Foire aux questions sur Identifiant d’assistant Microsoft Entra

Microsoft Graph API qui prennent en charge les relations impliquant des identités d'agent telles que /ownedObjects, /deletedItems et /owners ne prennent pas en charge le filtrage par type d'entité. Utilisez les API existantes et filtrez les résultats côté client à l’aide de la odata.type propriété pour identifier les objets d’identité de l’agent dans la réponse.

Lorsqu’un blueprint d’identité d’agent ou une identité d’agent est supprimé, les comptes d’utilisateur des agents associés restent dans l'instance. Ils ne sont pas affichés comme désactivés ou supprimés, même s’ils ne peuvent pas s’authentifier. Supprimez manuellement les comptes d'utilisateurs des agents orphelins à l'aide de Microsoft API Graph ou Microsoft Entra PowerShell.

Lors de la création d’objets d’identité d’agent en succession rapide à l’aide d’API Microsoft Graph, les requêtes peuvent échouer avec des erreurs telles que 400 Bad Request: Object with id {id} not found. Les séquences courantes qui déclenchent ce comportement sont les suivantes :

• Création d’un blueprint d’identité d’agent, puis création immédiate d’un principal de blueprint.
• Création d’un modèle principal, puis en utilisant immédiatement ce modèle pour créer une identité d’agent.
• Création d’une identité d’agent, puis création immédiate du compte d’utilisateur d’un agent.

Ces échecs sont plus courants lors de l’utilisation des autorisations d’application uniquement. Utilisez les autorisations déléguées si possible et ajoutez une logique de reprise avec une temporisation exponentielle à vos demandes.

Oui. Les plateformes non Microsoft utilisant des autorisations d’application uniquement sont limitées à 250 blueprints d’identité d’agent actif par locataire, et chacun de ces blueprints est limité à 250 identités d’agent actif. Les demandes d’autorisation déléguée des utilisateurs administrateurs ne comptent pas vers cette limite. Les plateformes détenues par Microsoft, comme Microsoft 365, ne sont pas soumises à cette limite.

Pour plus d’informations, consultez les limites et restrictions du service Microsoft Entra. Contactez votre représentant Microsoft si votre scénario nécessite un dépassement de ces limites.

Il n’existe aucun mécanisme de notification intégré pour l’approbation du blueprint d’identité de l’agent. Lorsqu'un administrateur client crée ou approuve un blueprint d'identité d'agent pour votre agent, vous n'êtes pas averti par Microsoft Entra ou Microsoft Graph.

Pour vérifier si votre blueprint a été approuvé dans un locataire spécifique, interrogez microsoft API Graph pour les objets principaux de blueprint associés à votre application. Si un administrateur n’a pas encore approuvé le blueprint, la requête ne retourne aucun résultat pour ce locataire.

Les définitions de rôle personnalisées ne prennent pas en charge les actions de gestion des identités d’agent. Utilisez les rôles d’administrateur d’ID d’agent et de développeur d’ID d’agent intégrés pour la gestion des identités de l’agent.

Les identités d'agent, les blueprints d'identité d'agent et les principes des blueprints d'identité d'agent ne peuvent pas être ajoutés aux unités administratives. Utilisez la owners propriété des identités d’agent pour limiter les utilisateurs pouvant gérer des objets spécifiques.

Le rôle Administrateur d’ID d’agent n’est pas autorisé à mettre à jour des photos pour le compte d’utilisateur d’un agent. Utilisez le rôle Administrateur d’utilisateur pour cette tâche.

Les règles d’appartenance de groupe dynamique ne prennent pas en charge le ciblage du compte d’utilisateur d’un agent. Utilisez des groupes affectés pour gérer les appartenances de groupe d’un agent dans le compte d’utilisateur.

Les identités d'agent ne peuvent pas se connecter aux pages de connexion de Microsoft Entra ID, ce qui signifie qu'elles ne peuvent pas utiliser la connexion unique avec les protocoles OpenID Connect ou SAML. Utilisez les API web disponibles pour intégrer les agents avec les applications et services du lieu de travail.

Le flux de travail de consentement d'administrateur Microsoft Entra ID admin ne fonctionne pas correctement pour les autorisations demandées par les identités d'agents. Les utilisateurs doivent contacter leur administrateur client Microsoft Entra pour demander que les autorisations soient accordées directement à l’identité de l’agent.

Les étapes basées sur les risques sont appliquées pour les flux de consentement d’identité de l’agent. Si le consentement d’un utilisateur est bloqué, il n’existe aucune solution de contournement. L'utilisateur doit résoudre le risque indiqué avant que le consentement puisse être donné.

Les journaux d'audit ne distinguent pas les identités d'agent des autres types d'identités Microsoft Entra par défaut :

• Les opérations sur les identités d’agent, les modèles et les gestionnaires de modèles sont enregistrées dans la catégorie ApplicationManagement.
• Les opérations sur les comptes d’utilisateur des agents sont journalisées dans la catégorie Gestion des utilisateurs .
• Les opérations lancées par les identités d’agent apparaissent en tant qu'entités de service.
• Les opérations lancées par les comptes d’utilisateur des agents apparaissent en tant qu’utilisateurs.

Pour identifier l’activité liée à l’ID de l’agent, utilisez les ID d’objet des journaux d’audit pour interroger Microsoft Graph et déterminer le type d’entité. Vous pouvez également utiliser l’ID de corrélation des journaux de connexion pour localiser l’identité de l’acteur ou du sujet impliqué dans l’activité.

Les journaux d'activité de Microsoft Graph ne séparent actuellement pas les identités d'agent des autres types d'identités.

• Les requêtes provenant des identités d’agent sont enregistrées comme des applications, avec l’identité de l’agent incluse dans la colonne appID .
• Les demandes des comptes d’utilisateur des agents sont enregistrées en tant qu’utilisateurs, avec l’ID d’utilisateur de l’agent dans la colonne UserID .

Utilisez les journaux de connexion de Microsoft Entra pour déterminer le type d’entité.

Le Kit de développement logiciel (SDK) que vous utilisez dépend de votre scénario :

Microsoft l’interface CLI et le Kit de développement logiciel (SDK) Agent 365 sont les points de départ recommandés pour la plupart des développeurs. L’interface CLI gère l’approvisionnement des identités de l’agent, la création de blueprint et le câblage des autorisations dans une seule commande. Le Kit de développement logiciel (SDK) gère l’acquisition de jetons au moment de l’exécution. Pour plus d’informations, consultez Microsoft Entra Documentation du Kit de développement logiciel (SDK) Agent 365.

Microsoft. Identity.Web fournit des API de niveau supérieur pour acquérir des jetons pour les identités d’agent dans .NET applications. Utilisez le package Microsoft.Identity.Web.AgentIdentities pour simplifier la gestion des identités d’agents.

Le conteneur Microsoft Entra SDK encapsule Microsoft.Identity.Web en tant que service web déployé en tant que conteneur latéral. Utilisez cette option lorsque votre agent s'exécute sur Kubernetes et/ou n'est pas intégré à .NET. Pour plus d’informations, consultez Microsoft Entra SDK pour l’ID d’agent.

Microsoft Graph API fournissent la gestion des identités de l'agent lorsque les autres options ne correspondent pas à votre scénario. Pour plus d’informations, consultez Microsoft API Graph pour les blueprints d’identité d’agent.