Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'account utente dell'agente è un tipo di identità specializzato progettato per colmare il divario tra gli agenti e le funzionalità utente umane. L'account utente dell'agente consente alle applicazioni basate sull'intelligenza artificiale di interagire con sistemi e servizi che richiedono identità utente, mantenendo al tempo stesso limiti di sicurezza e controlli di gestione appropriati. Consente alle organizzazioni di gestire l'accesso dell'agente usando funzionalità simili come per gli utenti umani.
Esempio di scenari di account utente dell'agente
A volte non è sufficiente che un agente esegua attività per conto di un utente o funzioni come applicazione autonoma. In alcuni scenari, un agente deve agire come utente, funziona essenzialmente come un lavoratore digitale. Di seguito sono riportati alcuni scenari di esempio in cui l'account utente dell'agente è applicabile:
- L'organizzazione ha bisogno di dipendenti digitali a lungo termine che funzionano come membri del team con cassette postali, accesso alle chat e inclusione nei sistemi HR.
- L'agente deve accedere alle API o alle risorse disponibili solo per le identità utente
- L'agente deve partecipare ai flussi di lavoro collaborativi come membro del team
Per questi motivi, viene creato l'account utente dell'agente. L'account utente dell'agente è facoltativo e deve essere creato solo per le interazioni in cui l'agente deve agire come utente o accedere alle risorse limitate agli account utente.
Account utente dell'agente
L'account utente dell'agente rappresenta un sottotipo di identità utente all'interno di Microsoft Entra. Queste identità sono progettate per consentire alle applicazioni agente di eseguire azioni nei contesti in cui è necessaria un'identità utente. A differenza delle entità servizio non agentiche o delle identità applicative, l'account utente dell'agente riceve token con attestazione idtyp=user, consentendo l'accesso ad API e servizi che richiedono specificamente identità utente. Mantiene inoltre i vincoli di sicurezza necessari per le identità non disumane.
L'account utente di un agente non viene creato automaticamente. Richiede un processo di creazione esplicito che lo connette all'identità dell'agente padre. Questa relazione padre-figlio è fondamentale per comprendere come funziona l'account utente dell'agente ed è protetta in Microsoft Entra. Una volta stabilita, questa relazione non è modificabile e funge da elemento fondamentale del modello di sicurezza per l'account utente dell'agente. La relazione è una mappatura uno-a-uno (1:1). Ogni identità dell'agente può avere al massimo un account utente associato, e l'account utente di ciascun agente è collegato esattamente a un'identità dell'agente padre, che a sua volta è collegata esattamente a un'applicazione di modello di identità degli agenti.
Account utente dell'agente:
- Viene anche creato usando un modello di identità dell'agente.
- È sempre associato a un'identità dell'agente specifica, specificata al momento della creazione.
- Ha identificatori univoci distinti, separati dall'identità dell'agente.
- Può eseguire l'autenticazione solo presentando un token emesso per l'identità dell'agente associata.
Relazione tra l'identità dell'agente e l'account utente dello stesso
Il progetto di identità dell'agente non dispone dell'autorizzazione per impostazione predefinita per creare l'account utente dell'agente perché questa funzionalità è facoltativa e non sempre necessaria. Si tratta di un'autorizzazione che deve essere concessa in modo esplicito allo schema di identità dell'agente.
L'account utente dell'agente viene creato usando il progetto di identità dell'agente. Quando vengono concesse le autorizzazioni appropriate, il modello di identità agente può creare l'account utente di un agente e stabilire una relazione principale con un'identità specifica di agente. L'identità dell'agente è considerata l'elemento padre dell'account utente dell'agente.
Gli amministratori gestiscono il ciclo di vita dell'account utente di un agente. Un utente amministratore può eliminare l'account utente dell'agente dopo che le funzionalità non sono più necessarie.
Autenticazione e modello di sicurezza
Il modello di autenticazione per l'account utente dell'agente differisce in modo significativo dagli account utente umani:
Credenziali di identità federate: l'autenticazione avviene tramite credenziali assegnate all'account utente dell'agente. Nei sistemi di produzione usare le credenziali di identità federate (FIC). Queste credenziali vengono usate per autenticare sia il progetto di identità dell'agente che l'identità dell'agente. Le credenziali assegnate all'utente vengono usate per l'autenticazione nell'ecosistema di agenti.
Modello di credenziali con restrizioni: l'account utente dell'agente non dispone di credenziali regolari come le password. Invece, è limitato all'uso delle credenziali fornite tramite la relazione padre. Questa restrizione sulle credenziali, insieme alle restrizioni per l'accesso interattivo, garantisce che l'account utente dell'agente non possa essere usato come un account utente standard.
Meccanismo di rappresentazione: l'identità dell'agente associata può rappresentare l'account utente dell'agente figlio. Consente alla logica di business dell'elemento padre di ottenere i token e di fungere da account utente dell'agente quando necessario.
Funzionalità dell'account utente dell'agente
L'account utente dell'agente dispone di funzionalità che consentono di funzionare in modo efficace all'interno di Microsoft 365 e di altri ambienti:
L'account utente di un agente può essere aggiunto ai gruppi di Microsoft Entra, inclusi i gruppi dinamici, consentendogli di ereditare le autorizzazioni concesse a tali gruppi. Non può tuttavia essere aggiunto a gruppi assegnabili di ruolo.
L'account utente dell'agente può accedere alle risorse e utilizzare altre funzionalità di collaborazione in genere riservate agli utenti umani.
L'account utente dell'agente può essere aggiunto alle unità amministrative, in modo analogo agli utenti umani.
All'account utente dell'agente possono essere assegnate licenze, spesso necessarie per il provisioning delle risorse di Microsoft 365.
Vincoli di sicurezza
L'account utente dell'agente opera con vincoli di sicurezza specifici per garantire l'uso appropriato:
Limitazioni delle credenziali: l'account utente dell'agente non può avere credenziali come password o passkey. L'unico tipo di credenziale supportato è il riferimento all'identità dell'agente al relativo elemento padre. Pertanto, anche se l'account utente dell'agente si comporta come utente, le credenziali sono credenziali client riservate.
Restrizioni del ruolo amministrativo: all'account utente dell'agente non è possibile assegnare ruoli di amministratore con privilegi. Questa limitazione fornisce un limite di sicurezza importante, impedendo potenziali elevazioni dei privilegi.
Modello di autorizzazione: l'account utente dell'agente ha in genere autorizzazioni simili agli utenti guest, con più funzionalità per l'enumerazione di utenti e gruppi. L'account utente dell'agente non può essere assegnato ai ruoli di amministratore con privilegi. L'assegnazione di ruolo personalizzata e i gruppi assegnabili a ruoli non sono disponibili per l'account utente dell'agente. Per altre informazioni, vedere Informazioni di riferimento sulle autorizzazioni di Microsoft Graph