Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'identità dell'agente è un concetto fondamentale nell'SDK Microsoft Agent 365. Ogni agente ha una propria identità aziendale univoca e persistente, separata dagli utenti umani o dalle registrazioni di applicazioni generiche. Questa identità offre i privilegi dell'agente, l'autenticazione, i ruoli e le funzionalità di conformità simili a un dipendente umano.
Comprendere i componenti di identità dell'agente
Quando si registra un agente con Microsoft Agent 365, tre componenti chiave interagiscono per fornire all'agente la relativa identità:
Progetto dell'agente (applicazione agentica)
Il progetto dell'agente definisce l'identità, le autorizzazioni e i requisiti dell'infrastruttura dell'agente. Funge da modello per la creazione di istanze dell'agente e include:
- Registrazione dell'app Microsoft Entra
- Autorizzazioni API necessarie (ambiti Microsoft Graph)
- Configurazione dell'autenticazione
- Definizioni di risorse (piano servizio app, app Web)
Istanza dell'agente
Un'istanza dell'agente rappresenta un'implementazione specifica del modello di agente. Ogni istanza ha:
- ID agente univoco di Microsoft Entra ID
- Principale del servizio per l'autenticazione
- Configurazione specifica dell'istanza
- Credenziali di identità federata per l'integrazione con Teams
Agente utente
Un utente agente è l'identità di runtime che appare nella tua organizzazione. Gli utenti dell'agente sono un sottotipo specializzato di identità utente progettata in modo specifico per gli agenti. I concetti chiave necessari per comprendere gli utenti dell'agente sono le relative caratteristiche di identità, l'integrazione dell'organizzazione, il modello di relazione e il ciclo di vita.
Caratteristiche di identità
Gli utenti dell'agente hanno proprietà di identità distintive che li differenziano dagli account utente tradizionali:
- Contrassegnato con caratteristiche agentiche nella directory
- Riceve i token con
idtyp=user(tipo di identità utente) - Ha un ID univoco dell'agente utente (ID oggetto) separato dall'istanza principale dell'agente.
- Non è possibile avere credenziali tradizionali (password, passkey, fattori di autenticazione a più fattori)
- Deve essere creato tramite una chiamata API esplicita dall'istanza dell'agente padre
- Ha un collegamento immutabile all'istanza dell'agente padre (non può essere riassegnato a un altro genitore)
Integrazione dell'organizzazione
Gli utenti dell'agente funzionano come membri completi dell'organizzazione Microsoft 365 con le funzionalità seguenti:
- Sono sincronizzati con la directory del tenant di Microsoft 365
- È possibile assegnare licenze (Microsoft 365 E5, Teams Enterprise, Copilot)
- Hanno una propria cassetta postale e un'archiviazione di OneDrive (in base alle licenze)
- Compaiono nell'organigramma e nelle schede delle persone
- Può essere @mentioned in Teams, documenti e altre app Microsoft 365
- Avere il proprio nome univoco principale (ad esempio,
agent@yourtenant.onmicrosoft.com)
Modello di relazione
La connessione tra le istanze dell'agente e gli utenti dell'agente segue un modello padre-figlio rigoroso:
- Ogni istanza di agente può avere al massimo un utente figlio agente
- L'utente dell'agente archivia un riferimento all'istanza dell'agente padre
- L'istanza dell'agente padre mantiene un riferimento al suo utente agente figlio (se esiste)
- Questa relazione bidirezionale consente una corretta gestione del ciclo di vita e controllo
Lifecycle
Gli utenti agenti sono progettati per essere immediatamente disponibili con eliminazione automatica quando non sono più necessari.
Supportano la funzionalità instant-on e possono essere utilizzati immediatamente dopo la creazione
Note
Il provisioning delle risorse per gli utenti dell'agente (cassetta postale, OneDrive) potrebbe richiedere fino a 24 ore dopo l'assegnazione della licenza, anche se in genere viene completato entro 10-15 minuti.
Se l'istanza dell'agente padre viene eliminata, viene eliminato anche l'utente dell'agente figlio
La relazione tra l'istanza dell'agente e l'utente dell'agente non è modificabile e non può essere modificata
Important
Gli utenti dell'agente richiedono licenze Microsoft 365 appropriate per accedere a servizi come Teams, Posta elettronica, Calendario, SharePoint e OneDrive. Le licenze comuni includono Microsoft 365 E5, Teams Enterprise e Microsoft 365 Copilot. Dopo l'assegnazione delle licenze, il provisioning delle risorse (cassetta postale, OneDrive) viene in genere completato entro 10-15 minuti, ma può richiedere fino a 24 ore in alcuni casi.
Autorizzazioni e controllo di accesso
Gestire le autorizzazioni dell'agente a più livelli per fornire un controllo granulare sui diritti di accesso e sulle funzionalità.
Autorizzazioni predefinite
Gli utenti dell'agente hanno caratteristiche di autorizzazione specifiche:
- Gestire tramite criteri di accesso condizionale
- Esentare dai requisiti di autenticazione a più fattori (poiché non possono avere fattori di autenticazione tradizionali)
- Aggiungere ai gruppi di Entra ID, incluso il gruppo Tutti gli utenti dell'agente
- Controllare l'accesso alle risorse tramite concessioni di autorizzazioni esplicite e licenze
Gestione delle autorizzazioni
Impostare le autorizzazioni a livelli diversi:
- Livello di progetto dell'agente: definisce le autorizzazioni di base per tutte le istanze
- Livello di istanza dell'agente: autorizzazioni specifiche per l'identità dell'agente
- Livello utente agente - Autorizzazioni e diritti di accesso specifici dell'utente
Suggerimento
Per gli agenti con identità utente agente, usare l'identità utente dell'agente principalmente per l'accesso alle risorse. Questa procedura offre un comportamento coerente simile a quello dell'utente tra i servizi Microsoft 365.
Flussi di autenticazione
Microsoft Agent 365 supporta due flussi di autenticazione per gli agenti, basati su ID agente Microsoft Entra.
Autenticazione dell'identità dell'agente
Consente a un agente di agire con la propria identità.
In questo flusso:
- L'agente esegue l'autenticazione usando le proprie credenziali (credenziali del blueprint dell'agente).
- L'agente opera in modo indipendente con le proprie autorizzazioni assegnate.
- L'agente ha una propria identità, separata da qualsiasi utente.
- Questo flusso è ideale per le operazioni dell'agente autonomo che non richiedono il contesto utente.
Casi d'uso:
- Operazioni dell'agente autonomo (attività pianificate, monitoraggio).
- Invio di messaggi di posta elettronica o creazione di riunioni dalla cassetta postale dell'agente.
- Creazione e gestione delle risorse di proprietà dell'agente.
- Elaborazione in background senza interazione dell'utente.
Altre informazioni sulla registrazione e la creazione di agenti.
Flusso On-Behalf-Of (OBO)
Consente a un agente di agire per conto di un utente.
In questo flusso:
- L'agente riceve il token delegato di un utente.
- L'agente scambia questo token per eseguire azioni come se l'utente le stia eseguendo.
- L'agente opera con le autorizzazioni e il contesto dell'utente.
- Questo flusso è ideale per gli scenari in cui l'agente deve accedere alle risorse con autorizzazioni specifiche dell'utente.
- Fornisce un controllo sicuro quando l'identità dell'agente viene usata nei flussi reattivi.
Casi d'uso:
- Accesso ai dati specifici dell'utente (messaggi di posta elettronica, calendario, file).
- Esecuzione di azioni che richiedono il consenso dell'utente.
- Scenari in cui sono necessari il contesto utente e le autorizzazioni.