Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si elimina un modello di identità agente o la relativa matrice, Microsoft Entra ripulisce automaticamente tutte le identità degli agenti subordinati e gli account utente degli agenti con un processo di pulizia a cascata. Non è necessario eseguire manualmente query ed eliminare ognuna di esse. Comprendere quando e come viene eseguita la pulizia a catena consente di pianificare il ripristino, se necessario.
Gli schemi di identità dell'agente e gli oggetti associati seguono lo stesso comportamento di eliminazione temporanea e eliminazione permanente delle altre registrazioni dell'app e dei principali del servizio in Microsoft Entra. Per una panoramica completa di questo processo, vedere Domande frequenti su eliminazione e ripristino delle applicazioni. Questo articolo è incentrato su ciò che è univoco per l'eliminazione dell'identità dell'agente.
Relazioni tra oggetti
Gli oggetti seguenti sono coinvolti nel ciclo di vita dell'eliminazione dell'identità dell'agente. Il processo di pulizia a catena si basa su queste relazioni.
| Oggetto | Tipo di oggetto directory | Relazione |
|---|---|---|
| Progetto di identità dell'agente | Domanda di lavoro | Padre del principale modello |
| Modello principale dell'identità dell'agente | Service Principal | L'elemento principale per il progetto di riferimento |
| Identità agente | Service Principal | Figlio dell'entità progetto |
| Account utente dell'agente | Utente | Associazione 1:1 con un'identità di agente |
Disabilitare o eliminare
Prima di eliminare un progetto, valutare se disabilitare è invece l'azione corretta.
- Disabilita: impedisce al principale del blueprint o alle sue identità di agente di autenticarsi, ma mantiene tutti gli oggetti inalterati. Usare questa opzione quando si vuole arrestare temporaneamente l'attività dell'agente, analizzare un problema o rimuovere gradualmente gli agenti. Gli oggetti rimangono nella directory e contribuiscono alla quota.
- Elimina: rimuove il progetto di identità dell'agente o l'entità del progetto di identità dell'agente dalla directory e attiva la pulizia a catena delle identità dell'agente figlio. Usare questa opzione quando si ritira definitivamente un progetto e tutti gli agenti creati da esso. L'eliminazione non può essere annullata dopo la scadenza della finestra di eliminazione temporanea di 30 giorni.
Per informazioni sulla disabilitazione delle identità dell'agente, vedere Disabilitare le identità dell'agente.
Pulizia a cascata
Quando si elimina un modello di identità agente o il principale del modello di identità agente, Microsoft Entra elimina automaticamente tutte le identità figlio degli agenti associate e gli account utente degli agenti. Questa pulizia è asincrona.
Il processo a catena funziona nel modo seguente:
- Elimini il blueprint identità agente o blueprint principale dell'identità dell'agente: l'oggetto viene eliminato temporaneamente e viene spostato nel Cestino.
- Microsoft Entra attiva la pulizia automatica: un'attività in background elimina definitivamente tutte le identità dell'agente figlio e gli account utente degli agenti associati al progetto eliminato.
- Gli oggetti sono ripristinabili per 30 giorni: gli oggetti eliminati parzialmente possono essere ripristinati entro 30 giorni. Successivamente, vengono eliminati definitivamente.
Important
Se si ripristina il modello di identità dell'agente prima dell'esecuzione della pulizia in background, le identità dell'agente figlio non sono influenzate. Dopo l'esecuzione della pulizia, ogni identità figlio deve essere ripristinata singolarmente. Il ripristino dello schema dell'identità dell'agente non annulla le eliminazioni a cascata già avvenute.
Valutazioni sugli oggetti orfani e sulle quote
Quando un'entità progetto identità agente viene eliminata definitivamente, tutte le identità degli agenti associati e gli account utente degli agenti che non sono stati eliminati diventano oggetti orfani e diventano eliminati temporaneamente. Gli oggetti orfani non possono eseguire l'autenticazione, ma continuano a contribuire al consumo della quota directory fino a quando non vengono eliminati definitivamente dopo la scadenza del periodo di conservazione di 30 giorni.
L'eliminazione dell'identità dell'agente segue le stesse regole di quota degli altri oggetti Microsoft Entra. Gli oggetti eliminati temporaneamente continuano a essere conteggiati per i limiti di quota fino a quando non vengono eliminati definitivamente. Per informazioni generali sulla quota, vedere Microsoft Entra limiti e restrizioni del servizio.
Una considerazione specifica per le identità degli agenti: se si utilizzano autorizzazioni solo per app e si raggiunge il limite di 250 identità per un agente in un modello, l'eliminazione di un'identità dell'agente non libera spazio fino a quando non viene eliminata definitivamente. Per impostazione predefinita, l'eliminazione permanente viene eseguita automaticamente dopo la scadenza del periodo di conservazione di 30 giorni. Se è necessario liberare immediatamente la quota, è possibile forzare l'eliminazione permanente delle identità dell'agente eliminate temporaneamente. Per i passaggi, vedere Eliminare definitivamente gli oggetti Identity dell'agente. Anche i modelli di identità degli agenti rispettano questo limite di 250 quando si utilizzano autorizzazioni solo per app.