Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Identifiant d’assistant Microsoft Entra fournit un ensemble centralisé d’outils pour la gestion des identités d’agent au sein de votre organisation. Les identités d’agent sont un type d’identité distinct dans Microsoft Entra ID, conçu pour les agents IA avec des contrôles de classification, de métadonnées et de sécurité adaptés aux charges de travail agentiques.
Cet article traite des tâches de gestion des agents clés : de l’affichage et de la désactivation des agents, à la gouvernance de l’accès, à l’activité de surveillance et à la réponse aux risques de sécurité. Que vous soyez administrateur responsable de la supervision de l’agent à l’échelle du locataire ou d’un sponsor gérant des agents spécifiques, ce guide fournit les informations dont vous avez besoin pour gérer efficacement les identités d’agent dans votre organisation.
Prerequisites
Différentes tâches de gestion nécessitent différents rôles et licences. Le tableau suivant récapitule les rôles dont vous avez besoin pour chaque zone de gestion des identités de l’agent.
| Tâche | Rôle requis | Remarques |
|---|---|---|
| Afficher les identités de l’agent | compte d’utilisateur Microsoft Entra | Aucun rôle d’administrateur n’est nécessaire pour l’affichage. |
| Gérer les identités d’agent | Administrateur d’ID d’agent ou administrateur d’application cloud | Les propriétaires d’identité d’agent peuvent gérer leurs propres agents sans ces rôles. |
| Créer des blueprints d’agent | Développeur Agent ID | L'utilisateur est ajouté en tant que propriétaire du blueprint et de son principal de service. |
| Configurer les stratégies d'accès conditionnel | Administrateur de l’accès conditionnel | Nécessite Microsoft Entra ID licence P1. |
| Afficher les rapports sur les risques liés à la protection des ID | Administrateur de sécurité, opérateur de sécurité ou lecteur de sécurité | Nécessite Microsoft Entra ID licence P2 pendant la préversion. |
| Configurer des flux de travail de cycle de vie | Administrateur de flux de travail de cycle de vie |
Afficher les identités de l’agent
Le centre d’administration Microsoft Entra fournit une interface centralisée pour afficher toutes les identités d’agent dans votre locataire. Vous pouvez rechercher, filtrer, trier et personnaliser des colonnes pour rechercher des agents spécifiques.
- Connectez-vous au centre d’administration Microsoft Entra.
- Accédez à Entra ID>Agents>Identités d'agent.
- Sélectionnez n’importe quelle identité d’agent pour afficher ses détails, notamment son nom, sa description, son état, ses propriétaires, ses sponsors, ses autorisations et ses journaux de connexion.
Pour rechercher un agent spécifique, entrez le nom ou l’ID d’objet dans la zone de recherche, ou ajoutez le filtre ID d’application blueprint . Vous pouvez personnaliser les colonnes affichées en sélectionnant le bouton Choisir des colonnes . Les colonnes disponibles incluent Nom, Créé le, État, ID d'objet, Accès en mode affichage, ID d'application Blueprint, Propriétaires et Sponsors et Utilisation de l'identité de l'agent.
Pour obtenir des instructions détaillées sur le filtrage, la personnalisation des colonnes et l’affichage des agents à partir de cette vue, consultez Afficher et filtrer les identités d’agent dans votre locataire.
Gérer les plans d’identité de l’agent
Les blueprints d’identité de l’agent sont les définitions parentes à partir desquelles des identités d’agent individuelles sont créées. Le Centre d’administration vous permet d’afficher tous les éléments principaux des plans, de gérer leurs autorisations et de surveiller leur activité.
- Connectez-vous au centre d’administration Microsoft Entra.
- Parcourez les plans>des agents>Entra ID.
- Sélectionnez n'importe quel principal de blueprint d'identité d'agent pour le gérer.
À partir de la page de gestion d’un blueprint, vous pouvez :
- Afficher les identités de l’agent lié : consultez toutes les identités d’agent enfant créées à partir de ce blueprint.
- Gérer l’accès au blueprint : afficher, gérer et révoquer les autorisations affectées au blueprint.
- Gérer les propriétaires et les commanditaires : les propriétaires gèrent l’administration technique, tandis que les commanditaires sont responsables des décisions relatives au but et au cycle de vie de l’agent.
- Afficher les journaux d’audit : suivi des modifications administratives pour la sécurité et la conformité.
- Afficher les journaux de connexion : surveiller les événements d’authentification.
- Désactivez le blueprint : sélectionnez Désactiver dans la barre de commandes.
Pour des instructions détaillées, veuillez consulter la section Afficher et gérer les blueprints d'identité d'agent dans votre locataire.
Configurer des autorisations héritées pour les blueprints
Les autorisations héritantes permettent aux identités d’agent d’hériter automatiquement des étendues d’autorisation déléguées OAuth 2.0 de leur blueprint parent. Lorsque vous configurez des autorisations héritées sur un blueprint, les identités d’agent nouvellement créées reçoivent un ensemble d’étendues de base sans nécessiter d’invites de consentement d’utilisateur ou d’administrateur interactives.
Deux modèles d’héritage sont pris en charge par application de ressource :
| Modèle | Description |
|---|---|
| Étendues énumérées | Héritez uniquement des périmètres explicitement listés. Utilisez pour un contrôle granulaire. |
| Toutes les étendues autorisées | Hérite de toutes les étendues déléguées disponibles pour l'application de ressource. Les étendues nouvellement accordées sur le plan sont automatiquement incluses. |
Commencez par des étendues énumérées en utilisant uniquement les autorisations essentielles, puis développez si nécessaire. Cette approche suit le principe du privilège minimum et facilite l’audit des autorisations que les agents utilisent réellement.
Limites clés :
- Maximum de 10 applications de ressources par blueprint.
- Pour les étendues énumérées, maximum de 40 étendues par application de ressource.
- Certaines étendues à privilèges élevés sont bloquées par la stratégie de plateforme et ne peuvent pas être héritées.
Les autorisations héritées sont configurées via la propriété de navigation inheritablePermissions sur la ressource d’application agentIdentityBlueprint à l’aide de Microsoft Graph. Pour obtenir des exemples d’API pas à pas (ajouter, mettre à jour, supprimer), consultez Configurer des autorisations héritées pour les blueprints d’identité de l’agent.
Contrôler l’accès de l’agent aux ressources
Les stratégies d’accès conditionnel fournissent des contrôles à l’échelle du locataire pour l’authentification d’identité de l’agent. Vous pouvez utiliser ces stratégies pour bloquer toutes les identités d’agent, autoriser uniquement des agents spécifiques ou bloquer les agents à risque en fonction des signaux de protection des ID.
Points clés sur l’accès conditionnel pour les identités d’agent :
- Les stratégies peuvent cibler Toutes les identités d'agent ou Tous les utilisateurs d'agent avec un contrôle d'octroi Bloquer.
- Les stratégies peuvent cibler toutes les ressources pour empêcher l’accès de l’agent au sein de votre organisation.
- Les conditions de risque de l’agent (haute, moyenne, faible) vous permettent de bloquer les agents en fonction des signaux de risque de la protection d’ID.
- Les stratégies prennent en charge le mode Rapport uniquement pour l’évaluation en toute sécurité avant l’application.
Important
L’application de l’accès conditionnel s’applique lorsqu’une identité d’agent ou le compte d’utilisateur de l’agent demande un jeton pour n’importe quelle ressource. Elle ne s’applique pas lorsqu’un blueprint d’identité d’agent acquiert un jeton pour créer des identités d’agent ou des comptes d’utilisateur de l’agent.
Pour obtenir des exemples détaillés de configuration de stratégie, des procédures pas à pas et des exemples de scénario métier, consultez l’accès conditionnel pour l’ID de l’agent.
Surveiller l’activité de l’agent
Journaux de connexion et d’audit
L’activité d'identité de l'agent est capturée dans les journaux d'audit et de connexion de Microsoft Entra :
- Les journaux d’audit enregistrent les événements liés à l’agent sous le type d’identité de base à partir duquel ils proviennent. Par exemple, la création d'un utilisateur d'identité d'agent apparaît comme une activité d'audit « Créer un utilisateur », et la création d'une identité d'agent apparaît comme « Créer un principal de service ».
-
Les journaux de connexion incluent le
agentSignIntype de ressource, qui fournit des propriétés sur l’agent et son comportement de connexion.
Pour consulter les journaux de connexion d'un agent :
- Connectez-vous au centre d'administration Microsoft Entra en tant qu'au moins un lecteur de rapports.
- Accédez à
Entra ID Surveillance & santé Journaux de connexion . - Utilisez les filtres suivants :
- Type d’agent : choisissez parmi Utilisateur d'ID d'agent, Identité de l'agent, Modèle d'identité de l'agent ou non agentique.
- Is Agent : Choisissez entre Non ou Oui.
Vous pouvez également récupérer les événements de connexion de l’agent à l’aide de Microsoft Graph :
GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'
Pour tous les détails sur les types de journaux et les méthodes d'accès, veuillez consulter la section Journaux Identifiant d’assistant Microsoft Entra.
Détecter et corriger le risque de l’agent
Protection d'identité pour les agents
Protection Microsoft Entra ID surveille les identités de l’agent pour un comportement anormal. Il détecte six types de risques hors connexion, notamment l’accès à des ressources inconnus, les pics de connexion et les tentatives d’accès ayant échoué. Les administrateurs peuvent passer en revue le rapport des agents à risque et prendre des mesures de réponse : confirmer la compromission, confirmer la sécurité, ignorer le risque ou désactiver l’agent.
Note
La protection d’ID pour les agents nécessite une licence Microsoft Entra ID P2 pendant la préversion.
Lorsque vous confirmez qu’un agent est compromis, le niveau de risque est défini sur Élevé. Si vous disposez d’une stratégie d’accès conditionnel configurée pour bloquer le risque élevé de l’agent, l’agent est automatiquement bloqué pour accéder aux ressources.
Pour obtenir la table de détection des risques complète, les actions de réponse, les détails API Graph et la procédure pas à pas du rapport, consultez Identity Protection pour les agents.
Répondre aux incidents de sécurité de l’agent
Lorsque l’activité de l’agent déclenche une détection de risque ou une préoccupation de sécurité, suivez cette séquence :
- Detect : passez en revue le rapport Risky Agents dans le centre d’administration Microsoft Entra. Les détections de risques sont visibles pendant jusqu’à 90 jours. Les détails incluent le nom complet de l’agent, l’état du risque, le niveau de risque, le type d’agent et les sponsors.
-
Répondre : Effectuez une action immédiate :
- Confirmer la compromission : définit le niveau de risque sur Élevé et déclenche les stratégies d'accès conditionnel basées sur les risques, configurées pour bloquer en cas de risque élevé de l'agent.
- Disable : empêche toutes les connexions entre les applications Microsoft Entra ID et connectées.
- Examiner : passez en revue les détails de la détection des risques, les journaux de connexion et les journaux d’audit pour comprendre l’étendue et l’impact.
-
Récupération: en fonction de votre enquête
- Si faux positif : ignorez le risque et réactivez l’agent.
- En cas de compromission avérée : effectuez une rotation des informations d'identification avant la réactivation, ou retirez l'identité d'agent.
Pour plus d’informations sur les types de risques, les mécanismes de détection et les actions de réponse, consultez Identity Protection pour les agents.
Régir les identités de l’agent et la supervision du sponsor
Responsabilités du sponsor
Chaque identité d’agent doit avoir un sponsor humain responsable du cycle de vie et des décisions d’accès. Les principaux comportements de gouvernance sont les suivants :
- Automatic sponsor transfer : Si un sponsor quitte l'organisation, Microsoft Entra ID réaffecte automatiquement le parrainage au responsable du sponsor.
- Notifications d’expiration : les sponsors reçoivent des notifications lorsque les affectations de package d’accès approchent de l’expiration. Les commanditaires peuvent demander une extension (qui déclenche un nouveau cycle d’approbation) ou laisser expirer les affectations.
- Parcours de demande d’accès : les packages d’accès peuvent être demandés via trois voies : la demande programmatique de l’agent, un sponsor pour le compte de l’agent ou une affectation directe d’administrateur.
Les packages d’accès peuvent accorder des appartenances aux groupes de sécurité, des autorisations d’API OAuth d’application (y compris des autorisations d’application Microsoft Graph) et des rôles Microsoft Entra.
Pour obtenir la vue d’ensemble de la gouvernance complète, notamment la configuration du package d’accès et les stratégies de sponsor, consultez Gouvernance des identités de l’agent.
Automatiser les notifications aux sponsors avec Lifecycle Workflows
Lifecycle Workflows fournit deux tâches automatisées pour le parrainage des identités d'agent :
- Envoyer un e-mail au responsable sur les modifications de parrainage
- Envoyer un e-mail aux cosponsors concernant les modifications de sponsor
Les deux tâches appartiennent à la catégorie mover and leaver : elles se déclenchent uniquement dans les modèles de workflow mover ou leaver, pas dans les modèles joiner. Cela garantit la continuité du parrainage lorsque le sponsor d’un agent modifie les rôles ou quitte l’organisation.
Pour une configuration étape par étape du workflow, veuillez consulter la section Tâches de sponsor d'identité d'agent dans Lifecycle Workflows.
Automatiser la gestion des agents à grande échelle
Pour les organisations gérant un grand nombre d’identités d’agent, les options suivantes sont disponibles :
- Désactivation de sélection multiple : le centre d’administration prend en charge la sélection de plusieurs identités d’agent à la fois et leur désactivation par lots à partir de la page Toutes les identités d’agent.
-
Microsoft API Graph : les points de terminaison d’identité de l’agent prennent en charge la gestion programmatique. Par exemple, ID Protection expose les collections
riskyAgentsetagentRiskDetectionspour la surveillance programmatique des risques.
Désactiver ou restreindre les identités d’agent
Les organisations peuvent contrôler l’utilisation de l’identité de l’agent à trois niveaux, selon l’étendue nécessaire :
| Étendue | Qu’est-ce que cela fait ? | Détails |
|---|---|---|
| Agent individuel | Désactivez une identité d’agent spécifique pour bloquer son accès et son émission de jeton. Les administrateurs utilisent le Centre d’administration ; propriétaires et commanditaires utilisent le portail Mon compte. | Afficher et filtrer les identités des agents dans votre espace de travail · Gérer les agents dans l’expérience utilisateur |
| Au niveau du blueprint | Désactivez un plan d'identité d'agent à partir de sa page de gestion. Cela empêche la création de nouvelles identités d’agent à partir de ce blueprint et bloque les identités existantes. | Afficher et gérer les blueprints d’identité de l’agent dans votre instance |
| À l'échelle du locataire | Bloquer toutes les authentifications d’identité de l’agent à l’aide de stratégies d’accès conditionnel et éventuellement bloquer la création de nouvelles identités d’agent via des contrôles spécifiques au produit (Microsoft Entra ID, Security Copilot, Copilot Studio, Azure AI Foundry, Microsoft Teams). | Désactiver les identités d'agent dans votre locataire |
Réactiver une identité d’agent désactivée, quel que soit le niveau, restaure l’accès et l’émission de jetons.
Avertissement
La désactivation globale des identités d’agent peut entraîner la défaillance des agents existants, dégrader l'expérience utilisateur des produits Microsoft et forcer les équipes à utiliser des identités d'application ou des identités principales de service moins transparentes. Évaluez l’impact avant de l’appliquer. Pour une approche partielle, utilisez des stratégies d’accès conditionnel pour bloquer des agents spécifiques plutôt que toutes les identités d’agent.