.
En la pestaña Propietarios y patrocinadores , puede cambiar o agregar propietarios y patrocinadores para el plano técnico:
- Seleccione el icono de lápiz situado junto al campo Propietarios para cambiar o agregar usuarios que puedan administrar el plano técnico.
- Seleccione el icono de lápiz situado junto al campo Patrocinadores para cambiar o agregar usuarios que puedan patrocinar el plano técnico.
Nota:

Los patrocinadores pueden ser usuarios, grupos de pertenencia dinámica o grupos de Microsoft 365. Los grupos de seguridad y los grupos asignables de roles no se admiten como patrocinadores.
Seleccione Siguiente.
Revise la configuración y, a continuación, seleccione Crear.
Seleccione Listo para salir del asistente o Ir al plano técnico del agente para ver la página de detalles del plano técnico o configurar más opciones.

Para más información sobre cómo administrar planos técnicos de identidad del agente, consulte Administración de planos técnicos de identidad del agente.

Creación mediante programación

Para crear un plano técnico de identidad de agente mediante código, use Microsoft Graph API o PowerShell.

API de Microsoft Graph
Microsoft Graph PowerShell

En este paso se crea el plano técnico de identidad del agente, se asigna un propietario y patrocinador, y se requieren los detalles siguientes:

Permiso AgentIdentityBlueprint.Create .
El encabezado OData-Version debe establecerse en 4.0.
Identificador de usuario para los campos propietario y patrocinador en el cuerpo de la solicitud de ejemplo. Se requiere un patrocinador, pero un propietario es opcional.

POST https://graph.microsoft.com/v1.0/applications/
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
  "@odata.type": "Microsoft.Graph.AgentIdentityBlueprint",
  "displayName": "My Agent Identity Blueprint",
  "sponsors@odata.bind": [
    "https://graph.microsoft.com/v1.0/users/<id>",
  ],
  "owners@odata.bind": [
    "https://graph.microsoft.com/v1.0/users/<id>"
  ],
}

Después de crear el plano técnico de identidad del agente, registre el valor de appId para el paso siguiente.

En este paso se crea la aplicación de plano técnico de identidad del agente, con el usuario actual como propietario y patrocinador, e incluye las siguientes tareas distintas:

Conéctese a su entorno con los ámbitos AgentIdentityBlueprint.Create y User.Read.
Agrega al usuario actual como patrocinador y propietario del modelo de identidad del agente.
Cree la aplicación del plan maestro de identidad del agente.

Connect-MgGraph -Scopes "AgentIdentityBlueprint.Create","User.Read" -TenantId <your-tenant-id>

$currentUser = Get-MgContext | Select-Object -ExpandProperty Account
$user = Get-MgUser -UserId $currentUser

Write-Host "Current user: $($user.DisplayName) ($($user.Id))"
Write-Host "Sponsor user: $($user.DisplayName) ($($user.Id))"


$body = @{
    "@odata.type" = "Microsoft.Graph.AgentIdentityBlueprint"
    "displayName" = "My Agent Identity Blueprint"
    "sponsors@odata.bind" = @("https://microsoft.graph.microsoft.com/v1.0/users/$($user.Id)")
    "owners@odata.bind" = @("https://microsoft.graph.microsoft.com/v1.0/users/$($user.Id)")
} | ConvertTo-Json -Depth 5

$response = Invoke-MgGraphRequest `
    -Method POST `
    -Uri "https://graph.microsoft.com/v1.0/applications/microsoft.graph.agentIdentityBlueprint" `
    -Body $body `
    -ContentType "application/json"

$response

Después de crear el prototipo de identidad del agente, registre el valor de appId desde la salida.

Configuración de credenciales para el modelo de identidad del agente

Para solicitar tokens de acceso mediante el esquema de identidad del agente, debe agregar una credencial de cliente . Se recomienda usar una identidad administrada como credencial de identidad federada (FIC) para implementaciones de producción. Las identidades administradas permiten obtener tokens de Microsoft Entra sin tener que administrar credenciales. Para obtener más información, consulte Administrar identidades para recursos de Azure.

Se admiten otros tipos de credenciales de aplicación, como keyCredentials y passwordCredentials , pero no se recomienda para producción. Pueden ser convenientes para el desarrollo y las pruebas locales o donde las identidades administradas no funcionarán, pero estas opciones no se alinean con los procedimientos recomendados de seguridad. Para obtener más información, consulte Procedimientos recomendados de seguridad para las propiedades de la aplicación.

Tenga en cuenta que para usar una identidad administrada debe ejecutar el código en un servicio Azure, como una máquina virtual o Azure App Service. Para el desarrollo y las pruebas locales, use un secreto de cliente o un certificado.

API de Microsoft Graph
Microsoft Graph PowerShell

Para enviar esta solicitud:

Necesitas el permiso AgentIdentityBlueprint.AddRemoveCreds.All.
Reemplazar el marcador de posición <agent-blueprint-id> por la plantilla de identidad del agente appId.
Reemplaza el <managed-identity-principal-id> marcador de posición por el identificador de la identidad administrada.

Agregue una identidad administrada como credencial mediante la solicitud siguiente:

POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/federatedIdentityCredentials
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
    "name": "my-managed-identity",
    "issuer": "https://login.microsoftonline.com/<your-tenant-id>/v2.0",
    "subject": "<managed-identity-principal-id>",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Este paso incluye las siguientes tareas distintas:

Conéctese al inquilino con el AgentIdentityBlueprint.AddRemoveCreds.All ámbito.
Agregue una identidad administrada como credencial para la plantilla de identidad del agente mediante la principal de plantilla de identidad del agente creada anteriormente.

Install-Module Microsoft.Graph.Applications -Scope CurrentUser -Force

Connect-MgGraph -Scopes "AgentIdentityBlueprint.AddRemoveCreds.All" -TenantId <your-tenant-id>

$applicationId = "<agent-blueprint-id>"

$federatedCredential = @{
  Name             = "my-managed-identity"
  Issuer           = "https://login.microsoftonline.com/<your-tenant-id>/v2.0"
  Subject          = "<managed-identity-principal-id>"
  Audiences         = @("api://AzureADTokenExchange")
}

New-MgApplicationFederatedIdentityCredential `
  -ApplicationId $applicationId `
  -BodyParameter $federatedCredential

Otras credenciales de aplicación

En escenarios en los que las identidades administradas no funcionarán o si va a crear un plano técnico localmente para realizar pruebas, siga estos pasos para agregar las credenciales.

API de Microsoft Graph
Microsoft Graph PowerShell

Para enviar esta solicitud, primero debe obtener un token de acceso con el permiso delegado. AgentIdentityBlueprint.AddRemoveCreds.All

POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/addPassword
Content-Type: application/json
Authorization: Bearer <token>

{
  "passwordCredential": {
    "displayName": "My Secret",
    "endDateTime": "2026-08-05T23:59:59Z"
  }
}

Connect-MgGraph -Scopes "AgentIdentityBlueprint.AddRemoveCreds.All" -TenantId <your-tenant-id>

$applicationId = "<agent-blueprint-application-id>"

# Define the secret properties
$displayName = "My Secret"
$endDate = (Get-Date).AddYears(1).ToString("o")  # 1 year from now, in ISO 8601 format

# Construct the password credential
$passwordCredential = @{
    displayName = $displayName
    endDateTime = $endDate
}

# Add the password (client secret)
$response = Add-MgApplicationPassword -ApplicationId $applicationId -PasswordCredential $passwordCredential

# Output the generated secret (only returned once!)
Write-Host "Secret Text: $($response.secretText)"

Nota:

Es posible que el arrendatario tenga políticas del ciclo de vida de las credenciales que restrinjan la duración máxima de los secretos de cliente. Si recibe un error sobre la duración de las credenciales, reduzca el endDateTime valor para que se alinee con la política de su organización.

Asegúrese de almacenar de forma segura los passwordCredential valores generados. No se puede ver después de la creación inicial. También puede usar certificados de cliente como credenciales; consulte Adición de una credencial de certificado.

Si los agentes creados con el plano técnico admitirán agentes interactivos, donde el agente actúa en nombre de un usuario, el plano técnico debe exponer un ámbito para que el front-end del agente pueda pasar un token de acceso al back-end del agente. A continuación, el back-end del agente puede usar este token para obtener un token de acceso y actuar en nombre del usuario.

Configurar el identificador URI y el ámbito

Para recibir solicitudes entrantes de usuarios y otros agentes, como para cualquier API web, debe definir un identificador URI y un ámbito de OAuth para el plano técnico de identidad del agente:

API de Microsoft Graph
Microsoft Graph PowerShell

Para enviar esta solicitud:

Necesita el permiso AgentIdentityBlueprint.UpdateAuthProperties.All.
Reemplazar el marcador de posición <agent-blueprint-id> por la plantilla de identidad del agente appId.
Necesita un identificador único global (GUID). En PowerShell, ejecute [guid]::NewGuid() o use un generador GUID en línea. Copie el GUID generado y úselo para reemplazar el marcador de posición <generate-a-guid>.

PATCH https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
    "identifierUris": ["api://<agent-blueprint-id>"],
    "api": {
      "oauth2PermissionScopes": [
        {
          "adminConsentDescription": "Allow the application to access the agent on behalf of the signed-in user.",
          "adminConsentDisplayName": "Access agent",
          "id": "<generate-a-guid>",
          "isEnabled": true,
          "type": "User",
          "value": "access_agent"
        }
      ]
  }
}

Una llamada correcta genera una respuesta 204.

Este paso incluye las siguientes tareas distintas:

Instale el módulo necesario si aún no lo ha hecho.
Conéctese al inquilino con el AgentIdentityBlueprint.UpdateAuthProperties.All ámbito.
Configura el URI y el ámbito para el nuevo diseño de identidad del agente.

Connect-MgGraph -Scopes "AgentIdentityBlueprint.UpdateAuthProperties.All" -TenantId <your-tenant-id>

$AppId = "<agent-blueprint-id>"
$IdentifierUri = "api://<agent-blueprint-id>"
$ScopeId = [guid]::NewGuid()

# Construct the OAuth2 permission scope
$scope = @{
    adminConsentDescription = "Allow the application to access the agent on behalf of the signed-in user."
    adminConsentDisplayName = "Access agent"
    id = $ScopeId
    isEnabled = $true
    type = "User"
    value = "access_agent"
}

Update-MgApplication -ApplicationId $AppId `
    -IdentifierUris @($IdentifierUri) `
    -Api @{ oauth2PermissionScopes = @($scope) }

Crear un plano principal de agente

En este paso, creará un principal para el plano de identidad del agente. Para obtener más información, consulte Identidades de agente, entidades de servicio y aplicaciones.

API de Microsoft Graph
Microsoft Graph PowerShell

Reemplace el <agent-blueprint-app-id> marcador de posición por el appId que copió de los resultados del paso anterior.

POST https://graph.microsoft.com/v1.0/serviceprincipals/microsoft.graph.agentIdentityBlueprintPrincipal
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
  "appId": "<agent-blueprint-app-id>"
}

Después de crear el diseño de identidad del agente, cree un objeto principal del diseño de identidad del agente utilizando el diseño de identidad del agente recién creado appId.

Connect-MgGraph -Scopes "AgentIdentityBlueprintPrincipal.Create" -TenantId <your-tenant-id>

Connect-MgGraph -Scopes "AgentIdentityBlueprintPrincipal.Create" -TenantId
$body = @{
    appId   = "<agent-blueprint-client-id>"
}
Invoke-MgGraphRequest -Method POST `
        -Uri "https://graph.microsoft.com/v1.0/serviceprincipals/microsoft.graph.agentIdentityBlueprintPrincipal" `
        -Headers @{ "OData-Version" = "4.0" } `
        -Body ($body | ConvertTo-Json)

El plano técnico del agente ya está listo y visible en el Centro de administración Microsoft Entra. En el paso siguiente, usará este plano técnico para crear identidades de agente.

Eliminación de un plano técnico de identidad del agente

Cuando se retira un agente, elimine el plano técnico de identidad del agente asociado. Al eliminar la plantilla, se desencadena la eliminación automática de todas las identidades de agentes subordinados y las cuentas de usuario de los agentes. Para obtener instrucciones paso a paso sobre eliminación y restauración, consulte Eliminación y restauración de objetos de identidad del agente.

Paso siguiente

Creación y eliminación de identidades de agente

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-05-01

Creación de un plano técnico de identidad del agente

Prerrequisitos

Preparación del entorno

Autorizar a un cliente para crear esquemas de identidad de agente

Creación de un plano técnico de identidad del agente

Uso del Centro de administración Microsoft Entra

Creación mediante programación

Configuración de credenciales para el modelo de identidad del agente

Otras credenciales de aplicación

Configurar el identificador URI y el ámbito

Crear un plano principal de agente

Eliminación de un plano técnico de identidad del agente

Paso siguiente

Comentarios

Recursos adicionales