Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un blueprint d’identité d’agent est utilisé pour créer des identités d’agent et demander des jetons à l’aide de ces identités d’agent. Pendant le processus de création d’un blueprint d’identité d’agent, vous définissez le propriétaire et le sponsor de ce blueprint pour établir des relations de responsabilité et d’administration. Vous configurez également un URI d’identificateur et définissez une étendue pour les agents créés à partir de ce blueprint si l’agent est conçu pour recevoir des demandes entrantes d’autres agents et utilisateurs.
Vous pouvez créer un blueprint d’identité d’agent de deux façons :
- Centre d’administration Microsoft Entra — Utilisez l’assistant afin d’effectuer une configuration rapide qui crée le modèle ainsi que son principal.
- Microsoft API Graph ou PowerShell : créez et configurez entièrement le blueprint par programmation, notamment les informations d’identification, les URI d’identificateur, les étendues et le principal de blueprint dans un seul flux de travail.
Prerequisites
Pour créer un blueprint d’identité d’agent, vous avez besoin des éléments suivants :
- Administrateur de rôle privilégié est le rôle le moins privilégié requis pour accorder des autorisations d’application Microsoft Graph.
- Cloud Application Administrator ou Application Administrator est nécessaire pour accorder des autorisations déléguées Microsoft Graph.
- Les rôles Développeur d’ID d’agent et Administrateur d’ID d’agent peuvent créer des blueprints d’identité d’agent et des principes de blueprints d’identité d’agent.
- Le développeur d’ID d’agent peut configurer des informations d’identification d’identité fédérées sur un blueprint d’identité d’agent.
- L’administrateur d’ID d’agent peut configurer des informations d’identification d’identité fédérées sur un blueprint d’identité de l’agent et doit ajouter un secret ou des informations d’identification de certificat.
- Si vous utilisez PowerShell, la version 7 est requise.
Note
Les propriétaires d’un modèle d’identité d’agent ou d’un principal de modèle d’identité d’agent peuvent créer des identités d’agent pour ce modèle sans nécessiter le rôle Identifiant d’assistant Microsoft Entra. Les créateurs de plan d'identité d'agent sont automatiquement définis comme propriétaires du plan et du principal associé au plan d'identité d'agent.
Préparer votre environnement
Pour simplifier le processus, prenez quelques instants pour configurer votre environnement pour obtenir les autorisations appropriées.
Autoriser un client à créer des blueprints d’identité d’agent
Dans cet article, vous utilisez Microsoft Graph PowerShell ou un autre client pour créer votre blueprint d’identité d’agent. Vous devez autoriser ce client à créer et configurer un modèle d’identité d’agent et à créer un principal de modèle d’identité d’agent. Le client nécessite les autorisations de Microsoft Graph suivantes :
- Autorisation déléguée AgentIdentityBlueprint.Create
- AgentIdentityBlueprint.AddRemoveCreds.All , autorisation déléguée
- AgentIdentityBlueprint.UpdateAuthProperties.All , autorisation déléguée
- Autorisation déléguée AgentIdentityBlueprintPrincipal.Create
Les étapes décrites dans ce guide utilisent toutes les autorisations déléguées, mais vous pouvez utiliser les autorisations d’application pour ces scénarios qui en ont besoin.
Pour vous connecter à toutes les étendues requises pour Microsoft Graph PowerShell, exécutez la commande suivante :
Connect-MgGraph -Scopes "AgentIdentityBlueprint.Create", "AgentIdentityBlueprint.AddRemoveCreds.All", "AgentIdentityBlueprint.UpdateAuthProperties.All", "AgentIdentityBlueprintPrincipal.Create", "User.Read" -TenantId <your-tenant-id>
Créer un blueprint d’identité d’agent
Les modèles d’identité d’agent doivent disposer d’un sponsor, c’est-à-dire de l’utilisateur ou du groupe pris en charge responsable de l’agent. Un propriétaire est recommandé, qui est l’utilisateur ou le principal de service qui peut apporter des modifications au blueprint d’identité de l’agent. Pour des informations, consultez les relations administratives dans Identifiant d’assistant Microsoft Entra.
Utiliser le centre d’administration Microsoft Entra
Vous pouvez créer un blueprint d’identité d’agent directement dans le centre d’administration Microsoft Entra. L’assistant du centre d’administration crée automatiquement à la fois le modèle d’identité d’agent et son principal associé.
Note
L’assistant du centre d’administration définit le nom du modèle et attribue les propriétaires ainsi que les sponsors. Pour configurer des informations d'identification, des URI d'identificateur, des étendues ou des autorisations, utilisez Microsoft API Graph ou PowerShell, ou configurez-les après la création via les pages de détails du blueprint dans le Centre d'administration.
Connectez-vous au Centre d’administration Microsoft Entra.
Parcourez les modèles Entra ID>Agents>Agent.
Sélectionnez Nouveau blueprint d’agent (préversion).
Sous l’onglet Informations de base , entrez un nom dans le champ Nom du blueprint agent , puis sélectionnez Suivant.
Sous l’onglet Propriétaires &Sponsors , modifiez ou ajoutez éventuellement des propriétaires et des sponsors pour le blueprint :
- Sélectionnez l’icône de crayon en regard du champ Propriétaires pour modifier ou ajouter des utilisateurs qui peuvent gérer le blueprint.
- Sélectionnez l’icône de crayon en regard du champ Sponsors pour modifier ou ajouter des utilisateurs qui peuvent parrainer le blueprint.
Note
Les sponsors peuvent être des utilisateurs, des groupes d’appartenance dynamiques ou des groupes Microsoft 365. Les groupes de sécurité et les groupes assignables aux rôles ne sont pas pris en charge en tant que parrains.
Sélectionnez Suivant.
Passez en revue vos paramètres, puis sélectionnez Créer.
Sélectionnez Terminer pour quitter l’assistant ou Accéder au modèle d’agent afin d’afficher la page de détails du modèle ou de configurer d’autres paramètres.
Pour plus d’informations sur la gestion des blueprints d’identité d’agent, consultez Gérer les blueprints d’identité de l’agent.
Créer par programmation
Pour créer un blueprint d’identité d’agent à l’aide du code, utilisez Microsoft API Graph ou PowerShell.
Cette étape crée le blueprint d’identité de l’agent, affecte un propriétaire et un sponsor, et nécessite les détails suivants :
- L’autorisation
AgentIdentityBlueprint.Create. - L’en-tête OData-Version doit être défini sur 4.0.
- Une ID d’utilisateur pour les champs propriétaire et sponsor dans le corps de requête exemple. Un sponsor est requis, mais un propriétaire est facultatif.
POST https://graph.microsoft.com/v1.0/applications/
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"@odata.type": "Microsoft.Graph.AgentIdentityBlueprint",
"displayName": "My Agent Identity Blueprint",
"sponsors@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>",
],
"owners@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>"
],
}
Après avoir créé le schéma d’identité de l’agent, enregistrez la valeur du appId pour l’étape suivante.
Configurer les identifiants pour le modèle d’identité de l’agent
Pour demander des jetons d’accès à l’aide du modèle d'identité d'agent, vous devez ajouter des informations d’identification client. Nous vous recommandons d’utiliser une identité gérée en tant que jeton d'identité fédérée (JIF) pour les déploiements de production. Les identités managées vous permettent d’obtenir des jetons Microsoft Entra sans avoir à gérer les informations d’identification. Pour plus d’informations, consultez Identités managées pour les ressources Azure.
D’autres types d’informations d’identification d’application, notamment keyCredentials et passwordCredentials sont pris en charge, mais pas recommandés pour la production. Ils peuvent être pratiques pour le développement et les tests locaux ou où les identités managées ne fonctionneront pas, mais ces options ne s’alignent pas sur les meilleures pratiques de sécurité. Pour plus d’informations, consultez Les meilleures pratiques de sécurité pour les propriétés d’application.
N’oubliez pas que pour utiliser une identité managée, vous devez exécuter votre code sur un service Azure, tel qu’une machine virtuelle ou un Azure App Service. Pour le développement et les tests locaux, utilisez une clé secrète client ou un certificat.
Pour envoyer cette requête :
- Vous devez avoir l’
AgentIdentityBlueprint.AddRemoveCreds.Allautorisation. - Remplacez l'espace réservé
<agent-blueprint-id>par le plan d'identitéappIdde l’agent. - Remplacez l’espace
<managed-identity-principal-id>réservé par l’ID de votre identité managée.
Ajoutez une identité managée en tant qu'identifiant à l’aide de la requête suivante :
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/federatedIdentityCredentials
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"name": "my-managed-identity",
"issuer": "https://login.microsoftonline.com/<your-tenant-id>/v2.0",
"subject": "<managed-identity-principal-id>",
"audiences": [
"api://AzureADTokenExchange"
]
}
Autres informations d’identification d’application
Pour les scénarios où les identités managées ne fonctionnent pas ou si vous créez un blueprint localement pour les tests, procédez comme suit pour ajouter les informations d’identification.
Pour envoyer cette requête, vous devez d’abord obtenir un jeton d'accès avec l’autorisation déléguée AgentIdentityBlueprint.AddRemoveCreds.All
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/addPassword
Content-Type: application/json
Authorization: Bearer <token>
{
"passwordCredential": {
"displayName": "My Secret",
"endDateTime": "2026-08-05T23:59:59Z"
}
}
Note
Votre instance de cloud peut avoir des stratégies de cycle de vie des informations d’identification qui limitent la durée de vie maximale des secrets client. Si vous recevez une erreur concernant la durée de vie des informations d’identification, réduisez la valeur pour l'aligner sur la politique de votre organisation endDateTime.
Veillez à stocker en toute sécurité les passwordCredential valeurs générées. Il ne peut pas être consulté après la création initiale. Vous pouvez également utiliser des certificats clients comme informations d’identification ; voir Ajouter des informations d’identification de certificat.
Si les agents créés à partir du modèle prennent en charge des agents interactifs, dans lesquels l’agent agit pour le compte d’un utilisateur, votre modèle doit exposer une étendue afin que le front-end de l’agent puisse transmettre un jeton d’accès au back-end de l’agent. Ce jeton peut ensuite être utilisé par le back-end de l’agent pour obtenir un jeton d’accès pour agir au nom de l’utilisateur.
Configurer l’URI et l’étendue de l’identificateur
Pour recevoir des demandes entrantes des utilisateurs et d’autres agents, comme pour n’importe quelle API web, vous devez définir un URI d’identificateur et une étendue OAuth pour votre blueprint d’identité d’agent :
Pour envoyer cette requête :
- Vous avez besoin de l’autorisation
AgentIdentityBlueprint.UpdateAuthProperties.All. - Remplacez l'espace réservé
<agent-blueprint-id>par le plan d'identitéappIdde l’agent. - Vous avez besoin d’un identificateur global unique (GUID). Dans PowerShell, exécutez
[guid]::NewGuid()ou utilisez un générateur GUID en ligne. Copiez le GUID généré et utilisez-le pour remplacer l’espace<generate-a-guid>réservé.
PATCH https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"identifierUris": ["api://<agent-blueprint-id>"],
"api": {
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the application to access the agent on behalf of the signed-in user.",
"adminConsentDisplayName": "Access agent",
"id": "<generate-a-guid>",
"isEnabled": true,
"type": "User",
"value": "access_agent"
}
]
}
}
Un appel réussi génère une réponse 204.
Créer un principal de modèle d’agent
Lors de cette étape, vous créez un principal destiné au modèle d’identité d’agent. Pour plus d’informations, consultez Identités d’agent, principaux de service et applications.
Remplacez l’espace <agent-blueprint-app-id> réservé par celui appId que vous avez copié à partir des résultats de l’étape précédente.
POST https://graph.microsoft.com/v1.0/serviceprincipals/microsoft.graph.agentIdentityBlueprintPrincipal
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"appId": "<agent-blueprint-app-id>"
}
Votre blueprint d’agent est maintenant prêt et visible dans le centre d’administration Microsoft Entra. À l’étape suivante, vous allez utiliser ce blueprint pour créer des identités d’agent.
Supprimer un schéma d’identité d’agent
Lorsqu’un agent est désactivé, supprimez le blueprint d’identité de l’agent associé. La suppression du blueprint déclenche le nettoyage automatique de toutes les identités des agents enfants et des comptes d'utilisateur des agents. Pour obtenir des instructions de suppression et de restauration pas à pas, consultez Supprimer et restaurer des objets d’identité d’agent.