Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La piattaforma di identità dell'agente Microsoft fornisce costrutti di identità specializzati progettati appositamente per gli agenti di intelligenza artificiale che operano in ambienti aziendali. Questi costrutti di identità consentono l'autenticazione sicura e i modelli di autorizzazione che differiscono dalle identità dell'utente e dell'applicazione tradizionali, in base ai requisiti univoci dei sistemi di intelligenza artificiale autonomi.
Questo articolo illustra i concetti di base che costituiscono la base della gestione delle identità degli agenti: identità degli agenti, progetti di identità agente e componenti di supporto. Comprendere questi concetti è essenziale per gli sviluppatori che devono implementare modelli di autenticazione sicuri e scalabili per gli agenti di intelligenza artificiale.
L'architettura dell'identità dell'agente segue un modello gerarchico in cui i progetti di identità agente fungono da modelli per la creazione di più istanze dell'agente, ognuna con identità e funzionalità distinte. Questo approccio consente la gestione centralizzata offrendo al tempo stesso la flessibilità necessaria per diversi scenari di distribuzione dell'agente di intelligenza artificiale.
Concetti di base relativi all'identità
I concetti seguenti costituiscono la base di Microsoft Entra Agent ID e della piattaforma di gestione delle identità dell'agente Microsoft.
Identità dell'agente
Un'identità agente è l'identità primaria usata da un agente di intelligenza artificiale per eseguire l'autenticazione ai sistemi e accedere alle risorse. A differenza degli account utente, le identità degli agenti non hanno credenziali proprie. Eseguono l'autenticazione usando i token emessi dal progetto di identità dell'agente. Per altre informazioni, vedere Identità dell'agente.
Progetto di identità dell'agente
Un progetto di identità agente è un oggetto in Microsoft Entra ID che funge da modello e base di autenticazione per una o più identità agente. Il modello contiene le credenziali e le usa per acquisire token per conto di tutte le identità dell'agente create a partire da esso. I criteri e le impostazioni applicati a un progetto, ad esempio l'accesso condizionale, hanno effetto per tutte le identità dell'agente. Per ulteriori informazioni, vedere Schemi di identità dell'agente.
Modello principale dell'identità dell'agente
Quando un progetto viene aggiunto a un tenant, Microsoft Entra crea un oggetto principale corrispondente. Un'entità progetto di identità agente è l'oggetto Microsoft Entra che registra la presenza di un progetto in un tenant e consente di acquisire i token e visualizzarli nei log di controllo. Per altre informazioni, vedere Principi guida dell'identità dell'agente.
Principale di servizio tradizionale (non consigliato per agenti AI)
Le entità servizio tradizionali sono state progettate per carichi di lavoro statici deterministici. Microsoft Entra Agent ID esiste perché i principali di servizio mancano dell'infrastruttura di governance necessaria agli agenti di intelligenza artificiale. Non esiste alcuna sponsorizzazione applicata, nessuna voce di controllo consapevole dell'agente e nessun ciclo di vita gestito da blueprint. Per altre informazioni, vedere Identità dell'agente, entità servizio e applicazioni.
Account utente normale (non consigliato per gli agenti di intelligenza artificiale)
Gli account utente di Microsoft Entra regolari sono progettati per modelli di accesso umani. Assegnare loro agli agenti di intelligenza artificiale provoca guasti a ogni livello di imposizione Zero Trust: i criteri di accesso condizionale creati per gli utenti umani non si applicano correttamente agli agenti, i rilevamenti della protezione dell'identità sono degradati e i processi di governance delle identità possono rimuovere erroneamente l'accesso agli agenti. Per altre informazioni, vedere Pianificare l'architettura dell'identità dell'agente.
Modelli di operazione dell'agente
Agent Identity Platform supporta i modelli seguenti per il funzionamento e l'autenticazione degli agenti, ognuno dei quali gestisce casi d'uso e requisiti di sicurezza diversi.
Agenti assistivi (interattivi)
Gli agenti di assistive (chiamati anche agenti interattivi) eseguono attività specifiche su richiesta per conto di un utente connesso, spesso tramite un'interfaccia di chat. Le attività includono l'analisi dei dati dei clienti per consigli di vendita o rispondere a domande di supporto con passaggio a rappresentanti umani. Questi agenti vengono concessi Microsoft Entra autorizzazioni delegate che consentono loro di agire per conto degli utenti. Gli scenari comuni includono assistenti di supporto clienti, helper di ricerca e agenti di collaborazione in tempo reale.
Agenti autonomi
Gli agenti autonomi operano in modo indipendente usando la propria identità, non l'identità di un utente umano. Questi agenti vengono eseguiti in background, prendendo decisioni e intraprendendo azioni senza intervento umano, ad esempio monitorando i log di rete per le operazioni di sicurezza, gestendo le implementazioni dell'infrastruttura con scalabilità automatizzata o elaborando le attività di manutenzione programmate. Gli agenti autonomi eseguono l'autenticazione direttamente con la piattaforma Microsoft Entra ID usando l'identità dell'agente e il flusso delle credenziali client.
Account utente dell'agente
L'account utente di un agente è un account facoltativo che si abbina in un rapporto 1:1 con un'identità dell'agente. Funziona con caratteristiche utente umane, incluse le identità persistenti e l'accesso alle risorse dell'organizzazione, ad esempio cassette postali, calendari, canali di Teams e documenti. Usare l'account utente di un agente solo quando l'agente deve accedere ai sistemi che richiedono un oggetto utente. L'account utente di un agente non sostituisce l'identità dell'agente, entrambi devono esistere. Per altre informazioni, vedere Account utente di Agent.
Proprietari, sponsor e manager dell'agente
Agent Identity Platform introduce un modello amministrativo che separa l'amministrazione tecnica dalla responsabilità aziendale, garantendo il controllo operativo e la supervisione della conformità senza autorizzazioni eccessive. I ruoli amministrativi dell'agente includono proprietari, manager e sponsor.
- I proprietari fungono da amministratori tecnici per gli agenti, gestendo gli aspetti operativi e di configurazione.
- Gli sponsor forniscono responsabilità aziendale per gli agenti, prendendo decisioni del ciclo di vita senza accesso amministrativo tecnico.
- I manager sono utenti umani designati come responsabile delle assunzioni o proprietario operativo per l'account utente di un agente.
Per altre informazioni, vedere Relazioni amministrative per le identità degli agenti (proprietari, sponsor e responsabili)
Microsoft Entra SDK per l'ID agente
L'SDK di Microsoft Entra per l'ID agente è un servizio Web in contenitori che gestisce le chiamate api downstream, convalida e acquisizione di token sicure per gli agenti registrati nella Microsoft Identity Platform. Viene eseguito come contenitore complementare insieme all'applicazione, consentendo di eseguire l'offload della logica di identità in un servizio dedicato. Per altre informazioni, vedere Microsoft Entra SDK per l'ID agente.