Administración de identidades de agente en la organización

Agente de Microsoft Entra ID proporciona un conjunto centralizado de herramientas para administrar identidades de agente en toda la organización. Las identidades de agente son un tipo de identidad específico de Microsoft Entra ID y están diseñadas para agentes de IA con clasificación, metadatos y controles de seguridad adaptados a las cargas de trabajo de agentes.

En este artículo se tratan las tareas de administración de agentes clave: desde la visualización y deshabilitación de los agentes, hasta el control del acceso, la supervisión y la respuesta a los riesgos de seguridad. Tanto si es un administrador encargado de la supervisión de agentes a nivel de inquilino como si es un patrocinador que gestiona agentes específicos, esta guía le proporciona la información necesaria para encargarse eficazmente de la identidad de los agentes en su organización.

Prerrequisitos

Las diferentes tareas de administración requieren distintos roles y licencias. En la tabla siguiente se resumen los roles que necesita para cada área de administración de identidades del agente.

tarea	Rol obligatorio	Notas
Ver identidades de agente	Microsoft Entra cuenta de usuario	No se necesita ningún rol de administrador para verlo.
Administración de identidades de agente	Administrador de id. de agente o administrador de aplicaciones en la nube	Los propietarios de identidades del agente pueden administrar sus propios agentes sin necesidad de estos roles.
Crear planos de agentes	Desarrollador de Identificación de Agente	El usuario se añade como propietario del plano técnico y de su entidad de servicio.
Configuración de directivas de acceso condicional	Administrador de acceso condicional	Requiere una licencia Microsoft Entra ID P1.
Visualización de informes de riesgo de protección de identificadores	Administrador de seguridad, Operador de seguridad o Lector de seguridad	Requiere Microsoft Entra ID licencia P2 durante la versión preliminar.
Configurar flujos de trabajo de ciclo de vida	Administrador de flujos de trabajo de ciclo de vida

Ver identidades de agente

El centro de administración de Microsoft Entra proporciona una interfaz centralizada para ver todas las identidades de agentes en tu entorno. Puede buscar, filtrar, ordenar y personalizar columnas para buscar agentes específicos.

Inicie sesión en el Centro de administración Microsoft Entra.
Navegue a Entra ID>Agentes>Identidades de agentes.
Seleccione cualquier identidad del agente para ver sus detalles, incluidos el nombre, la descripción, el estado, los propietarios, los patrocinadores, los permisos concedidos y los registros de inicio de sesión.

Para buscar un agente específico, escriba el nombre o el identificador de objeto en el cuadro de búsqueda o agregue el filtro ID de App Blueprint. Puede personalizar qué columnas se muestran seleccionando el botón Elegir columnas . Las columnas disponibles incluyen Name, Created On, Status, Object ID, View Access, Blueprint App ID, Owners and Sponsors, and Uses agent identity.

Para obtener instrucciones detalladas sobre el filtrado, la personalización de columnas y la visualización de agentes desde esta vista, consulte Visualización y filtrado de identidades de agente en el inquilino.

Administración de planos técnicos de identidad del agente

Los planos técnicos de identidad del agente son las definiciones primarias a partir de las cuales se crean identidades de agente individuales. Desde el centro de administración puede ver todas las entidades de plano de trabajo, gestionar los permisos y supervisar la actividad.

Inicie sesión en el Centro de administración Microsoft Entra.
Vaya a Entra ID>Agentes>Esquemas de agentes.
Seleccione cualquier modelo principal de identidad de agente para administrarlo.

En la página de administración de un plano técnico, puede hacer lo siguiente:

Ver entidades de agente vinculadas: se muestran todas las identidades de agente secundarias creadas a partir de este plano técnico.
Administrar el acceso al plano técnico: vea, administre y revoque los permisos asignados al plano técnico.
Administrar propietarios y patrocinadores: los propietarios controlan la administración técnica, mientras que los patrocinadores son responsables de las decisiones de propósito y ciclo de vida del agente.
Ver registros de auditoría: realice un seguimiento de los cambios administrativos para la seguridad y el cumplimiento.
Ver registros de inicio de sesión: supervisar eventos de autenticación.
Deshabilitar el plano técnico: seleccione Deshabilitar en la barra de comandos.

Para obtener instrucciones detalladas, consulte Ver y gestionar planos técnicos de identidad de agente en un inquilino.

Configuración de permisos heredables para planos técnicos

Los permisos heredados permiten que las identidades del agente hereden automáticamente los ámbitos de permisos delegados de OAuth 2.0 de su plano técnico primario. Al configurar permisos heredables en un plano técnico, las identidades de agente recién creadas reciben un conjunto base de ámbitos sin necesidad de solicitudes interactivas de consentimiento del usuario o administrador.

Se admiten dos patrones de herencia por aplicación de recursos:

Modelo	Descripción
Ámbitos enumerados	Hereda solo ámbitos enumerados explícitamente. Se utiliza para el control detallado.
Todos los ámbitos permitidos	Hereda todos los ámbitos delegados disponibles para la aplicación de recursos. Cualquier ámbito nuevo que se conceda en el plano técnico se incluirá automáticamente.

Comience con ámbitos enumerados con solo permisos esenciales y expanda según sea necesario. Este enfoque sigue el principio de privilegios mínimos y facilita la auditoría de qué permisos los agentes realmente usan.

Límites clave:

Máximo de 10 aplicaciones de recursos por plano técnico.
Para ámbitos enumerados, máximo de 40 ámbitos por aplicación de recursos.
Algunos ámbitos de privilegios elevados están bloqueados por la directiva de plataforma y no se pueden heredar.

Los permisos heredables se configuran a través de la propiedad de navegación inheritablePermissions en el recurso de aplicación agentIdentityBlueprint mediante Microsoft Graph. Para ver ejemplos de API paso a paso (agregar, actualizar, eliminar), consulte Configuración de permisos heredables para planos técnicos de identidad del agente.

Control del acceso del agente a los recursos

Las directivas de acceso condicional proporcionan controles en todo el arrendatario para la autenticación de la identidad del agente. Puede usar estas directivas para bloquear todas las identidades del agente, permitir solo agentes específicos o bloquear agentes de riesgo en función de las señales de protección de identificadores.

Puntos clave sobre el acceso condicional para las identidades del agente:

El ámbito de las directivas puede ser Todas las identidades de agente o Todos los usuarios de agente y puede incluir un control de concesión de Bloqueo.
Las directivas pueden aplicarse a Todos los recursos para impedir el acceso de los agentes en toda la organización.
Las condiciones de riesgo del agente (alto, medio y bajo) permiten bloquear los agentes en función de las señales de riesgo de la protección de identificadores.
Las directivas admiten el modo solo de informe para la evaluación segura antes de la aplicación.

Importante

El cumplimiento del acceso condicional se aplica cuando una identidad del agente o la cuenta de usuario del agente solicita un token para cualquier recurso. No se aplica cuando un plano técnico de identidad del agente adquiere un token para crear identidades de agente o cuentas de usuario del agente.

Para obtener ejemplos detallados de configuración de directivas, tutoriales paso a paso y escenarios empresariales, consulte Acceso condicional para el identificador del agente.

Supervisión de la actividad del agente

Las actividades de identidad del agente se capturan en los registros de auditoría e inicio de sesión de Microsoft Entra.

Los registros de auditoría registran eventos relacionados con el agente en el tipo de identidad base desde el que se originan. Por ejemplo, la creación de un usuario de identidad de agente se muestra como una actividad de auditoría de "Crear usuario", mientras que la creación de una identidad de agente se muestra como "Crear entidad de servicio".
Los registros de acceso incluyen el agentSignIn recurso tipo, que proporciona propiedades sobre el agente y su comportamiento al iniciar sesión.

Para ver los registros de inicio de sesión del agente:

Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
Vaya a Entra ID>Supervisión y estado>Registros de inicio de sesión.
Use los filtros siguientes:
- Tipo de agente: elija entre Usuario ID del agente, Identidad del agente, Esquema de identidad del agente o No agentico.
- Es agente: elija entre No o Sí.

También puede recuperar eventos de inicio de sesión del agente mediante Microsoft Graph:

GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'

Para obtener información completa sobre los tipos de registro y los métodos de acceso, consulte Agente de Microsoft Entra ID logs.

Detección y corrección del riesgo del agente

Protección de Identidad para agentes

Protección de Microsoft Entra ID supervisa las identidades del agente para detectar un comportamiento anómalo. Detecta seis tipos de riesgo sin conexión, incluido el acceso a recursos desconocidos, los picos de inicio de sesión y los intentos de acceso erróneos. Los administradores pueden revisar el informe de Risky Agents y realizar acciones de respuesta: confirmar peligro, confirmar seguro, descartar riesgos o deshabilitar el agente.

Nota:

La protección de identificadores para agentes requiere una licencia de Microsoft Entra ID P2 durante la versión preliminar.

Al confirmar que un agente está en peligro, el nivel de riesgo se establece en Alto. Si tiene una directiva de acceso condicional configurada para bloquear ante un Riesgo alto del agente, se impedirá automáticamente que el agente acceda a los recursos.

Para obtener la tabla completa de detección de riesgos, las acciones de respuesta, los detalles de Graph API y la guía del informe, consulte Identity Protection para agentes.

Responder a incidentes de seguridad del agente

Cuando la actividad del agente desencadena una detección de riesgos o un problema de seguridad, siga esta secuencia:

Detect: Revise el informe Risky Agents en el centro de administración de Microsoft Entra. Las detecciones de riesgo son visibles durante un máximo de 90 días. Los detalles incluyen el nombre para mostrar del agente, el estado de riesgo, el nivel de riesgo, el tipo de agente y los patrocinadores.
Responder: Realizar una acción inmediata:
- Confirmar riesgo: establece el nivel de riesgo en Alto y activa las directivas de acceso condicional basadas en el riesgo que se hayan configurado para bloquear ante un Riesgo alto del agente.
- Disable: impide todos los inicios de sesión en Microsoft Entra ID y aplicaciones conectadas.
Investigar: revise los detalles de detección de riesgos, los registros de inicio de sesión y los registros de auditoría para comprender el ámbito y el impacto.
Recuperar: en función de tu investigación:
- Si es falso positivo: descarte el riesgo y vuelva a habilitar el agente.
- Si se trata de un riesgo real: renueve las credenciales antes de volver a habilitar el agente o retire la identidad de agente.

Para obtener información detallada sobre los tipos de riesgo, los mecanismos de detección y las acciones de respuesta, consulte Identity Protection para agentes.

Cada identidad del agente debe tener un patrocinador humano responsable de las decisiones sobre el ciclo de vida y el acceso. Entre los comportamientos clave de gobernanza se incluyen:

Transferencia de patrocinador automático: si un patrocinador abandona la organización, Microsoft Entra ID reasigna automáticamente el patrocinio al administrador del patrocinador.
Notificaciones de expiración: los patrocinadores reciben notificaciones cuando las asignaciones de paquetes de acceso se aproximan a la expiración. Los patrocinadores pueden solicitar una extensión (que desencadena un nuevo ciclo de aprobación) o permitir que expiren las asignaciones.
Caminos de solicitud de acceso: los paquetes de acceso se pueden solicitar a través de tres vías: la propia solicitud mediante programación del agente, un patrocinador en nombre del agente o una asignación directa de administrador.

Los paquetes de acceso pueden otorgar membresías en grupos de seguridad, permisos de API OAuth de aplicación (incluidos permisos de aplicación de Microsoft Graph) y roles de Microsoft Entra.

Para obtener información general de gobernanza completa, incluida la configuración del paquete de acceso y las directivas de patrocinador, consulte Gobernanza de las identidades del agente.

Los flujos de trabajo de ciclo de vida ofrecen dos tareas automatizadas para el patrocinio de identidades de agente:

Enviar correo electrónico al administrador sobre los cambios de patrocinio
Enviar correo electrónico a los cosponsores sobre los cambios de patrocinador

Ambas tareas pertenecen a la categoría de movimiento y abandono: solo se activan en las plantillas de flujo de trabajo de movimiento o abandono, no en las de unión. Esto garantiza la continuidad del patrocinio cuando el patrocinador de un agente cambia los roles o abandona la organización.

Para configurar el flujo de trabajo paso a paso, consulte Tareas del patrocinador de la identidad de agente en los flujos de trabajo de ciclo de vida.

Automatización de la administración de agentes a escala

Para las organizaciones que administran un gran número de identidades de agente, están disponibles las siguientes opciones:

Deshabilitar selección múltiple: el centro de administración admite la selección de varias identidades de agente a la vez y deshabilitarlas por lotes desde la página Todas las identidades de los agentes.
Microsoft Graph API: los puntos de conexión de identidad del agente admiten la administración mediante programación. Por ejemplo, ID Protection expone las colecciones riskyAgents y agentRiskDetections para la supervisión de riesgos de forma programática.

Deshabilitación o restricción de identidades de agente

Las organizaciones pueden controlar el uso de identidades del agente en tres niveles, en función del ámbito necesario:

Ámbito	Qué hace	Detalles
Agente individual	Deshabilite una identidad de agente específica para bloquear su acceso y la emisión de tokens. Los administradores usan el Centro de administración; los propietarios y patrocinadores usan el portal Mi cuenta.	Ver y filtrar identidades de agente en un inquilino · Gestionar agentes en la experiencia del usuario final
Nivel de plano técnico	Desactive un esquema de identidad del agente desde su página de administración. Esto impide que se creen nuevas identidades de agente a partir de ese plano técnico y bloquee las existentes.	Ver y gestionar planos técnicos de identidad de agente en un inquilino
En todo el inquilino	Bloquear toda la autenticación de identidad del agente mediante directivas de acceso condicional y, opcionalmente, bloquear la creación de nuevas identidades de agente a través de controles específicos del producto (Microsoft Entra ID, Security Copilot, Copilot Studio, Fundición de IA de Azure, Microsoft Teams).	Desactivar identidades de agente en el inquilino

Volver a habilitar una identidad de agente deshabilitada en cualquier ámbito restaura el acceso y la emisión de tokens.

Precaución

Deshabilitar globalmente las identidades de agentes puede provocar fallas en los agentes existentes, degradar las experiencias de producto de Microsoft e impulsar a los equipos a usar identidades de entidad de servicio o aplicación menos transparentes. Evalúe el impacto antes de aplicarlo. Para un enfoque parcial, use directivas de acceso condicional para bloquear agentes específicos en lugar de todas las identidades de agente.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-05-01