Veelgestelde vragen over Microsoft Entra Agent-ID

Microsoft Graph API's die ondersteuning bieden voor relaties met agentidentiteiten, zoals /ownedObjects, /deletedItems en /owners bieden geen ondersteuning voor filteren op entiteitstype. Gebruik de bestaande API's en filter resultaten aan de clientzijde met behulp van de odata.type eigenschap om agentidentiteitsobjecten in het antwoord te identificeren.

Wanneer een blauwdruk voor de agentidentiteit of agentidentiteit wordt verwijderd, blijven de gebruikersaccounts van de gekoppelde agents in de tenant. Ze worden niet als uitgeschakeld of verwijderd weergegeven, hoewel ze niet kunnen authenticeren. Verwijder de gebruikersaccounts van weesagenten handmatig met behulp van de Microsoft Graph API of Microsoft Entra PowerShell.

Bij het maken van agentidentiteitsobjecten in snelle volgorde met behulp van Microsoft Graph API's, kunnen aanvragen mislukken met fouten zoals 400 Bad Request: Object with id {id} not found. Veelvoorkomende reeksen die dit gedrag activeren, zijn:

• Maak een blauwdruk voor de agentidentiteit en maak vervolgens onmiddellijk een blauwdrukprincipaal.
• Maak een blauwdrukprincipaal en gebruik vervolgens onmiddellijk de blauwdruk om een agentidentiteit te maken.
• Maak een agent-id en maak vervolgens onmiddellijk het gebruikersaccount van een agent.

Deze fouten komen vaker voor wanneer u alleen-app-machtigingen gebruikt. Gebruik waar mogelijk gedelegeerde machtigingen en voeg logica voor opnieuw proberen toe met exponentieel uitstel aan uw aanvragen.

Ja. Niet-Microsoft platforms die alleen-app-machtigingen gebruiken, zijn beperkt tot 250 actieve agentidentiteitsblauwdrukken per tenant en elk van deze blauwdrukken is beperkt tot 250 actieve agentidentiteiten. Gedelegeerde machtigingsaanvragen van beheerdersgebruikers tellen niet mee voor deze limiet. Microsoft platforms als Microsoft Agent 365 zijn niet onderworpen aan deze limiet.

Zie Microsoft Entra-servicelimieten en -beperkingen voor meer informatie. Neem contact op met uw Microsoft vertegenwoordiger als voor uw scenario deze limieten moeten worden overschreden.

Er zijn geen ingebouwde meldingsmechanismen voor goedkeuring van agent-id-blauwdrukken. Wanneer een tenantbeheerder een blauwdruk voor de agentidentiteit voor uw agent maakt of goedkeurt, ontvangt u geen melding via Microsoft Entra of Microsoft Graph.

Als u wilt controleren of uw blauwdruk is goedgekeurd in een specifieke tenant, voert u een query uit op de Microsoft-Graph API voor blauwdrukprincipaalobjecten die aan uw toepassing zijn gekoppeld. Als een beheerder de blauwdruk nog niet heeft goedgekeurd, retourneert de query geen resultaten voor die tenant.

Aangepaste roldefinities bieden geen ondersteuning voor acties voor het beheren van agentidentiteiten. Gebruik de ingebouwde rollen Agent ID Administrator en Agent ID Developer voor alle agentidentiteitsbeheer.

Agentidentiteiten, blauwdrukken voor agentidentiteit en blauwdrukprinciplen voor agentidentiteiten kunnen niet worden toegevoegd aan beheereenheden. Gebruik de owners eigenschap van agentidentiteiten om te beperken welke gebruikers specifieke objecten kunnen beheren.

De rol Agent-id-beheerder is niet gemachtigd om foto's voor het gebruikersaccount van een agent bij te werken. Gebruik de rol Gebruikersbeheerder voor deze taak.

Dynamische regels voor groepslidmaatschap bieden geen ondersteuning voor het doel van het gebruikersaccount van een agent. Gebruik toegewezen groepen om de groepslidmaatschappen van een agent te beheren.

Agentidentiteiten kunnen zich niet aanmelden bij Microsoft Entra ID aanmeldingspagina's, wat betekent dat ze geen eenmalige aanmelding kunnen gebruiken met OpenID Connect- of SAML-protocollen. Gebruik beschikbare web-API's om agenten te integreren met werkplek-apps en -diensten.

De Microsoft Entra ID werkstroom voor beheerderstoestemming werkt niet goed voor machtigingen die zijn aangevraagd door agentidentiteiten. Gebruikers moeten contact opnemen met hun Microsoft Entra tenantbeheerder om aan te vragen dat machtigingen rechtstreeks aan de agentidentiteit worden verleend.

Stapsgewijze stappen op basis van risico's worden afgedwongen voor identiteitstoestemmingsstromen van agents. Als de toestemming van een gebruiker wordt geblokkeerd, is er geen tijdelijke oplossing. De gebruiker moet het gemarkeerde risico oplossen voordat toestemming kan worden voortgezet.

Auditlogboeken onderscheiden standaard geen agentidentiteiten van andere Microsoft Entra identiteitstypen:

• Bewerkingen voor agent-identiteiten, blauwdrukken en blauwdrukprincipals worden vastgelegd in de categorie ApplicationManagement.
• Bewerkingen op gebruikersaccounts van agents worden vastgelegd in de categorie Gebruikersbeheer .
• Bewerkingen die door agentidentiteiten worden geïnitieerd, worden weergegeven als service-principals.
• Bewerkingen die door gebruikersaccounts van agents worden gestart, worden weergegeven als gebruikers.

Als u activiteit met betrekking tot agent-id's wilt identificeren, gebruikt u object-id's uit auditlogboeken om een query uit te voeren op Microsoft Graph en het entiteitstype te bepalen. U kunt ook de correlatie-id van de aanmeldingslogboeken gebruiken om de identiteit van de actor of het betrokken onderwerp in de activiteit te vinden.

Microsoft Graph activiteitenlogboeken scheiden momenteel geen agentidentiteiten van andere identiteitstypen:

• Verzoeken van agentidentiteiten worden geregistreerd als applicaties, waarbij de agentidentiteit in de appID-kolom wordt opgenomen.
• Aanvragen van gebruikersaccounts van agenten worden geregistreerd als gebruikers, met de gebruikers-id van de agent in de kolom UserID.

Neem deel aan Microsoft Entra aanmeldingslogboeken om het entiteitstype te bepalen.

De SDK die u gebruikt, is afhankelijk van uw scenario:

Microsoft Agent 365 CLI en SDK zijn het aanbevolen startpunt voor de meeste ontwikkelaars. De CLI verwerkt het inrichten van agentidentiteiten, het maken van blauwdrukken en het bedrading van machtigingen in één opdracht. De SDK verwerkt het verkrijgen van tokens tijdens runtime. Zie de documentatie Microsoft Entra Agent 365 SDK voor meer informatie.

Microsoft. Identity.Web biedt API's op een hoger niveau voor het verkrijgen van tokens voor agentidentiteiten in .NET toepassingen. Gebruik de Microsoft. Identity.Web.AgentIdentities pakket om het beheren van agentidentiteiten te vereenvoudigen.

De Microsoft Entra SDK-container verpakt Microsoft.Identity.Web als een webservice die als sidecar container is geïmplementeerd. Gebruik deze optie wanneer uw agent wordt uitgevoerd op Kubernetes en/of niet is ingebouwd in .NET. Zie Microsoft Entra SDK voor agent-id voor meer informatie.

Microsoft Graph API's bieden agentidentiteitsbeheer wanneer de andere opties niet in uw scenario passen. Voor meer informatie, zie Microsoft Graph API voor blauwdrukken voor agentidentiteit.