Informatie over agentidentiteiten en -machtigingen

  • 7 minuten

Agents in Microsoft Security Copilot hebben een identiteit nodig om zich te authenticeren en toegang tot resources te verkrijgen wanneer ze actief zijn. De identiteit bepaalt welke gegevens de agent kan openen en welke acties deze kan uitvoeren. Informatie over de werking van identiteiten en machtigingen voor agents is essentieel voor het veilig implementeren en beheren van identiteiten en machtigingen in uw organisatie.

Typen agentidentiteiten

Tijdens het instellen van de agent kiest u uit twee identiteitstypen.

Agentidentiteiten (Microsoft Entra Agent-id)

Een agentidentiteit is een toegewezen identiteit die specifiek is gemaakt voor een AI-agent met behulp van de microsoft Entra Agent ID-mogelijkheid. Deze identiteiten bieden unieke identificatie en verificatie voor AI-agents en helpen bij het oplossen van belangrijke beveiligingsuitdagingen:

  • Onderscheid maken tussen AI-agentbewerkingen en die van werknemers-, klanten- of werkbelastingidentiteiten.
  • Agenten de juiste toegangsniveaus verlenen tot verschillende systemen.
  • Voorkomen dat agents toegang krijgen tot de meest kritieke beveiligingsrollen.
  • Identiteitsbeheer schalen voor agents die snel kunnen worden gemaakt en buiten gebruik worden gesteld.

Wanneer u een agentidentiteit maakt, verleent u deze alleen de specifieke machtigingen die nodig zijn. Organisaties kunnen agentidentiteiten in bulk maken, consistente richtlijnen toepassen en agenten buiten gebruik stellen zonder verweesde inloggegevens achter te laten.

Opmerking

Momenteel is de optie voor het maken van een agentidentiteit alleen beschikbaar voor door Microsoft gebouwde agents.

Bestaand gebruikersaccount

Met deze optie kan de agent de referenties van een bestaande gebruiker gebruiken om uit te voeren. De agent neemt de toegang en machtigingen van die gebruiker over terwijl deze actief is, wat betekent dat deze toegang heeft tot dezelfde gegevens en services als het verbonden account.

Hoe agentidentiteiten verschillen van andere identiteitstypen

  • Versus-toepassingsidentiteiten: Toepassingsidentiteiten (service-principals) in Microsoft Entra ID zijn ontworpen voor langdurige services met een stabiel eigendom. Agents worden vaak dynamisch gemaakt en kunnen slechts kort bestaan. Agentidentiteiten worden gebouwd voor deze schaal en kortstondigheid, waardoor de operationele complexiteit van het beheren van kortdurende autonome systemen wordt verminderd.
  • Versus menselijke gebruikersidentiteiten: menselijke identiteiten zijn gekoppeld aan verificatiemechanismen zoals wachtwoorden, meervoudige verificatie en wachtwoordsleutels en gekoppelde gegevens, zoals postvakken en organisatiehiërarchie. Agentidentiteiten vertegenwoordigen softwaresystemen, niet mensen, en gebruiken geen mechanismen voor menselijke verificatie. Voor bepaalde scenario's moeten agents echter werken alsof ze menselijke gebruikers zijn. Voor deze scenario's kunnen agentidentiteiten worden gekoppeld aan speciale gebruikersaccounts die een een-op-een-relatie met hun agentidentiteit onderhouden, waardoor systeemcompatibiliteit wordt geboden en tegelijkertijd duidelijke scheiding wordt behouden.

Wat stellen agentidentiteiten in staat?

Een AI-agent kan de identiteit ervan gebruiken voor het volgende:

  • Access-webservices: toegangstokens aanvragen van Microsoft Entra om Microsoft Graph, door de organisatie gebouwde services of niet-Microsoft API's aan te roepen.
  • Autonomous toegang: Handel onafhankelijk met behulp van rechten die direct aan de agentidentiteit zijn toegewezen, waaronder Microsoft Graph-machtigingen, Azure RBAC-rollen en Microsoft Entra-directoryrollen.
  • Gedelegeerde toegang (namens): Handelen namens een menselijke gebruiker, met behulp van de rechten die de gebruiker beheert en delegeert. In deze stroom heeft de agent toegang tot resources met de identiteit en machtigingen van de gebruiker om gegevens op te halen of acties uit te voeren die de gebruiker ook kan uitvoeren.
  • Authenticate inkomende berichten: Aanvragen van andere clients, gebruikers of agents accepteren en valideren met behulp van Microsoft Entra toegangstokens.

Machtigingen voor agents

Machtigingen definiëren het autorisatieniveau dat een agent krijgt tijdens de configuratie, zodat deze toegang heeft tot specifieke informatie of de bijbehorende taken kan uitvoeren. Dit kan onder andere het lezen van gegevens uit oplossingen zoals Microsoft Defender Beheer van externe kwetsbaarheden voor aanvallen of Microsoft Threat Intelligence.

Wanneer een agent-id wordt gemaakt, worden de vereiste machtigingen automatisch toegewezen. De agent voor optimalisatie van voorwaardelijke toegang ontvangt bijvoorbeeld machtigingen zoals Policy.Read.All, User.Read.Allen RoleManagement.Read.Directory. De machtigingen die een agentidentiteit ontvangt, kunnen niet worden gewijzigd of verwijderd door beheerders. Ze zijn afgestemd op wat de agent nodig heeft om de gedefinieerde taken uit te voeren.

Agentidentiteiten beveiligen

Microsoft Entra breidt veel van dezelfde beveiligingen uit naar agentidentiteiten die het biedt voor gebruikersidentiteiten:

  • Voorwaardelijke toegang voor agents: organisaties kunnen adaptief beleid definiëren en afdwingen dat agentcontext en risico evalueert voordat toegang wordt verleend tot resources. Dit omvat het afdwingen van beleidsregels voor toegangsbeheer voor ondersteunende, autonome en agentgebruikersaccounttypen, waarbij realtime risicosignalen worden gebruikt om gecompromitteerde agents te blokkeren en beleid op schaal te implementeren met behulp van aangepaste beveiligingskenmerken.
  • ID Protection voor agents: Microsoft Entra Id-beveiliging detecteert en blokkeert bedreigingen door afwijkende activiteiten met agents te markeren, risicosignalen aan voorwaardelijke toegang te bieden en automatisch herstel van gecompromitteerde agents mogelijk te maken.
  • Id-beheer voor agents: agentidentiteiten worden in dezelfde governanceprocessen als gebruikers gebracht, waardoor levenscyclusbeheer van implementatie tot vervaldatum mogelijk is. Sponsors en eigenaren kunnen aan elke agentidentiteit worden toegewezen, waardoor weesagenten worden voorkomen, en kan toegang tijdsgebonden worden gemaakt via toegangspakketten.

Op rollen gebaseerd toegangsbeheer en agents

RBAC bepaalt wie agentuitvoer kan bekijken en beheren in Security Copilot. Het Security Copilot-platform definieert twee rollen:

  • Security Copilot eigenaar: agents instellen, instellingen beheren, machtigingen toewijzen en alle platformtaken uitvoeren. Agents bouwen, testen en publiceren binnen de scope van de werkruimte.
  • Security Copilot inzender: voer agents uit, maak sessies en communiceer met agentuitvoer. Agents bouwen, testen en publiceren op gebruikersniveau.

Deze rollen worden beheerd in Security Copilot en zijn gescheiden van Microsoft Entra ID-rollen. Ze beheren alleen platformtoegang en verlenen zelf geen toegang tot beveiligingsgegevens. De gegevens die een agent kan openen, vallen nog steeds onder de bestaande Microsoft Entra- en Azure RBAC-rollen van de gebruiker. Security Copilot overschrijdt nooit de toegang die een gebruiker al heeft.

Bepaalde Microsoft Entra- en Microsoft Purview rollen, zoals globale beheerder, beveiligingsbeheerder en nalevingsbeheerder, nemen automatisch Security Copilot eigenaarstoegang over, zodat het platform altijd ten minste twee eigenaren heeft.

Machtigingen voor partneragent

Voor het instellen van een door een partner gebouwde agent die toegang heeft tot Microsoft-productgegevens (zoals Microsoft Intune, Microsoft Entra, Microsoft Sentinel of Microsoft Defender) is een globale beheerder vereist om de vereiste machtigingen goed te keuren. Na goedkeuring kunnen eigenaren en inzenders van Security Copilot de agentinstallatie voltooien. Agents die geen toegang hebben tot Microsoft-productgegevens, vereisen deze goedkeuring niet.