Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli amministratori che lavorano nella gestione delle identità e degli accessi e nella sicurezza necessitano di una chiara visibilità sul modo in cui le identità degli agenti di intelligenza artificiale vengono aggiunte a un tenant, sul modo in cui vengono aggiunte e sulle operazioni eseguite quando sono presenti. Questo articolo descrive i vari canali tramite cui è possibile creare le identità dell'agente nel tenant di Microsoft Entra, i ruoli e le autorizzazioni necessari per ogni canale e strategie per il monitoraggio e il controllo della creazione dell'identità dell'agente.
Panoramica dei canali di creazione
Gli schemi di identità dell'agente possono entrare nel tenant tramite più canali. Ogni canale implica diversi punti di monitoraggio e controllo:
| Canale | Attori tipici | Può essere controllato da |
|---|---|---|
| *Interfaccia di amministrazione di Microsoft Entra/portale di Azure | Sviluppatori, amministratori | Assegnazioni di ruolo |
| API di Microsoft Graph | Automazione, pipeline DevOps, servizi di integrazione | Concessioni di autorizzazioni di Microsoft Graph |
| Interfaccia della riga di comando, PowerShell, Infrastruttura come codice | DevOps, Amministratori | Assegnazioni di ruolo |
| *integrazioni di prodotti Microsoft | Utenti delle piattaforme microsoft agent | Controlli amministrativi per ogni prodotto |
| l'esperienza di consenso di Microsoft Entra ID | Dipendenti, membri dell'organizzazione | Criteri di consenso delle app |
- Indica un canale di esperienza gestita
Quando uno schema di identità agente viene aggiunto al tenant tramite una delle esperienze gestite, viene creato anche un oggetto principale dello schema di identità agente nel tenant. Al principale vengono assegnati privilegi per creare le identità e gli account utente degli agenti nel tenant. Se un modello di identità agente viene aggiunto tramite Microsoft API Graph, CLI, PowerShell o strumenti di Infrastructure as Code, la parte principale associata deve essere creata manualmente.
Oltre ai canali elencati nella tabella precedente, qualsiasi sistema con un'entità principale del progetto di identità dell'agente nel tenant diventa un canale per l'identità dell'agente e la creazione dell'account utente dell'agente:
| Canale | Attori tipici | Può essere controllato da |
|---|---|---|
| Principi del modello di identità dell'agente | agenti predefiniti Microsoft e agenti non Microsoft aggiunti al tenant | Autorizzazioni dell'applicazione Microsoft Entra |
Le sezioni seguenti forniscono altri dettagli su ognuno di questi canali.
Flussi di lavoro di creazione dell'identità dell'agente
La tabella seguente fornisce tre esempi di modi in cui le identità dell'agente vengono aggiunte a un tenant, usando uno dei canali descritti nelle sezioni precedenti.
| Integrato in Copilot Studio | Sviluppato dallo sviluppatore | Non sviluppato da Microsoft | |
|---|---|---|---|
| Origine dello schema dell'agent | Aggiunta automatica quando Copilot Studio è abilitato | Lo sviluppatore crea tramite l'interfaccia di amministrazione di Microsoft Entra | Aggiunta quando il dipendente acconsente all'agente |
| Chi crea l'agente | Dipendente in Copilot Studio | Sviluppatore tramite codice usando un progetto agente | Agente non-Microsoft (dopo il consenso/l'acquisto) |
| Creazione di identità | Copilot Studio crea un'identità utente all'interno del tenant | Il codice crea un'identità tramite Microsoft Graph | Agent crea un'identità tramite Microsoft Graph |
Centro di amministrazione di Microsoft Entra, Microsoft Graph e strumenti CLI
Agli sviluppatori e ad altri membri dell'organizzazione possono essere concessi i diritti per creare progetti di identità agente tramite l'interfaccia di amministrazione di Microsoft Entra, il portale di Azure, Microsoft Graph, PowerShell/CLI, i modelli Bicep/ARM e altri strumenti. Questi strumenti creano tutti progetti di identità agente chiamando le API Microsoft Graph.
La creazione di un progetto di identità agente con questi strumenti richiede una delle autorizzazioni seguenti:
| Scenario | Autorizzazioni necessarie |
|---|---|
| L'utente crea un modello tramite l'interfaccia di amministrazione di Microsoft Entra, CLI | L'utente deve essere assegnato ai ruoli ID agente sviluppatore o ID agente amministratore. |
| Il client crea un progetto tramite Microsoft Graph, usando autorizzazioni delegate | L'utente deve avere i ruoli indicati nella riga precedente. Al client deve essere concessa almeno l'autorizzazione delegata AgentIdentityBlueprint.Create. |
| Il client crea un progetto tramite Microsoft Graph, usando le autorizzazioni dell'applicazione | Al cliente deve essere concessa l'autorizzazione AgentIdentityBlueprint.Create dell'applicazione. |
La creazione di un'identità agente con questi strumenti richiede una delle autorizzazioni seguenti:
| Scenario | Autorizzazioni necessarie |
|---|---|
| L'utente crea l'identità dell'agente tramite Interfaccia di amministrazione di Microsoft Entra, Microsoft Graph o PowerShell/CLI | All'utente deve essere assegnato il ruolo Agente ID Sviluppatore, Amministratore ID agente o Amministratore di intelligenza artificiale . |
| Il client crea l'identità dell'agente tramite Microsoft Graph, usando autorizzazioni delegate | All'utente deve essere assegnato il ruolo di amministratore ID agente . A un client deve essere concessa l'autorizzazione delegata AgentIdentity.Create.All o AgentIdentity.ReadWrite.Al. |
| Il client crea l'identità dell'agente tramite Microsoft Graph, usando autorizzazioni delegate | L'utente deve essere un proprietario del modello di identità dell'agente o del principale del modello di identità dell'agente (i proprietari aggiunti in qualsiasi momento dispongono di questa autorizzazione). Al client deve essere concessa l'autorizzazione delegata AgentIdentity.Create.All, AgentIdentity.ReadWrite.All o AgentIdentity.ReadWrite.ManagedBy. Non è necessario alcun ruolo identificativo agente. |
| Il client crea l'identità dell'agente tramite Microsoft Graph, usando le autorizzazioni dell'applicazione | Al client deve essere concessa l'autorizzazione dell'applicazione AgentIdentity.Create.All . |
La creazione di un account utente di un agente con questi strumenti richiede una delle autorizzazioni seguenti:
| Scenario | Autorizzazioni necessarie |
|---|---|
| L'utente crea l'account utente dell'agente tramite Interfaccia di amministrazione di Microsoft Entra, Microsoft Graph o PowerShell/CLI | All'utente deve essere assegnato il ruolo Amministratore ID agente o Amministratore utenti . |
| Il client crea l'account utente dell'agente tramite Microsoft Graph, usando autorizzazioni delegate | L'utente deve avere i ruoli nella riga precedente. Al cliente deve essere concessa l'autorizzazione delegata AgentIdUser.ReadWrite.All. |
| Il client crea l'account utente dell'agente tramite Microsoft Graph, usando le autorizzazioni dell'applicazione | Al client deve essere concessa l'autorizzazione dell'applicazione AgentIdUser.ReadWrite.All . |
Gli amministratori possono controllare la creazione dell'identità dell'agente tramite questi canali vincolando gli utenti e i client a cui sono assegnate le autorizzazioni nella tabella precedente. Per altre informazioni, vedere Informazioni di riferimento sulle autorizzazioni di identità dell'agente.
Integrazioni dei prodotti Microsoft
I dipendenti possono creare agenti tramite molti prodotti Microsoft. Questi prodotti sono integrati con Microsoft Entra Agent Identity Platform e possono creare progetti di identità agente, identità agente e account utente degli agenti nei tenant. I prodotti Microsoft integrati con l'ID agente Microsoft Entra includono:
| Prodotto | Documentazione |
|---|---|
| Microsoft Copilot Studio | Documentazione di Copilot Studio |
| Copilota Sicurezza di Microsoft | Documentazione di Security Copilot |
| Azure AI Foundry | documentazione di Azure AI Foundry |
Gli amministratori possono controllare la creazione dell'identità dell'agente tramite questi canali usando gli strumenti di amministrazione per ogni rispettivo prodotto.
Esperienza di consenso di Microsoft Entra ID
Quando gli utenti accedono per la prima volta agli agenti di terze parti, l'esperienza di accesso di Microsoft Entra ID visualizza una pagina di "consenso" all'utente. La pagina di consenso consente al dipendente di aggiungere l'agente al tenant, che comporta la creazione di un'entità progetto di identità agente.
Principi del modello di identità dell'agente
Dopo aver creato un'entità progetto di identità agente nel tenant, all'entità di sicurezza vengono assegnati privilegi per creare identità agente e account utente degli agenti. Il principale può anche aggiornare ed eliminare qualsiasi delle identità create da esso. Nella tabella seguente vengono descritte le autorizzazioni che è possibile assegnare a queste entità:
| Entità | Autorizzazione | Comments |
|---|---|---|
| Identità dell'agente |
AgentIdentity.CreateAsManager (autorizzazione dell'applicazione) |
Questa autorizzazione viene concessa automaticamente a qualsiasi principale modello di identità agente nel tenant. Consente al principal di creare identità di agenti, aggiornare ed eliminare le identità di agenti che esso crea. Questa autorizzazione non può essere revocata. Per impedire a un principale di creare identità di agenti, è necessario disabilitarlo o rimuovere il principale dal tenant. I Principali sono limitati a un massimo di 250 creazioni di identità agenti. |
| Account utente dell'agente |
AgentIdUser.ReadWrite.IdentityParentedBy (autorizzazione dell'applicazione) |
Un amministratore di Microsoft Entra ID deve concedere questa autorizzazione a un'entità progetto di identità agente. Una volta concesso, il principale può creare gli account utente degli agenti e aggiornare ed eliminare qualsiasi utente che ha creato. L'autorizzazione può essere revocata. |
Gli amministratori possono controllare la creazione dell'identità dell'agente tramite questo canale limitando i modelli di identità dell'agente aggiunti al tenant come principali di modello di identità dell'agente. Per altre informazioni su queste autorizzazioni, vedere Informazioni di riferimento sulle autorizzazioni di identità dell'agente.
Verifica e monitoraggio della creazione di identità degli agenti
Tutte le creazioni di identità degli agenti vengono registrate nei log di controllo di Microsoft Entra. Usando i log di controllo, è possibile determinare quale canale è stato utilizzato per creare un modello di identità dell'agente, un principale del modello di identità dell'agente, un'identità dell'agente o l'account utente dell'agente.
| Obiettivo | Come implementare | Attrezzature/Origine |
|---|---|---|
| Rilevare le creazioni di nuove identità di agente | Sottoscrivi agli eventi di controllo con filtro sul tipo di oggetto identità agente o sulle operazioni di creazione | Log di controllo di Microsoft Entra |
| Inventario di tutte le identità dell'agente | Usare le API Di Microsoft Graph per eseguire query su tutti gli oggetti Identity dell'agente in base al tipo di oggetto. | Documentazione di Microsoft Graph |