Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Como administrador Microsoft Entra, talvez seja necessário tomar medidas em relação aos agentes do Microsoft Foundry no seu tenant. Antes disso, entenda que o Foundry oferece ações de infraestrutura, não apenas governança de runtime. Ao parar ou excluir um agente, você interage com recursos do Azure. Esses recursos podem atender a vários locatários ou equipes.
Este artigo ajuda você a:
- Obter o acesso necessário
- Entenda como as ações da central de administração mapeiam para operações de recursos do Azure
- Tomar decisões informadas sobre quando e como intervir
As diretrizes presentes se concentram na governança em nível de infraestrutura de agentes criados com o Serviço de Agente do Foundry como uma alternativa para situações que exigem ação administrativa direta.
Importante
Sempre prefira Parar em vez de Excluir quando você precisar executar uma ação contra um agente. Parar é reversível. A exclusão remove permanentemente Azure recursos e pode afetar outros locatários.
Pré-requisitos
- Uma das seguintes atribuições de função no Microsoft Entra:
- Se sua organização usar Privileged Identity Management (PIM), ative sua atribuição de função antes de continuar.
Importante
Administradores de IA: você não pode executar o procedimento de elevação de acesso por conta própria. Você deve primeiro coordenar com o proprietário do agente, que pode:
- Gerencie as ações de infraestrutura em seu nome
- Conceda a você as atribuições de função necessárias do Azure nos recursos específicos.
Se você não conseguir identificar ou alcançar o proprietário do agente, coordene com um Administrador Global como alternativa.
Entender como a infraestrutura do agente funciona
Os agentes da fundição residem em projetos. Os projetos fazem parte de um recurso de conta do Foundry em uma assinatura Azure. Um projeto fornece aos desenvolvedores um workspace compartilhado para criar, testar e colaborar em agentes. Cada projeto tem sua própria computação, armazenamento e uma identidade de agente compartilhado. Vários agentes podem existir em um único projeto. As ações contra o projeto afetam todos os agentes desse projeto.
Os desenvolvedores criam agentes do Foundry em um projeto. Cada agente obtém uma identidade exclusiva e um endpoint único para interações. A Foundry registra automaticamente cada agente com o Registro do Agente 365 usando a identidade exclusiva do agente.
Os agentes podem ter várias versões de agente à medida que os desenvolvedores iteram e melhoram sua funcionalidade. Cada versão representa um instantâneo da configuração e do comportamento do agente em um momento específico.
Nota
Os agentes de prompt também podem usar um endpoint comum que atende a todos os agentes do projeto. Os agentes que são executados dessa maneira compartilham a infraestrutura e a identidade do projeto. Não use pontos de extremidade de projeto para produção. A Foundry não cria mais registros no Agent 365 para endpoints de projeto ou identidades de projeto.
Quando um desenvolvedor publica um agente, o Foundry cria um recurso de aplicativo de agente dedicado. Esse recurso tem seu próprio endpoint e identidade de agente do Entra. A identidade do aplicativo é separada das identidades de agente individuais criadas anteriormente. A Foundry também registra o aplicativo no Registro do Agente 365 usando a identidade exclusiva do aplicativo.
Os aplicativos de agente podem ter várias implantações de agente. Cada implantação faz referência a uma versão do agente existente como sua definição.
Para obter uma descrição completa das operações de ciclo de vida do agente, consulte Gerenciar agentes no Plano de Controle de Fundiário. Para saber mais sobre os conceitos do Foundry referenciados nesta seção, confira:
- Arquitetura do Microsoft Foundry de como os recursos do Foundry são mapeados para os recursos do Azure.
- Conceitos de identidade de agente para entender como as identidades de agente funcionam no Microsoft Entra ID.
- Planeje e gerencie Foundry para assinatura e organização do grupo de recursos.
Ações de infraestrutura versus ações do centro de administração
As ações disponíveis no Plano de Controle do Foundry são operações de infraestrutura em recursos do Azure. Eles são diferentes das ações Block e Unblock com as quais você pode estar familiarizado no Centro de Administração Microsoft 365.
Block actions no Centro de administração do Microsoft 365 e no Centro de administração do Teams afetam a visibilidade dos agentes para os usuários:
- Scope: afeta apenas a projeção do agente no Teams e Microsoft 365 Copilot
- Impacto: os usuários não podem acessar o agente por meio desses canais específicos
- Acesso ao Foundry: O agente permanece totalmente funcional no portal do Foundry e em outros pontos de integração
- Infrastructure: nenhum impacto nos recursos ou na computação Azure subjacentes
As ações de infraestrutura no Plano de Controle do Foundry afetam os recursos subjacentes do agente:
- Parar e Iniciar operam em implantações individuais desalocando ou provisionando recursos computacionais. Eles afetam a infraestrutura de Azure subjacente e tornam o agente indisponível em todos os canais (Teams, Microsoft 365 Copilot, Foundry, APIs).
- Delete remove permanentemente Azure recursos. Para agentes publicados, a exclusão inclui o aplicativo do agente e suas implantações. Esta ação não pode ser desfeita.
Se um aplicativo de agente atender a um cenário multilocatário, as ações de infraestrutura afetarão todos os consumidores desse agente, não apenas os usuários do locatário.
Sempre prefira Parar em vez de Excluir. Parar preserva a opção para reiniciar mais tarde. Excluir deve ser um último recurso, usado somente depois de coordenar com os proprietários de recursos e confirmar que o agente nunca deve ser executado novamente.
Identificar o tipo de recurso Foundry para um agente
O Registro do Agente 365 mostra um inventário unificado de agentes do Foundry e aplicativos de agente. Ambos são "agentes", mas têm diferentes funcionalidades de gerenciamento. Para saber quais opções você tem, primeiro você precisa identificar com qual tipo de recurso do Foundry você está lidando.
A Foundry registra ambos os tipos com uma ID de recurso Foundry Azure:
| Tipo de recurso | Padrão de ID de Recurso1 |
|---|---|
| Agente de fundição | .../projects/{project-name}/agents/{agent-name} |
| Aplicativo de Agente | .../projects/{project-name}/applications/{application-name} |
1 O padrão de ID de recurso completo é omitido para fins de brevidade. Ambos compartilham um prefixo comum: /subscriptions/{sub-id}/resourceGroups/{group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/projects/{project-name}/.... O diferenciador chave é o segmento após o projeto: ou agents/{agent-name} ou applications/{application-name}.
No Administração Microsoft 365 Center, você pode encontrar esses valores na seção "Detalhes da plataforma". O centro de administração detecta automaticamente o tipo de recurso. Para aplicativos de agente, ele mostra botões Parar ou Iniciar ou solicita elevação se você estiver qualificado.
Coordenar com proprietários de recursos
Os agentes de fundição precisam de recursos do Azure organizados em assinaturas, grupos de recursos e projetos específicos. Esses recursos têm proprietários. Antes de tomar medidas de nível de infraestrutura, identifique e trabalhe com esses proprietários sempre que possível.
Quando coordenar vs. agir de forma independente
| Situação | Abordagem recomendada |
|---|---|
| Ameaça de segurança ativa ou violação de política | Aja primeiro (interrompa o agente) e, em seguida, notifique os proprietários de recursos. |
| Revisão de conformidade de rotina ou conclusão de auditoria | Entre em contato com os proprietários de recursos e trabalhe em conjunto na correção. |
| Agente que consome recursos ou custos inesperados | Notifique os proprietários de recursos. Considere interromper o agente somente se os custos forem críticos e os proprietários não responderem. |
| Agente se comportando mal, mas não um risco de segurança | Entre em contato com os proprietários de recursos antes de tomar medidas. Pare somente se o comportamento for ativamente prejudicial. |
A governança de infraestrutura é uma responsabilidade compartilhada. Os administradores globais têm o acesso para agir. Os proprietários de recursos têm o contexto para entender o impacto. A coordenação leva a melhores resultados.
Identificar proprietários de recursos
Comece verificando os proprietários listados nos detalhes de registro do agente no Centro de Administração Microsoft 365. Você também pode identificar proprietários e patrocinadores por meio dos objetos Entra.
Se você puder ver os recursos de Azure (elevar o acesso se não puder - consulte a próxima seção), verifique quais usuários têm permissão sobre os recursos:
- No Azure portal, navegue até o grupo de recursos que contém o projeto Foundry do agente.
- Selecione atribuições de > para ver quem tem permissões sobre o recurso.
As partes interessadas nos recursos podem ter diversas funções. Funções privilegiadas, como Proprietário ou Colaborador , são um bom sinal. No entanto, nem todos os stakeholders têm essas funções privilegiadas.
Verifique o log de atividades do recurso. O log mostra quem tomou as ações de gerenciamento recentemente. Essa abordagem ajuda você a identificar os gerentes de recursos atuais, mesmo que eles não tenham atribuições de função privilegiadas.
Elevar o acesso para gerenciar assinaturas de Azure
Microsoft Entra ID e Azure usam sistemas de controle de acesso separados. Sua função de administrador não fornece automaticamente acesso a assinaturas de Azure. Para ver e gerenciar os recursos de suporte para agentes do Foundry, você precisa das atribuições de função do Azure. Se você não tiver as permissões certas, eleve seu acesso.
O procedimento de elevação requer a função de Administrador Global. Os administradores de IA devem coordenar com proprietários de agentes ou administradores globais. Consulte os pré-requisitos para obter detalhes.
A elevação atribui para você a função Administrador de Acesso do Usuário no escopo root (/). Essa função fornece visibilidade de todas as assinaturas e grupos de gerenciamento em seu locatário.
Para obter o procedimento completo, consulte Elevar acesso para gerenciar todas as assinaturas Azure e grupos de gerenciamento.
Importante
Remova o acesso elevado assim que terminar. A elevação no escopo raiz é uma permissão poderosa e o princípio do privilégio mínimo se aplica. Siga o procedimento de rebaixamento ao concluir suas tarefas.
Se sua organização usar o PIM, depois de remover o controle de elevação, desative a atribuição de sua função de Administrador Global.
Remover acesso com privilégios elevados
Ao concluir suas tarefas de administrador, remova suas permissões elevadas em ordem inversa:
Remover atribuições de funções do Azure: remova todas as funções do Azure AI que você mesmo deu (como Proprietário do Azure AI) dos projetos específicos do Foundry ou grupos de recursos.
Azure portal:
- No portal do Azure, navegue até o recurso em que você atribuiu perfis.
- Selecione Controle de acesso (IAM)>Atribuições de papéis.
- Localize sua conta de usuário na lista de atribuições de função.
- Selecione a atribuição e escolha Remover.
CLI do Azure:
# List current role assignments to find the assignment ID az role assignment list --assignee <your-email> --scope <resource-scope> # Remove the specific role assignment az role assignment delete --ids <assignment-id>Remover a função de Administrador de Acesso do Usuário: Remova a função de Administrador de Acesso do Usuário no nível raiz do procedimento de elevação.
Azure portal:
- No portal do Azure, acesse Microsoft Entra ID>Propriedades.
- Em Gerenciamento de acesso para recursos do Azure, defina a opção para Não.
- Selecione Salvar.
CLI do Azure:
# Remove the User Access Administrator role at root scope az role assignment delete \ --assignee <your-email> \ --role "User Access Administrator" \ --scope "/"
Esse processo de duas etapas garante que você remova as permissões específicas que você mesmo concedeu e a elevação ampla que habilitou essas concessões.
Atribuir as funções corretas
Depois de elevar o acesso, atribua a si mesmo a função mínima necessária para sua ação. Não fique no escopo raiz por mais tempo do que o necessário.
| Ação | Função mínima interna para objetos do agente Foundry | Função integrada mínima para aplicativos de agente |
|---|---|---|
| Ver |
Usuário de Azure IA (O dispositivo leitor não é suficiente) |
Leitor |
| Parar/Iniciar | Sem suporte | Azure Responsável por IA |
| Excluir | Usuário de Azure IA | Azure Responsável por IA |
Atribua funções no escopo mais estreito possível. Para agentes do Foundry, atribua a função apenas sobre o recurso de projeto do Foundry com o qual você deseja trabalhar. Para aplicativos de agente, atribua a função no escopo do aplicativo. Se você precisar apenas gerenciar agentes em um único grupo de recursos, atribua a função no escopo do grupo de recursos. Não atribua essas funções no escopo da assinatura ou do grupo de gerenciamento.
Se sua organização usar o PIM, considere a criação de atribuições qualificadas em vez das permanentes. As tarefas elegíveis exigem ativação. Essa abordagem cria uma trilha de auditoria e impõe limites de tempo.
Executar uma ação em um agente
Quando precisar intervir, escolha a ação menos disruptiva para sua situação. Sua escolha de ação e tipo de agente determina qual interface você usa para gerenciar o agente. Use as guias em cada seção para identificar a interface certa para seu cenário.
Administração Microsoft 365 Center inclui agentes do Foundry em seu inventário de agente completo. Você pode parar e iniciar convenientemente aplicativos de agente diretamente da entrada do Registro.
| Tipo de agente | Ações com suporte no Centro de Administração Microsoft 365 |
|---|---|
| Aplicativos de agente | Parar, Iniciar |
| Agentes de fundição | Nenhum – usar outra interface |
Parar um agente
Parar um agente é a abordagem preferencial para a maioria das situações. Parar desabilita o agente sem destruir recursos. Você pode reiniciar o agente mais tarde.
Quando você abre a página de detalhes do agente para um aplicativo de agente do Foundry, o Centro de Administração Microsoft 365 verifica automaticamente se você tem as permissões necessárias para gerenciar o agente. Se você fizer isso, um botão Parar ou Iniciar estará disponível na parte superior da página, com base no estado atual do aplicativo. Se você não vir esses botões mas for um Administrador Global, siga a orientação para elevar automaticamente seu acesso e atribuir a si a função Proprietário de Azure AI na aplicação do agente.
Se o aplicativo do agente estiver em execução no momento, selecione Parar para pará-lo. Essa ação interrompe todas as implantações de agente associadas ao aplicativo. O aplicativo do agente e suas implementações ainda estão presentes. Você pode iniciá-los novamente mais tarde.
Quando estiver pronto para iniciar o aplicativo do agente novamente, selecione Iniciar. Essa ação inicia a implantação mais recente do aplicativo do agente. Se você precisar iniciar outras implantações, use a API REST.
Se você elevou seu acesso, certifique-se de removê-lo quando terminar.
Excluir um agente (último recurso)
A exclusão remove permanentemente os recursos do agente e não pode ser desfeita. Antes de excluir, verifique se nenhum outro locatário ou equipe depende do agente e confirme se os proprietários de recursos concordam com a remoção permanente.
Não há suporte para a exclusão de agentes do Foundry no Centro de Administração Microsoft 365. Use outra interface para excluir, se realmente necessário.