Registro de aplicaciones, identidades de agente y autenticación para Copilot Studio

En este artículo se explica el registro de aplicaciones, las identidades del agente y la autenticación para los agentes de Copilot Studio.

Descripción de las identidades del agente

¿Cómo Copilot Studio identifica los agentes para la autenticación?

Copilot Studio asigna un identificador único a cada agente para que pueda comunicarse con canales (Teams, Omnichannel, etc.) y servicios. Copilot Studio crea y administra automáticamente estas identidades.

Hay dos tipos de identidades de agente:

• Entra Agent IDs: Entidades de servicio de Microsoft Entra con un subtipo "Agente". Al habilitar Entra Agent Identity para un entorno, los nuevos agentes reciben automáticamente identificadores de agente de Entra.

• Registros de aplicaciones (heredado): Los agentes existentes que creó antes de habilitar Entra Agent Identity continúan utilizando registros de aplicaciones tradicionales.

Importante: Los identificadores de agente son entidades de servicio con un subtipo "Agente". El flujo de autenticación basado en OAuth subyacente sigue siendo el mismo. Los identificadores de agente proporcionan funcionalidades de administración y visibilidad de gobernanza mejoradas en comparación con los registros de aplicaciones tradicionales.

¿Por qué mi agente tiene una identidad en Microsoft Entra ID?

Las identidades del agente permiten que el agente se autentique de forma segura al comunicarse con canales (Teams, Omnichannel y mucho más) y servicios. Copilot Studio crea y administra automáticamente estas identidades siguiendo Zero Trust principios de seguridad.

¿Cuál es la diferencia entre los agentes de Copilot Studio y los agentes del Generador de agentes?

• Agentes de Copilot Studio: Reciben identificadores de agente de Entra (o registros de aplicaciones para agentes heredados) para la autenticación con canales y servicios. Puede habilitar Entra Agent Identity en el nivel de entorno en el Centro de administración de Power Platform.

• Agentes de Agent Builder: Actualmente, no usan ni requieren ID de registro de aplicaciones ni identificadores de agente. Para obtener más información, vea Agent Builder en Microsoft 365 Copilot.

Trabajar con identidades de agente

¿Es necesario crear o configurar manualmente una identidad del agente?

N.º Copilot Studio administra automáticamente las identidades del agente:

• Nuevos agentes (cuando Entra Agent Identity está habilitado): obtención automática de IDs de Entra Agent
• Agentes existentes: continuar con el uso de registros de aplicaciones

los estándares de seguridad y cumplimiento de Microsoft guían la administración automática de todas las credenciales. Tiene visibilidad y control completos en la Microsoft Entra admin center, donde puede supervisar la actividad de autenticación y administrar el ciclo de vida de la identidad del agente.

¿Cómo encuentro qué registro de aplicación o id. de agente pertenece a mi agente?

1. En Copilot Studio, vaya a Settings>Advanced>Metadata.
2. Vea el Entra Agent ID (GUID) de los agentes con identidades Entra.
3. En el caso de los agentes heredados con registros de aplicaciones, el identificador de aplicación se muestra en la misma sección.
4. Use este GUID para buscar la identidad en Microsoft Entra admin center.

¿Puedo traer mi propio identificador de agente o registro de aplicación?

N.º Para garantizar la seguridad, el cumplimiento y la integración con canales y servicios, Copilot Studio requiere administración automática.

¿Por qué Copilot Studio agrega el propietario del agente a la identidad del agente?

Copilot Studio agrega al propietario del agente con el fin de ofrecer:

• Rastreabilidad de gobernanza para cada agente
• Responsabilidad del ciclo de vida del agente
• Alineación con las directivas de propiedad de la organización

En el caso de los identificadores de agente de Entra: el propietario del agente se agrega como patrocinador con permisos limitados en comparación con los propietarios completos, lo que reduce los problemas de seguridad en torno a las modificaciones de permisos. Es posible que algunos agentes preexistentes aún no tengan patrocinadores.

Para los registros de aplicaciones heredados: el propietario del agente se agrega como propietario del registro de aplicaciones. Para no agregar el propietario del agente, póngase en contacto con el soporte técnico.

Seguridad y permisos

¿Quién puede generar tokens mediante la identidad del agente?

Para los identificadores de agente de Entra

Un proyecto de entidad de seguridad de Microsoft crea y administra identidades de agente utilizando credenciales de identidad federadas. Nadie en su inquilino, incluidos los administradores del inquilino, puede generar tokens mediante la identidad del agente. Microsoft controla completamente el plano técnico y el mecanismo de autenticación.

Para registros de aplicaciones antiguas

Los usuarios con roles de administrador global, administrador de aplicaciones o administrador de aplicaciones en la nube pueden crear secretos de cliente o certificados para cualquier registro de aplicación en el inquilino sin necesidad de propiedad. A los usuarios sin estos roles se les debe conceder la propiedad del registro de aplicación específico para crear credenciales necesarias para la generación de tokens. Copilot Studio no agrega ningún ámbito de API ni permisos a estos registros de aplicaciones, por lo que los tokens generados a partir de estas identidades no tienen acceso a los datos ni recursos del cliente.

Autenticación de identidad del agente

¿Puedo dejar de participar en Entra Agent Identity?

Sí, actualmente puede optar por no participar en el nivel de entorno en el Centro de administración de Power Platform. Consulte Creación automática de identidades de Agente Entra para obtener instrucciones.

¿Qué ocurre con los agentes existentes al habilitar Entra Agent Identity?

Los agentes existentes creados antes de habilitar Entra Agent Identity continúan usando registros de aplicaciones. Serán migrados a identificaciones de agente en el futuro.

Características de migración:

• Conservación del GUID: los identificadores del agente siguen siendo idénticos (sin cambios importantes)
• Tiempo de inactividad cero: los agentes siguen funcionando durante la migración.
• Automático: no se requiere ninguna acción manual
• La compatibilidad de canales se mantiene: Teams, Omnicanal y habilidades siguen funcionando

¿Habilitar el ID del agente cambia cómo se autentica mi agente?

N.º Los identificadores de agente son entidades de servicio con un subtipo "Agente" que usan los mismos flujos de autenticación basados en OAuth que los registros de aplicaciones tradicionales. La mejora es la visibilidad de gobernanza: los identificadores de agente aparecen en el Microsoft Entra admin center con más funcionalidades de administración y supervisión del ciclo de vida.

¿Cuáles son los principios de Blueprint?

Cuando se crea la primera identidad del agente en un entorno, Copilot Studio agrega una plantilla de identidad del agente de Microsoft Copilot Studio a su inquilino. Este proyecto de entidad de seguridad es necesario ya que tiene privilegios para crear identidades y usuarios de agentes en el inquilino.

Para obtener información detallada, incluidos los identificadores de Blueprint (producción y prueba), consulte Comprender los Principios de Blueprint. Para obtener más detalles técnicos, consulte ¿Cómo se crean las identidades de agente?.

Ciclo de vida del agente

¿Qué ocurre con la identidad del agente al eliminar un agente?

Al eliminar un agente de Copilot Studio, el proceso quita el identificador de agente asociado (o registro de aplicación) de Microsoft Entra ID.

Para obtener más información, vea Eliminar agentes.

Artículos relacionados

• Configurar la autenticación de usuario con Microsoft Entra ID
• Creación automática de identidades de agente de Entra (versión preliminar)
• Eliminación de agentes
• Aislamiento de red y configuración del firewall