Preguntas más frecuentes sobre Agente de Microsoft Entra ID

Microsoft Graph API que admiten relaciones que implican identidades de agente como /ownedObjects, /deletedItems y /owners no admiten el filtrado por tipo de entidad. Use las API existentes y filtre los resultados en el lado cliente mediante la odata.type propiedad para identificar los objetos de identidad del agente en la respuesta.

Cuando se elimina un plano técnico de identidad del agente o una identidad del agente, las cuentas de usuario de los agentes asociados permanecen en el inquilino. No aparecen como desactivados o eliminados, aunque no pueden autenticarse. Elimine manualmente las cuentas de usuario de los agentes huérfanos mediante Microsoft Graph API o Microsoft Entra PowerShell.

Al crear objetos de identidad de agente en sucesión rápida mediante las API de Microsoft Graph, las solicitudes pueden producir errores como 400 Bad Request: Object with id {id} not found. Entre las secuencias comunes que desencadenan este comportamiento se incluyen:

• Crear una plantilla de identidad del agente y, a continuación, crear inmediatamente un principal de la plantilla.
• Crear un plano principal y, a continuación, usar inmediatamente el plano principal para crear una identidad de agente.
• Crear una identidad de agente y, a continuación, crear inmediatamente la cuenta de usuario de un agente.

Estos errores son más comunes cuando se usan permisos de solo aplicación. Use los permisos delegados siempre que sea posible y agregue lógica de reintento con retroceso exponencial a las solicitudes.

Yes. Las plataformas que no son de Microsoft que usan permisos de solo aplicación se limitan a 250 planos técnicos de identidad del agente activo por inquilino y cada uno de esos planos técnicos está limitado a 250 identidades de agente activo. Las solicitudes de permisos delegados de los usuarios administradores no cuentan para este límite. Las plataformas propiedad de Microsoft, como Microsoft Agent 365, no están sujetas a este límite.

Para obtener más información, consulte Límites y restricciones del servicio Microsoft Entra. Póngase en contacto con su representante de Microsoft si su escenario requiere superar estos límites.

No hay ningún mecanismo de notificación integrado para la aprobación del plano técnico de identidad del agente. Cuando un administrador de inquilinos crea o aprueba un plano técnico de identidad del agente para el agente, no se le notificará a través de Microsoft Entra o Microsoft Graph.

Para verificar si el modelo ha sido aprobado en un arrendatario específico, realice una consulta a la API de Microsoft Graph para los objetos principales del modelo asociados con su aplicación. Si un administrador aún no ha aprobado el plano técnico, la consulta no devuelve ningún resultado para ese inquilino.

Las definiciones de roles personalizados no admiten acciones para administrar identidades de agente. Utilice los roles integrados Administrador de Identificación de Agente y Desarrollador de Identificación de Agente para toda la gestión de identidades del agente.

Las identidades del agente, los planos de identidad del agente y los principios del plano de identidad del agente no se pueden agregar a las unidades administrativas. Use la owners propiedad de identidades de agente para limitar qué usuarios pueden administrar objetos específicos.

El rol Administrador de ID de Agente no tiene permiso para actualizar las fotos de la cuenta de usuario de un agente. Use el rol Administrador de usuarios para esta tarea.

Las reglas de pertenencia a grupos dinámicos no admiten aplicar a la cuenta de usuario de un agente. Use grupos asignados para administrar las pertenencias a grupos de la cuenta de usuario de un agente.

Las identidades del agente no pueden iniciar sesión en las páginas de inicio de sesión de Microsoft Entra ID, lo que significa que no pueden usar el inicio de sesión único con los protocolos OpenID Connect o SAML. Utiliza las APIs web disponibles para integrar agentes con aplicaciones y servicios de trabajo.

El flujo de trabajo de consentimiento de administrador de Microsoft Entra ID no funciona correctamente para los permisos solicitados por identidad del agente. Los usuarios deben ponerse en contacto con su administrador de inquilinos de Microsoft Entra para solicitar que los permisos se concedan directamente a la identidad del agente.

El paso adicional basado en el riesgo se aplica a los flujos de consentimiento de identidad del agente. Si el consentimiento de un usuario está bloqueado, no hay ninguna solución alternativa. El usuario debe resolver el riesgo marcado antes de que el consentimiento pueda continuar.

Los registros de auditoría no distinguen las identidades de agente de otros tipos de identidad de Microsoft Entra de forma predeterminada:

• Las operaciones sobre identidades de agente, planos y principales de planos se registran en la categoría ApplicationManagement.
• Las operaciones en las cuentas de usuario de los agentes se registran en la categoría Administración de usuarios.
• Las operaciones iniciadas por identidades de agente aparecen como entidades de servicio.
• Las operaciones iniciadas por las cuentas de usuario de los agentes aparecen como usuarios.

Para identificar la actividad relacionada con el identificador del agente, use identificadores de objeto de los registros de auditoría para consultar Microsoft Graph y determinar el tipo de entidad. También puede usar el identificador de correlación de registros de inicio de sesión para buscar la identidad del actor o el sujeto implicado en la actividad.

Los registros de actividad de Microsoft Graph actualmente no separan las identidades del agente de otros tipos de identidad.

• Las solicitudes desde las identidades de los agentes se registran como aplicaciones, con la identidad del agente incluida en la columna appID .
• Las solicitudes de las cuentas de usuario de los agentes se registran como usuarios, con el identificador de usuario del agente en la columna UserID .

Utilice los registros de inicio de sesión de Microsoft Entra para determinar el tipo de entidad.

El SDK que use depende de su escenario:

Microsoft CLI y SDK del Agente 365 son el punto de partida recomendado para la mayoría de los desarrolladores. La CLI controla el aprovisionamiento de identidades del agente, la creación de planos técnicos y el cableado de permisos en un solo comando. El SDK controla la adquisición de tokens en tiempo de ejecución. Para obtener más información, consulte la documentación del SDK del Agente de Microsoft Entra 365.

Microsoft. Identity.Web proporciona API de nivel superior para adquirir tokens para identidades de agente en aplicaciones de .NET. Utilice el paquete Microsoft.Identity.Web.AgentIdentities para simplificar la administración de identidades de agentes.

El contenedor del SDK de Microsoft Entra encapsula Microsoft.Identity.Web como un servicio web desplegado como un contenedor complementario. Use esta opción cuando su agente se ejecute en Kubernetes o bien no esté construido en .NET. Para obtener más información, consulte Microsoft Entra SDK para el identificador del agente.

Microsoft Graph API proporcionan administración de identidades del agente cuando las otras opciones no se ajustan a su escenario. Para obtener más información, consulte Microsoft Graph API for agent identity blueprints.