Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’identité de l’assistant est un concept fondamental dans le kit de développement logiciel (SDK) Microsoft Agent 365. Chaque agent a sa propre identité d’entreprise unique et persistante, distincte des utilisateurs humains ou des inscriptions d’applications génériques. Cette identité donne les privilèges de l’agent, l’authentification, les rôles et les fonctionnalités de conformité similaires à un employé humain.
Comprendre les composants d’identité de l’assistant
Lorsque vous inscrivez un assistant auprès de Microsoft Agent 365, trois composants clés fonctionnent ensemble pour fournir à votre assistant son identité :
Plan de l'agent (application agentique)
Le blueprint de l’assistant définit l’identité, les autorisations et les exigences d’infrastructure de l’assistant. Il sert de modèle pour créer des instances d’assistant et inclut :
- inscription d’application Microsoft Entra
- Autorisations d'API requises (étendues de Microsoft Graph)
- Configuration de l’authentification
- Définitions de ressources (Plan de service de l’application, Application web)
Instance de l’agent
Une instance d’agent représente un déploiement spécifique de votre blueprint d’agent. Chaque instance a :
- ID d’agent Microsoft Entra ID unique
- Un principal de service pour l’authentification
- Configuration spécifique à l’instance
- Identifiants d'identité fédérés pour intégration dans Teams
Utilisateur de l’agent
Un utilisateur d'agent est l’identité opérationnelle qui apparaît dans votre organisation. Les utilisateurs de l’agent sont un sous-type spécialisé d’identité utilisateur conçu spécifiquement pour les agents. Les concepts clés dont vous avez besoin pour comprendre les utilisateurs de l’agent sont leurs caractéristiques d’identité, l’intégration de l’organisation, le modèle de relation et le cycle de vie.
Caractéristiques d’identité
Les utilisateurs de l’agent ont des propriétés d’identité distinctes qui les différencient des comptes d’utilisateur traditionnels :
- Marqué comme associé à l'agence dans le répertoire
- Reçoit des jetons avec
idtyp=user(type d’identité utilisateur) - Possède un ID utilisateur d’agent unique (ID d’objet) distinct de l’instance de l’agent parent
- Impossible d’avoir des identifiants traditionnels (mots de passe, clés d'accès, facteurs d'authentification multifacteur)
- Doit être créé via un appel d’API explicite à partir de l’instance de l’assistant parent
- A un lien immuable vers son instance de l’agent parent (ne peut pas être re-parenté)
Intégration organisationnelle
Les utilisateurs de l’agent fonctionnent en tant que membres complets de votre organisation Microsoft 365 avec les fonctionnalités suivantes :
- Sont synchronisés avec votre répertoire de locataire Microsoft 365
- Des licences peuvent être attribuées (Microsoft 365 E5, Teams Enterprise, Copilot)
- Ils ont leur propre boîte aux lettres et stockage OneDrive (en fonction des licences)
- S’affichent dans le graphique organisationnel et les fiches individuelles
- Peut être @mentioned dans Teams, dans des documents et dans d’autres applications Microsoft 365
- Avoir son propre nom de principal unique (par exemple,
agent@yourtenant.onmicrosoft.com)
Modèle de relation
La connexion entre les instances de l’agent et les utilisateurs de l’agent suit un modèle parent-enfant strict :
- Chaque instance d’agent peut avoir au plus un utilisateur enfant d’agent
- L’utilisateur de l’agent stocke une référence à son instance d’agent parent
- L’instance de l’agent parent conserve une référence à son utilisateur d’agent enfant (le cas échéant)
- Cette relation bidirectionnelle permet une gestion et un audit de cycle de vie appropriés
Cycle de vie
Les utilisateurs de l’agent sont conçus pour une disponibilité immédiate avec nettoyage automatique lorsqu’ils n’ont plus besoin :
Prendre en charge la fonctionnalité instant-on et peut être utilisée immédiatement après la création.
Note
Le provisionnement des ressources pour les utilisateurs de l’agent (boîte aux lettres, OneDrive) peut prendre jusqu’à 24 heures après l’attribution de licence, bien qu’il se termine généralement dans les 10 à 15 minutes.
Si l’instance de l’agent parent est supprimée, l’utilisateur de l’agent enfant est également supprimé
La relation entre l’instance de l’agent et l’utilisateur de l’agent est immuable et ne peut pas être modifiée
Important
Les utilisateurs de l’agent nécessitent des licences Microsoft 365 appropriées pour accéder aux services tels que Teams, e-mail, calendrier, SharePoint et OneDrive. Les licences courantes incluent Microsoft 365 E5, Teams Enterprise et Microsoft 365 Copilot. Après l’attribution de licences, le provisionnement de ressources (boîte aux lettres, OneDrive) se termine généralement dans les 10 à 15 minutes, mais peut prendre jusqu’à 24 heures dans certains cas.
Contrôle d’accès et autorisations
Gérez les autorisations d’agent à plusieurs niveaux pour fournir un contrôle granulaire sur les droits d’accès et les fonctionnalités.
Autorisations par défaut
Les utilisateurs de l’agent ont des caractéristiques d’autorisation spécifiques :
- Gérer via des stratégies d’accès conditionnel
- Exempt des exigences de l’authentification multifacteur (car elles ne peuvent pas avoir de facteurs d’authentification traditionnels)
- Ajouter aux groupes Entra ID, notamment le groupe All Agent Users
- Contrôler l’accès aux ressources via des autorisations explicites et des licences
Gestion des autorisations
Définissez des autorisations à différents niveaux :
- Niveau de blueprint de l’assistant : définit les autorisations de base pour toutes les instances
- Niveau de l’instance de l’assistant : autorisations spécifiques pour l’identité de l’assistant
- Niveau utilisateur de l’agent - Autorisations et droits d’accès spécifiques à l’utilisateur
Conseil
Pour les agents avec des identités utilisateur d’agent, utilisez principalement l’identité utilisateur de l’agent pour l’accès aux ressources. Cette pratique fournit un comportement cohérent de type utilisateur entre les services Microsoft 365.
Flux d’authentification
Microsoft Agent 365 prend en charge deux flux d’authentification pour les agents, alimentés par Microsoft Entra ID d’agent.
Authentification de l’identité de l’assistant
Permet à un assistant d’agir avec sa propre identité.
Dans ce flux :
- L’agent s’authentifie à l’aide de ses propres informations d’identification (informations d’identification du blueprint de l’agent).
- L’agent fonctionne indépendamment avec ses propres autorisations affectées.
- L’agent a sa propre identité, distincte de n’importe quel utilisateur.
- Ce flux est idéal pour les opérations d’agent autonomes qui ne nécessitent pas de contexte utilisateur.
Cas d’usage :
- Opérations d’agent autonome (tâches planifiées, surveillance).
- Envoi d’e-mails ou création de réunions à partir de la boîte aux lettres de l’agent.
- Création et gestion des ressources appartenant à l’agent.
- Traitement en arrière-plan sans interaction utilisateur.
Flux d'autorisation pour le compte de (OBO)
Permet à un assistant d’agir pour le compte d’un utilisateur.
Dans ce flux :
- L’agent reçoit le jeton délégué d’un utilisateur.
- L’agent échange ce jeton pour effectuer des actions comme si l’utilisateur les exécute.
- L’agent fonctionne avec les autorisations et le contexte de l’utilisateur.
- Ce flux est idéal pour les scénarios où l’agent doit accéder aux ressources avec des autorisations spécifiques à l’utilisateur.
- Fournit un audit fort lorsque l’identité de l’agent est utilisée dans les flux réactifs.
Cas d’usage :
- Accès aux données spécifiques à l’utilisateur (e-mails, calendrier, fichiers).
- Exécution d’actions qui nécessitent le consentement de l’utilisateur.
- Scénarios dans lesquels le contexte utilisateur et les autorisations sont requis.