Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si compila un progetto di identità agente, sono disponibili due configurazioni relative alle autorizzazioni chiave: l'accesso alle risorse necessario e le autorizzazioni ereditabili. Queste configurazioni lavorano insieme per definire di cosa ha bisogno un agente, cosa esaminano gli amministratori durante il consenso e come le autorizzazioni fluiscono verso le identità dell'agente.
Comprendere la relazione tra queste configurazioni e come influiscono sull'autorizzazione è essenziale per gli sviluppatori che progettano progetti di agenti e amministratori che eseguono l'onboarding degli agenti nelle organizzazioni.
Accesso necessario alle risorse
L'accesso alle risorse richiesto è la dichiarazione iniziale del progetto di identità dell'agente delle API e delle autorizzazioni necessarie per il funzionamento delle identità dell'agente figlio del progetto. Viene espresso come un insieme di applicazioni delle risorse di destinazione, e gli ambiti delegati e ruoli dell'applicazione specifici richiesti dall'agente.
L'accesso alle risorse richiesto funge da elenco di autorizzazioni di consenso statico dell'agente. Quando un amministratore tenant esamina l'agente per l'approvazione, questo elenco rende esplicita e verificabile la decisione di consenso. Risponde alla domanda: "Di cosa ha bisogno questo agente per funzionare?"
Il consenso dinamico può comunque concedere autorizzazioni ereditate quando l'autorizzazione viene richiesta in modo esplicito e l'app per le risorse è configurata come ereditabile. Tuttavia, le autorizzazioni richieste in modo dinamico non sono visibili in anticipo, a meno che non vengano dichiarate anche nell'accesso alle risorse necessarie.
Caratteristiche chiave dell'accesso alle risorse necessarie:
- Dichiara il set di base di autorizzazioni necessarie per l'esperienza iniziale dell'agente.
- È visibile agli amministratori del tenant durante il processo di consenso e di onboarding.
- Dichiarazione, non concessione di autorizzazioni. L'autorizzazione richiede il consenso dell'amministratore.
Autorizzazioni ereditabili
Le autorizzazioni ereditabili sono un elenco di app per le risorse configurate in un progetto di identità agente che definisce quali autorizzazioni possono essere ereditate automaticamente dalle identità dell'agente create da tale progetto. Quando un amministratore concede le autorizzazioni al principale modello di identità dell'agente e tali autorizzazioni provengono dalle applicazioni risorsa elencate come ereditabili, tutte le identità dell'agente presenti e future create da quel modello nell'organizzazione ricevono automaticamente tali autorizzazioni insieme ai loro token.
Le autorizzazioni ereditabili affrontano una sfida comune nella distribuzione: quando si hanno diverse istanze dello stesso agente in diversi ambienti o unità aziendali, non si vuole che gli amministratori debbano dare il consenso di nuovo per le stesse autorizzazioni su ogni identità dell'agente. Le autorizzazioni ereditabili consentono all'amministratore di approvare una sola volta a livello di progetto e di applicare automaticamente l'approvazione.
Due condizioni per l'ereditarietà
Affinché un'autorizzazione venga ereditata da un'identità dell'agente, è necessario soddisfare entrambe le condizioni seguenti:
- Gli ambiti delle risorse, i ruoli o entrambi devono essere elencati nella configurazione delle autorizzazioni ereditabili nel progetto di identità dell'agente.
-
L'autorizzazione deve essere concessa con:
- consenso statico usando l'accesso alle risorse richiesto o
- consenso dinamico con le autorizzazioni dichiarate in modo esplicito nella richiesta di consenso.
Se una delle due condizioni non è presente, l'ereditarietà non si verifica.
Quali autorizzazioni ereditabili includono
Le autorizzazioni ereditabili supportano entrambi:
-
Ambiti delegati: vengono visualizzati nell'attestazione del token
scpdi accesso all'autorizzazione dell'applicazione delegata dell'agente. -
Ruoli applicazione: vengono visualizzati nell'attestazione del token
rolesdi autorizzazione dell'applicazione dell'agente.
Schemi di ereditarietà
I modelli seguenti sono supportati per ogni app per risorsa:
| Modello | Description |
|---|---|
| Tutti consentiti | Ereditare tutti gli ambiti delegati o i ruoli applicazione disponibili per l'app per le risorse specificata. Gli ambiti o i ruoli appena concessi nell'entità di progetto vengono inclusi automaticamente. |
| Nessuno | Non ereditare alcun ambito o ruolo per l'applicazione di risorse specificata. Usare questo modello per disabilitare in modo esplicito l'ereditarietà per ambiti o ruoli in modo indipendente. |
È possibile configurare gli ambiti e i ruoli in modo indipendente nella stessa app per le risorse. Ad esempio, è possibile ereditare tutti gli ambiti mentre non si ereditano ruoli, o viceversa.
Dichiarazione, concessione ed ereditarietà
L'accesso alle risorse richiesto e le autorizzazioni ereditabili sono configurazioni: non concedono alcuna autorizzazione da soli. È importante comprendere la distinzione tra ciò che viene dichiarato, ciò che viene concesso e ciò che viene ereditato.
| Livello | Che cos'è | Chi lo controlla | Effetto |
|---|---|---|---|
| Accesso necessario alle risorse | Elenco di API e autorizzazioni necessarie per il funzionamento dell'agente | Sviluppatore (nel progetto) | Visibile agli amministratori durante la revisione del consenso. Non concede l'accesso. |
| Autorizzazioni ereditabili | Elenco di app di risorse idonee per l'ereditarietà | Sviluppatore (nel progetto) | Definisce quali app di risorse possono avere il flusso di autorizzazioni verso le identità degli agenti. Non concede l'accesso. |
| Consenso nell'entità progetto | Autorizzazioni concesse da un amministratore all'entità progetto in un tenant | Amministratore del locatario | Concede l'autorizzazione. Se l'app per le risorse è elencata anche come ereditabile, il permesso si applica a tutte le identità dell'agente. |
| Consenso dell'utente o dell'agente sull'identità dell'agente | Autorizzazioni concesse direttamente a una specifica identità dell'agente | Amministratore del locatario | Concede l’autorizzazione solo ed esclusivamente per quella specifica identità dell'agente. |
| Autorizzazioni valide nel token | Insieme combinato di permessi ereditati + concessi direttamente | Piattaforma (in fase di rilascio dei token) | Cosa l'identità dell'agente può effettivamente fare in fase di esecuzione. |
Note
Le autorizzazioni ereditate non sono visibili come autorizzazioni per le identità dell'agente nel Interfaccia di amministrazione di Microsoft Entra o tramite Microsoft Graph. Sono osservabili solo nel contenuto del token in fase di esecuzione. La piattaforma unisce le autorizzazioni ereditate e concesse direttamente durante il rilascio dei token.
Guida rapida alla configurazione delle autorizzazioni
Usare queste regole rapide:
- Il consenso statico a livello di progetto dipende dall'autorizzazione in uso nell'accesso alle risorse richiesto.
- Il consenso dinamico a livello di progetto può funzionare anche quando l'autorizzazione non è nell'accesso alle risorse richiesto, ma l'autorizzazione deve essere richiesta in modo esplicito.
- L'ereditarietà delle identità degli agenti dipende dal fatto che l'app di risorse sia configurata come ereditabile.
- La visibilità iniziale dipende dal fatto che l'autorizzazione sia nell'accesso alle risorse richiesto.
Consenso statico (progetto principale)
| Autorizzazione nell'accesso alle risorse richiesto? | L'applicazione di risorse è ereditabile? | Ereditato dalle identità degli agenti? | Visibile agli amministratori in anticipo? |
|---|---|---|---|
| Sì | Sì | Sì | Sì |
| Sì | No | No | Sì |
| No | Sì | No | No |
| No | No | No | No |
Consenso dinamico (principale progetto, permesso richiesto esplicitamente)
| Autorizzazione nell'accesso alle risorse richiesto? | L'app delle risorse è ereditabile? | Ereditato dalle identità di agente? | Visibile agli amministratori in anticipo? |
|---|---|---|---|
| Sì | Sì | Sì | Sì |
| Sì | No | No | Sì |
| No | Sì | Sì | No |
| No | No | No | No |
Il consenso diretto per un'identità agente rimane disponibile in tutti i casi, ma tali concessioni si applicano solo all'identità dell'agente specifica.
Procedure consigliate
Quando si configura l'accesso alle risorse necessarie e le autorizzazioni ereditarie per i blueprint dell'agente, bilancia la sicurezza, l'usabilità e la scalabilità futura.
Ridurre al minimo le autorizzazioni iniziali. Includere solo l'accesso alle risorse essenziale per la funzionalità di base dell'agente nell'accesso alle risorse richiesto. La richiesta di autorizzazioni non necessarie durante l'installazione aumenta l'attrito e riduce l'attendibilità con gli amministratori tenant.
Predeclare potenziali autorizzazioni future. Specificare le applicazioni di risorse che potrebbero essere necessarie per le future funzionalità dell'agente nell'elenco delle autorizzazioni ereditabili. Questa trasparenza consente agli amministratori di prevedere le future richieste di consenso e di semplificare le distribuzioni tra ambienti.
Usare le autorizzazioni ereditabili per la riutilizzabilità. Usare le autorizzazioni ereditabili per consentire agli amministratori di concedere il consenso una sola volta a livello di progetto e applicare automaticamente tale approvazione a tutte le identità dell'agente, incluse più distribuzioni e ambienti. Se si prevede di richiedere un'autorizzazione, è consigliabile rendere ereditabile anche l'app per le risorse, in modo che gli amministratori non devono concederla singolarmente a ogni identità dell'agente.
Mantenere la governance semplice e prevedibile. Definire in modo esplicito le autorizzazioni necessarie e che potrebbero essere richieste in un secondo momento consente alle organizzazioni di mantenere il controllo di accesso chiaro ed evitare escalation di autorizzazioni impreviste.
Esaminare le implicazioni per la sicurezza. Assicurarsi che le autorizzazioni ereditabili non concedono un accesso eccessivo o espongono risorse sensibili oltre a quanto necessario. Elenchi di autorizzazioni di controllo regolari per mantenere la conformità e ridurre al minimo i rischi.
Scenari di esempio
Gli scenari seguenti illustrano il modo in cui le diverse configurazioni delle autorizzazioni servono esigenze di distribuzione diverse.
Scenario 1: Agent dispone di funzionalità facoltative che richiedono autorizzazioni in un secondo momento
Priya sta creando un agente dell'help desk IT che risponde alle domande di una knowledge base. Priya prevede che i clienti possano abilitare in un secondo momento azioni facoltative come la creazione di eventi imprevisti o la pubblicazione in Teams. Priya lascia vuoto o minimo l'accesso alle risorse necessarie. Lei definisce le app delle risorse usate dal suo agente nell'elenco delle autorizzazioni ereditabili. Quando l'azienda abilita una funzionalità di azione, l'amministratore concede l'autorizzazione necessaria una volta per il principale blueprint e tale approvazione viene riutilizzata per tutte le distribuzioni.
Scenario 2: Agent richiede autorizzazioni iniziali che devono essere ereditabili
Mateo sta creando un agente di onboarding per i nuovi assunti che ha bisogno dell'accesso a Microsoft Graph per leggere i profili utente e creare attività. Mateo elenca le autorizzazioni graph di base nell'accesso alle risorse necessarie e aggiunge anche l'app delle risorse Graph all'elenco delle autorizzazioni ereditabili. Quando l'azienda distribuisce l'agente in più business unit, la verifica dell'amministratore è coerente: le stesse autorizzazioni vengono richieste ogni volta e l'attribuzione ereditabile riduce lo sforzo di approvazione ripetuto.
Scenario 3: Agent richiede autorizzazioni che non devono essere ereditabili
Lin sta creando un agente operativo con privilegi usato da un piccolo team di amministratori per eseguire attività sensibili. L'agente richiede immediatamente autorizzazioni con privilegi elevati. Lin include questi elementi nell'accesso alle risorse richiesto, ma intenzionalmente non li aggiunge all'elenco di autorizzazioni ereditabili. Per la sua azienda, ogni installazione richiede una decisione di amministratore aggiornata ed esplicita, riducendo il livello di autorizzazione per l'accesso con privilegi elevati.
Scenario 4: l'agente richiede autorizzazioni diverse in organizzazioni diverse
Aisha sta creando un agente per la raccolta di prove di conformità. Alcuni tenant devono recuperare le informazioni dalle origini di controllo di Microsoft 365; altri devono acquisire le informazioni dai siti SharePoint. Aisha definisce un nucleo ristretto per l'accesso richiesto alle risorse e elenca tutte le risorse disponibili nell'elenco delle autorizzazioni ereditabili. Ogni organizzazione concede solo le autorizzazioni corrispondenti all'architettura e l'approccio ereditabile riduce le approvazioni ripetute durante l'implementazione.