Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une identité d’agent est une entité de service spéciale dans Microsoft Entra ID. Il représente une identité que le blueprint d'identité de l'agent a créée et est autorisé à usurper. Il ne possède pas d’identifiants propres. Le modèle d’identité d’agent peut obtenir des jetons au nom de l’identité d’agent, sous réserve que l’utilisateur ou l’administrateur du locataire ait accordé le consentement permettant à l’identité d’agent d’accéder aux étendues concernées. Les agents autonomes obtiennent des jetons d’application pour le compte de l’identité d’agent. Les agents interactifs invoqués avec un jeton utilisateur obtiennent des jetons utilisateur pour le compte de l’identité d’agent.
Les identités d’agent peuvent être utilisées pour :
- Demander des jetons d’agent depuis Microsoft Entra ID. L'objet du jeton d'accès est l'identité de l'agent.
- Recevoir des jetons d’accès entrants émis par Microsoft Entra ID. Le destinataire du jeton d’accès correspond à l’identité d’agent.
- Demandez des jetons utilisateur à Microsoft Entra ID pour un utilisateur authentifié. Le sujet du jeton correspond à un utilisateur, tandis que l’acteur est l’identité d’agent.
Anatomie d’une identité d’agent
Un compte utilisé par un agent IA est appelé identité d’agent. Tout comme votre compte d’utilisateur classique, une identité d’agent comporte quelques composants clés :
Identificateur. Chaque identité d’agent a un
id(également appelé ID d’objet), tel queaaaaaaaa-1111-2222-3333-bbbbbbbbbb. Microsoft Entra génère leidet identifie de manière unique le compte au sein d'un tenant Microsoft Entra.Informations d’identification. Les identités d’agent n’ont pas d'identifiants propres. Ils reposent sur le modèle d’identité d’agent pour obtenir des jetons en leur nom.
Nom d'affichage. Le nom d'affichage d'une identité d'agent est exposé dans de nombreuses expériences telles que le centre d’administration Microsoft Entra, le portail Azure, Teams, Outlook et bien plus encore. Il s’agit du nom convivial d’un agent et peut être modifié.
Sponsor. Les identités d'agents peuvent avoir un sponsor qui enregistre l'utilisateur humain ou le groupe responsable de l'agent. Ce sponsor est utilisé à diverses fins, telles que pour contacter un humain en cas d’incident de sécurité.
Blueprint. Toutes les identités d’agent sont créées à partir d’un modèle réutilisable appelé blueprint d’identité d’agent. Le blueprint d’identité de l’agent établit le type d’agent et enregistre les métadonnées partagées entre toutes les identités de l’agent d’un type commun.
Compte d’utilisateur de l’agent (facultatif). Certains agents ont besoin d’accéder aux systèmes qui nécessitent strictement un compte d’utilisateur Microsoft Entra être utilisé pour l’authentification. Dans ces cas, un agent peut recevoir un deuxième compte, appelé compte d’utilisateur d’un agent. Ce second compte correspond à un compte utilisateur du tenant Microsoft Entra configuré en tant qu’agent IA. Son
iddiffère de celui de l’identité de l’agent, mais une relation biunivoque est toujours établie entre l’identité d’un agent et le compte utilisateur de cet agent.
Il s’agit des composants de base d’une identité d’agent qui activent l’authentification et l’autorisation sécurisées. Le schéma d’objet complet d’une identité d’agent est disponible dans Microsoft Graph documentation de référence.
Autorisation des identités d’agent
L’identité de l’agent est le compte principal utilisé par un agent IA pour s’authentifier auprès de différents systèmes. Il a des identificateurs uniques tels que l’ID d’objet et l’ID d’application, qui ont toujours la même valeur et peuvent être utilisés de manière fiable pour les décisions d’authentification et d’autorisation.
Contrairement aux utilisateurs humains, les agents IA n’utilisent pas de mots de passe, sms (Short Message Service), des clés secrètes ou des applications d’authentificateur pour l’authentification. Les identités d’agent n’ont pas d'identifiants propres. Ils s’authentifient uniquement à l’aide d'identifiants d'identité fédérée (FIC) émis par le modèle d’identité de l’agent. Le modèle contient les informations d’identification qu’il utilise pour obtenir des jetons au nom des identités d’agent. Les informations d’identification ne résident pas sur l’identité de l’agent. Ces types d'informations d'identification dans le plan comprennent :
- Identifiants d'identité fédérée
- Certificats / clés de chiffrement
- Clés secrètes client
Les identités d’agent ne peuvent recevoir des jetons que dans le tenant Microsoft Entra où elles ont été créées. Ils ne peuvent pas accéder aux ressources ou API dans d’autres locataires.
Note
Bien que les identités d’agent soient mono-locataires, les modèles d’identité d’agent peuvent être configurés en mode multi-locataires. Un modèle multi-locataires peut être publié puis ajouté à d’autres locataires, où il crée des identités d’agent locales au locataire. Les identités d’agent elles-mêmes demeurent toujours mono-locataires.
Blueprints : sécurité cohérente pour les identités d’agent
Une caractéristique clé des identités d’agent est que toutes les identités d’agent sont créées à partir d’un modèle réutilisable appelé blueprint d’identité d’agent. Le blueprint établit le « type » d’agent et enregistre les métadonnées partagées entre toutes les identités d’agent d’un type commun.
Imaginez qu'une organisation utilise un agent IA appelé « Agent Assistant commercial ». Que l'agent soit acheté ou construit en interne, un blueprint d'identité d'agent serait ajouté au locataire Microsoft Entra de l'organisation. Le blueprint capture les informations suivantes :
- Nom du blueprint, tel que « Agent assistant commercial »
- L’organisation qui a publié le blueprint, par exemple « Contoso »
- Tous les rôles que l’agent peut offrir, tels que « responsable des ventes » ou « vendeur »
- Toutes les autorisations Microsoft Graph accordées à ses agents, telles que « lire le calendrier de l'utilisateur connecté »
De nombreuses équipes commerciales au sein de l’organisation déploient l’agent IA. Un agent est déployé pour les ventes en Amérique du Nord. Une autre est déployée pour les ventes d’Amérique du Sud. Une pour les ventes d’entreprise, une pour les petites/moyennes entreprises, et une autre pour les start-ups. Lors de la création, chacun de ces agents reçoit une identité d’agent. Chaque agent commence à exécuter et à effectuer des tâches à l’aide de son identité d’agent pour l’authentification.
Étant donné que chaque identité de l’agent est créée à l’aide du même blueprint d’identité d’agent, tous les agents apparaissent sous la forme « Agents assistant de vente » dans le centre d’administration Microsoft Entra. Cette fonctionnalité permet à l’administrateur Microsoft Entra d’effectuer des actions telles que :
- Appliquez une stratégie d’accès conditionnel à tous les agents de l’Assistant Vente.
- Désactivez tous les agents de l’Assistant Vente.
- Révoquez une octroi d’autorisation pour tous les agents de l’Assistant Ventes.
Les blueprints d’identité de l’agent permettent à l’administrateur Microsoft Entra de sécuriser les identités d’agent à grande échelle en définissant des règles et en effectuant des opérations basées sur le type d’agent. Cette fonctionnalité garantit une sécurité cohérente pour chaque agent IA déployé dans l’organisation.