Gestire l'infrastruttura dell'agente come amministratore di Microsoft Entra

In qualità di amministratore di Microsoft Entra, potrebbe essere necessario intervenire sugli agenti Microsoft Foundry nel tenant. Prima di procedere, è necessario comprendere che Foundry offre azioni di infrastruttura, non solo la governance del runtime. Quando si arresta o si elimina un agente, si opera su Azure risorse. Queste risorse potrebbero essere utilizzate da più tenant o team.

Questo articolo consente di:

Ottenere l'accesso necessario
Comprendere come le azioni del centro di amministrazione corrispondono alle operazioni delle risorse di Azure
Prendere decisioni informate su quando e come intervenire

Le linee guida qui sono incentrate sulla governance a livello di infrastruttura degli agenti costruiti con Foundry Agent Service come soluzione di fallback per situazioni che richiedono un'azione amministrativa diretta.

Importante

Preferisci sempre Interrompere piuttosto che Eliminare quando è necessario intervenire su un agente. L'interruzione è reversibile. L'azione di eliminazione rimuove definitivamente le risorse di Azure e può influire su altre entità.

Prerequisiti

Una delle assegnazioni di ruolo seguenti per Microsoft Entra:
- Microsoft Entra Global Administrator
- Microsoft Entra amministratore di intelligenza artificiale
Se l'organizzazione usa Privileged Identity Management (PIM), attivare l'assegnazione di ruolo prima di procedere.

Importante

Amministratori di intelligenza artificiale: non è possibile eseguire manualmente la procedura di elevazione dell'accesso . È necessario coordinarsi prima con il proprietario dell'agente, che può:

Eseguire le azioni dell'infrastruttura per conto dell'utente
Concedere le assegnazioni di ruolo necessarie Azure per le risorse specifiche

Se non è possibile identificare o raggiungere il proprietario dell'agente, coordinarsi con un amministratore globale come alternativa.

Comprendere il funzionamento dell'infrastruttura dell'agente

Gli agenti foundry vivono all'interno dei progetti. I progetti fanno parte di una risorsa account Foundry in una sottoscrizione Azure. Un progetto offre agli sviluppatori un'area di lavoro condivisa per compilare, testare e collaborare agli agenti. Ogni progetto ha una propria identità di calcolo, archiviazione e agente condiviso. All'interno di un singolo progetto possono esistere più agenti. Le azioni eseguite sul progetto influiscono su tutti gli agenti del progetto.

Gli sviluppatori creano agenti Foundry all'interno di un progetto. Ogni agente ottiene un'identità univoca e un endpoint per l'interazione. Foundry registra automaticamente ogni agente con il Registro di sistema di Agent 365 usando l'identità univoca dell'agente.

Gli agenti possono avere più versioni dell'agente man mano che gli sviluppatori eseguono l'iterazione e migliorano le funzionalità. Ogni versione rappresenta uno snapshot della configurazione e del comportamento dell'agente in un momento specifico.

Nota

Gli agenti prompt possono anche usare un endpoint comune che gestisce tutti gli agenti nel progetto. Gli agenti che eseguono in questo modo condividono l'infrastruttura e l'identità del progetto. Non usare gli endpoint del progetto per l'ambiente di produzione. Foundry non crea altre registrazioni in Agent 365 per gli endpoint di progetto o le identità del progetto.

Quando uno sviluppatore pubblica un agente, Foundry crea una risorsa dell'applicazione agente dedicata. Questa risorsa ha un proprio endpoint e un'identità di agente Entra. L'identità dell'applicazione è separata dalle singole identità degli agenti create in precedenza. Foundry registra anche l'applicazione nel Registro di sistema di Agent 365 usando l'identità univoca dell'applicazione.

Le applicazioni agent possono avere più distribuzioni di agenti. Ogni distribuzione fa riferimento a una versione dell'agente esistente come definizione.

Per una descrizione completa delle operazioni del ciclo di vita dell'agente, vedere Gestire gli agenti nel piano di controllo Foundry. Per altre informazioni sui concetti di Foundry a cui si fa riferimento in questa sezione, vedere:

Architettura Microsoft Foundry per il mapping tra le risorse di Foundry e quelle di Azure.
Concetti relativi alle identità degli agenti sul funzionamento delle identità degli agenti in Microsoft Entra ID.
Pianificare e gestire Foundry per l'organizzazione di sottoscrizioni e gruppi di risorse.

Azioni dell'infrastruttura e azioni dell'interfaccia di amministrazione

Le azioni disponibili nel piano di controllo Foundry sono operazioni di infrastruttura sulle risorse di Azure. Sono diversi dalle azioni Block e Unblock che potresti avere familiarità con Amministrazione Microsoft 365 Center.

Block actions in Amministrazione Microsoft 365 Center e Teams Admin Center influiscono sulla visibilità degli agenti agli utenti:

Scope: influisce solo sulla proiezione dell'agente in Teams e Microsoft 365 Copilot
Impatto: gli utenti non possono accedere all'agente tramite questi canali specifici
Foundry Access: l'agente rimane completamente funzionante nel portale di Foundry e in altri punti di integrazione
Infrastructure: nessun impatto sulle risorse Azure sottostanti o sul calcolo

Le azioni dell'infrastruttura nel piano di controllo Foundry influiscono sulle risorse sottostanti dell'agente:

Arrestare e avviare operano su singole distribuzioni deallocando o provvedendo al calcolo. Influiscono sull'infrastruttura di Azure sottostante e rendono l'agente non disponibile in tutti i canali (Teams, Microsoft 365 Copilot, Foundry, API).
Delete rimuove definitivamente le risorse Azure. Per gli agenti pubblicati, l'eliminazione include l'applicazione agente e le relative distribuzioni. Questa azione non può essere annullata.

Se un'applicazione agente svolge uno scenario multi-tenant, le azioni dell'infrastruttura influiscono su tutti i consumer di tale agente, non solo sugli utenti del tenant.

È sempre preferibile Interrompere rispetto a Cancellare. Fermare preserva l'opzione di riavviare successivamente. L'eliminazione dovrebbe essere un'ultima risorsa, usata solo dopo essersi coordinati con i proprietari delle risorse e aver verificato che l'agente non debba mai essere eseguito di nuovo.

Identificare il tipo di risorsa Foundry per un agente

Il Registro di sistema agent 365 mostra un inventario unificato degli agenti Foundry e delle applicazioni agente. Entrambi sono "agenti", ma hanno diverse funzionalità di gestione. Per conoscere le opzioni disponibili, è prima necessario identificare il tipo di risorsa Foundry che si sta gestendo.

Foundry registra entrambi i tipi con un ID risorsa di Foundry Azure:

Tipo di risorsa	Modello ID risorsa¹
Agente di Foundry	`.../projects/{project-name}/agents/{agent-name}`
Applicazione agent	`.../projects/{project-name}/applications/{application-name}`

¹ Il modello di ID risorsa completo viene omesso per brevità. Entrambi condividono un prefisso comune: /subscriptions/{sub-id}/resourceGroups/{group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/projects/{project-name}/.... Il differenziatore chiave è il segmento dopo il progetto: agents/{agent-name} o applications/{application-name}.

In Amministrazione Microsoft 365 Center è possibile trovare questi valori nella sezione "Dettagli piattaforma". L'interfaccia di amministrazione rileva automaticamente il tipo di risorsa. Per le applicazioni dell'agente, vengono visualizzati i pulsanti Arresta o Avvia o richiede l'elevazione dei privilegi se si è idonei.

Coordinarsi con i proprietari delle risorse

Gli agenti Foundry richiedono risorse Azure organizzate in sottoscrizioni, gruppi di risorse e progetti specifici. Tali risorse hanno proprietari. Prima di eseguire un'azione a livello di infrastruttura, identificare e collaborare con i proprietari quando possibile.

Quando coordinare e agire in modo indipendente

Situazione	Approccio consigliato
Violazione di criteri o minacce per la sicurezza attiva	Agire prima (arrestare l'agente), quindi inviare una notifica ai proprietari delle risorse.
Verifica di conformità di routine o rilievo dell'audit	Contattare i proprietari delle risorse e collaborare per la correzione.
Agente che utilizza risorse o costi imprevisti	Inviare una notifica ai proprietari delle risorse. Valutare la possibilità di arrestare l'agente solo se i costi sono critici e i proprietari non rispondono.
Comportamento errato dell'agente ma non rischio per la sicurezza	Contattare i proprietari delle risorse prima di intervenire. Arrestare solo se il comportamento è attivamente dannoso.

La governance dell'infrastruttura è una responsabilità condivisa. Gli amministratori globali hanno l'accesso per agire. I proprietari delle risorse hanno il contesto per comprendere l'impatto. Il coordinamento porta a risultati migliori.

Identificare i proprietari delle risorse

Per iniziare, controllare i proprietari elencati nei dettagli di registrazione dell'agente in Amministrazione Microsoft 365 Center. È anche possibile identificare proprietari e sponsor tramite gli oggetti Entra.

Se è possibile visualizzare le risorse di Azure (se non è possibile, vedere la sezione successiva), verificare quali utenti dispongono delle autorizzazioni per le risorse:

Nel portale Azure passare al gruppo di risorse che contiene il progetto Foundry dell'agente.
Selezionare Controllo di accesso (IAM)>Assegnazioni di ruolo per visualizzare chi dispone delle autorizzazioni per la risorsa.

Gli stakeholder delle risorse potrebbero avere molti ruoli diversi. I ruoli con privilegi come Proprietario o Collaboratore sono un buon segnale. Tuttavia, non tutti gli stakeholder hanno questi ruoli privilegiati.

Controllare il registro delle attività per la risorsa. Il log mostra chi ha eseguito le azioni di gestione di recente. Questo approccio consente di identificare i gestori delle risorse correnti, anche se non dispongono di assegnazioni di ruolo con privilegi.

Elevare l'accesso per gestire le sottoscrizioni Azure

Microsoft Entra ID e Azure usare sistemi di controllo di accesso separati. Il ruolo di amministratore non concede automaticamente l'accesso alle sottoscrizioni di Azure. Per visualizzare e gestire le risorse di Azure che supportano gli agenti Foundry, sono necessarie le assegnazioni di ruolo di Azure. Se non si dispone dei permessi appropriati, ottenere un accesso elevato.

La procedura di elevazione dei privilegi richiede il ruolo di amministratore globale. Gli amministratori di intelligenza artificiale devono coordinarsi con i proprietari degli agenti o gli amministratori globali. Per informazioni dettagliate, vedere Prerequisiti .

Elevazione assegna il ruolo Amministratore Accesso Utenti al livello radice (/). Questo ruolo offre visibilità su tutte le sottoscrizioni e i gruppi di gestione nel tenant.

Per la procedura completa, vedere Elevate l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione Azure.

Importante

Rimuovi il tuo accesso con privilegi elevati non appena finisci. L'elevazione nell'ambito radice è un'autorizzazione potente e viene applicato il principio dei privilegi minimi. Seguire la procedura di revoca dei privilegi al termine delle attività.

Se l'organizzazione usa PIM, disattivare l'assegnazione di ruolo Amministratore globale dopo aver rimosso l'interruttore di elevazione dei privilegi.

Rimuovere l'accesso con privilegi elevati

Al termine delle attività di amministrazione, rimuovere le autorizzazioni elevate in ordine inverso:

Rimuovi assegnazioni di ruolo Azure: rimuovi tutti i ruoli di Azure AI che ti sei autoassegnato (come il ruolo di Proprietario Azure AI) dai progetti specifici o dai gruppi di risorse di Foundry.

Azure portal:
1. Nel portale di Azure, vai alla risorsa in cui ti sei assegnato i ruoli.
2. Selezionare Controllo di accesso (IAM)>Assegnazioni di ruolo.
3. Trovare l'account utente nell'elenco delle assegnazioni di ruolo.
4. Selezionare l'assegnazione e scegliere Rimuovi.
interfaccia della riga di comando di Azure:
```
# List current role assignments to find the assignment ID
az role assignment list --assignee <your-email> --scope <resource-scope>

# Remove the specific role assignment
az role assignment delete --ids <assignment-id>
```
Rimuovere il ruolo Amministratore accesso utenti: rimuovere il ruolo Amministratore accesso utenti a livello radice dalla procedura di elevazione dei privilegi.

Azure portal:
1. Nel portale di Azure passare a Microsoft Entra ID>Properties.
2. In Gestione accesso alle risorse Azure, impostare l'interruttore su No.
3. Selezionare Salva.
interfaccia della riga di comando di Azure:
```
# Remove the User Access Administrator role at root scope
az role assignment delete \
  --assignee <your-email> \
  --role "User Access Administrator" \
  --scope "/"
```

Questo processo in due passaggi garantisce di rimuovere sia le autorizzazioni specifiche che ti sei concesso sia l'elevazione ampia che ha consentito tali concessioni.

Assegnare i ruoli appropriati

Dopo aver elevato l'accesso, assegnare a se stessi il ruolo minimo necessario per l'azione. Non rimanere al livello radice più a lungo del necessario.

Azione	Ruolo integrato minimo per gli oggetti dell'agente Foundry	Ruolo predefinito minimo per le applicazioni agent
Visualizza	Azure Utente di intelligenza artificiale (Il Lettore non è sufficiente)	Lettore
Arresta/Avvia	Non supportato	Proprietario di Azure AI
Elimina	Azure Utente di intelligenza artificiale	Proprietario di Azure AI

Assegnare ruoli nell'ambito più ristretto possibile. Per gli agenti Foundry, assegnare il ruolo solamente alla risorsa di progetto Foundry che si vuole usare. Per le applicazioni agente, assegnare il ruolo nell'ambito dell'applicazione. Se è sufficiente gestire gli agenti in un singolo gruppo di risorse, assegnare il ruolo nell'ambito del gruppo di risorse. Non assegnare questi ruoli a livello di sottoscrizione o di gruppo di gestione.

Se l'organizzazione usa PIM, è consigliabile creare assegnazioni idonee anziché quelle permanenti. Le assegnazioni idonee richiedono l'attivazione. Questo approccio crea un audit trail e applica i limiti di tempo.

Eseguire un'azione su un agente

Quando è necessario intervenire, scegliere l'azione meno distruttiva per la situazione. La scelta del tipo di azione e agente determina l'interfaccia usata per gestire l'agente. Usare le schede in ogni sezione per identificare l'interfaccia corretta per lo scenario.

Amministrazione Microsoft 365 Center include gli agenti Foundry nell'inventario completo dell'agente. È possibile arrestare e avviare le applicazioni agente direttamente dalla voce del Registro di sistema.

Tipo di agente	Azioni supportate in Amministrazione Microsoft 365 Center
Applicazioni dell'agente	Arresta, Avvia
Agenti della foundry	Nessuno: usare un'altra interfaccia

Il portale foundry fornisce un'interfaccia basata sul Web per la gestione delle risorse foundry.

Tipo di agente	Azioni supportate nel portale
Applicazioni dell'agente	Ferma, Avvia, Elimina
Agenti della foundry	Eliminazione (l'arresto e l'avvio non sono supportati)

L'API REST consente di gestire Foundry a livello di codice. Questo approccio è utile quando è necessario agire in più distribuzioni o automatizzare le operazioni del ciclo di vita.

Tipo di agente	Azioni supportate nel portale
Applicazioni dell'agente	Ferma, Avvia, Elimina
Agenti della foundry	Eliminazione (l'arresto e l'avvio non sono supportati)

Gli esempi usano az rest i comandi per semplificare l'autenticazione. Il modo più semplice per eseguire questi comandi è Azure Cloud Shell. Cloud Shell non richiede alcuna installazione e usa la sessione di accesso corrente Azure. Se si preferisce lavorare in locale, installare prima interfaccia della riga di comando di Azure e sign in.

Per ogni esempio di API REST, sostituire i valori segnaposto con la propria sottoscrizione, gruppo di risorse, account Foundry, progetto e altri nomi di risorse.

Arrestare un agente

L'arresto di un agente è l'approccio preferito per la maggior parte delle situazioni. Fermare disattiva l'agente senza eliminare le risorse. È possibile riavviare l'agente in un secondo momento.

Quando si apre la pagina dei dettagli dell'agente per un'applicazione dell'agente Foundry, Amministrazione Microsoft 365 Center verifica automaticamente se si dispone delle autorizzazioni necessarie per gestire l'agente. In questo caso, nella parte superiore della pagina è disponibile un pulsante Arresta o Avvia , in base allo stato corrente dell'applicazione. Se questi pulsanti non sono visualizzati ma sei un amministratore globale, seguire il prompt per elevare automaticamente i propri privilegi di accesso e assegnarsi il ruolo di proprietario dell'applicazione agente di Azure AI.

Se l'applicazione agente è attualmente in esecuzione, fare clic su Arresta per arrestarla. Questa azione arresta tutte le implementazioni dell'agente associate all'applicazione. L'applicazione agente e le relative distribuzioni esistono ancora. È possibile avviarli di nuovo in un secondo momento.

Quando si è pronti per avviare nuovamente l'applicazione agente, selezionare Avvia. Questa azione avvia la distribuzione più recente dell'applicazione agente. Se è necessario avviare altre distribuzioni, usare l'API REST.

Se hai elevato il tuo accesso, ricordati di rimuoverlo al termine.

Per interrompere completamente un'applicazione agente, è necessario interrompere ognuna delle sue implementazioni. L'arresto di una distribuzione dealloca le risorse di calcolo sottostanti, ma la distribuzione e l'applicazione esistono ancora e possono essere riavviate in un secondo momento.

Per prima cosa, elenca le distribuzioni per applicazione agente:

az rest --method get \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments?api-version=2025-10-01-preview"

Quindi, per ogni distribuzione, eseguire il comando stop:

az rest --method post \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}/stop?api-version=2025-10-01-preview"

Quando si è pronti per avviare nuovamente l'applicazione agente, è possibile avviare una distribuzione con questo comando:

az rest --method post \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}/start?api-version=2025-10-01-preview"

Eliminare un agente (ultima risorsa)

L'eliminazione rimuove definitivamente le risorse dell'agente e non può essere annullata. Prima di eliminare, verificare che nessun altro tenant o team dipenda dall'agente e verificare che i proprietari delle risorse accettino la rimozione permanente.

L'eliminazione degli agenti Foundry non è supportata in Amministrazione Microsoft 365 Center. Usare un'altra interfaccia per eliminare se veramente necessario.

Quando si usa il modello di applicazione agente, è possibile eliminare l'intera applicazione o le singole distribuzioni. L'eliminazione dell'applicazione rimuove tutte le distribuzioni e l'applicazione stessa. L'eliminazione di una distribuzione rimuove solo tale distribuzione, ma l'applicazione e altre distribuzioni rimangono.

Eliminare l'intera applicazione agente

Per eliminare l'intera applicazione agente, eseguire il comando seguente:

az rest --method delete \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}?api-version=2025-10-01-preview"

Attenzione

L'eliminazione di un'applicazione agente rimuove definitivamente la risorsa Azure e tutte le relative distribuzioni. Se l'agente gestisce più inquilini, questa azione li riguarda tutti. Prediligere sempre l'arresto di una distribuzione rispetto alla sua eliminazione.

Eliminare una distribuzione specifica all'interno di un'applicazione agente

Se si vuole eliminare una distribuzione specifica, ottenere prima di tutto il nome della distribuzione dall'elenco delle distribuzioni per l'applicazione:

az rest --method get \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments?api-version=2025-10-01-preview"

Eseguire quindi questo comando per eliminare la distribuzione:

az rest --method delete \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}?api-version=2025-10-01-preview"

Attenzione

L'eliminazione di una distribuzione rimuove definitivamente la risorsa Azure. Se il traffico dell'applicazione viene instradato a una distribuzione eliminata, i client visualizzano errori. Se l'agente gestisce più inquilini, questa azione li riguarda tutti. Prediligere sempre l'arresto di una distribuzione rispetto alla sua eliminazione.

Se si è certi di dover eliminare un agente Foundry, usare questo comando:

az rest --method delete \
  --resource "https://ai.azure.com/" \
  --uri "https://{accountName}.services.ai.azure.com/api/projects/{projectName}/agents/{agentName}?api-version=2025-11-15-preview"

Attenzione

L'eliminazione di un agente rimuove definitivamente la risorsa. Se l'agente gestisce più inquilini, questa azione li riguarda tutti. Prediligere sempre l'arresto di una distribuzione rispetto alla sua eliminazione.

Elevate l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure
Gestire agenti nel Foundry Control Plane
Che cos'è Microsoft Piano di controllo Foundry?
Concetti di identità dell'agente in Microsoft Foundry.
applicazioni Agente in Microsoft Foundry

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-05-01

Gestire l'infrastruttura dell'agente come amministratore di Microsoft Entra

Prerequisiti

Comprendere il funzionamento dell'infrastruttura dell'agente

Azioni dell'infrastruttura e azioni dell'interfaccia di amministrazione

Identificare il tipo di risorsa Foundry per un agente

Coordinarsi con i proprietari delle risorse

Quando coordinare e agire in modo indipendente

Identificare i proprietari delle risorse

Elevare l'accesso per gestire le sottoscrizioni Azure

Rimuovere l'accesso con privilegi elevati

Assegnare i ruoli appropriati

Eseguire un'azione su un agente

Arrestare un agente

Eliminare un agente (ultima risorsa)

Contenuto correlato

Commenti e suggerimenti

Risorse aggiuntive