Pacotes de acesso para identidades do Agente

O gerenciamento de direitos do Microsoft Entra fornece pacotes de acesso como um mecanismo de governança. Os pacotes de acesso garantem que as atribuições de acesso do agente sejam intencionais, auditáveis e associadas ao tempo. Os pacotes de acesso representam uma abordagem estruturada para gerenciar permissões de identidade do agente, contrastando com atribuições de permissão ad hoc que podem não ter controles de governança apropriados. Os pacotes de acesso permitem o acesso padronizado para muitos Agentes de IA com as mesmas necessidades de acesso, por exemplo, uma frota de Agentes de IA de suporte ao cliente. Por meio de pacotes de acesso, as organizações podem estabelecer práticas de governança consistentes para a identidade do agente, a conta de usuário do agente e o acesso da entidade de serviço aos recursos. Para obter mais informações, consulte Gerenciamento de identidades de agentes.

Pré-requisitos

Antes de criar um pacote de acesso, confirme se os seguintes pré-requisitos são atendidos em sua organização:

  1. Os agentes estão usando identidades do ID do agente Microsoft Entra, ou entidades de serviço, para autorização e acesso a recursos.

  2. A autorização é uma das seguintes:

    • Os agentes precisam de sua identidade para receber permissões de aplicativo OAuth para um recurso de destino, como o Microsoft Graph ou um aplicativo, para poder acessar as APIs de um recurso de destino.
    • Os agentes precisam que sua identidade seja atribuída como membros de grupos.
    • Os agentes precisam de sua identidade para serem atribuídos a funções de diretório. As funções permitidas são listadas em Microsoft Entra funções permitidas para agentes.

  3. Você tem ou pode criar um catálogo de gerenciamento de direitos adequado para armazenar esses recursos. O pacote de acesso que você criará e todos os recursos incluídos nele serão adicionados ao catálogo. Para obter mais informações, consulte criar um catálogo.

    Observação

    Se você adicionar permissões ou funções de diretório da API OAuth ao pacote de acesso como funções de recurso, o catálogo será marcado como privilegiado quando eles forem adicionados ao pacote de acesso.

Criar um pacote de acesso para identidades de agente

Para usar pacotes de acesso para agentes, o administrador de TI primeiro configura um novo pacote de acesso com os recursos relevantes, incluindo funções de Entra, associações de grupo e concessões de permissão OAuth para APIs de aplicativo. Em seguida, o administrador configura no pacote de acesso as configurações de política necessárias. Essas configurações definem quem pode obter acesso, quem pode solicitar acesso, aprovações, expiração de acesso e extensão.

Como identidades de agente e entidades de serviço não podem ser adicionadas por meio de pacotes de acesso a funções de aplicativo, funções SAP ou funções de site do SharePoint Online, você não poderá reutilizar um pacote de acesso existente que contenha qualquer uma dessas funções de recurso. Em vez disso, crie um novo pacote de acesso.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

    Dica

    Se você adicionar permissões de API OAuth ou funções de diretório ao pacote de acesso como funções de recurso, será necessário ser um Administrador Global.

  2. Navegue até ID Governance>Gerenciamento de Direitos>Pacotes de Acesso.

  3. Selecione Novo pacote de acesso.

  4. Na guia Noções básicas , você dá um nome ao pacote de acesso e uma descrição e especifica em qual catálogo criar o pacote de acesso. Na lista de seleção Catálogo, selecione o catálogo no qual você deseja colocar o pacote de acesso.

  5. Selecione Avançar: funções de recurso. Na guia Funções de recurso , você seleciona as funções de recurso a serem incluídas no pacote de acesso. Pacotes de acesso para identidades de agente podem ter associações de grupo de segurança, funções de diretório ou permissões de API como funções de recurso. Para obter mais informações, consulte adicionar um grupo, adicionar uma função Microsoft Entra e adicionar uma permissão de API. Não adicione funções de aplicativo, funções SAP ou funções de site do SharePoint Online a um pacote de acesso para identidades de agente.

    Dica

    Se você não tiver certeza de quais funções de recurso incluir, ignore a adição delas durante a criação do pacote de acesso e adicione-as posteriormente.

  6. Selecione Avançar: solicitações. Na guia Solicitações, você cria a primeira política para especificar quem pode solicitar o pacote de acesso. na seção Quem pode obter acesso , selecione Para usuários, entidades de serviço e identidades de agente em seu diretório. Em Selecionar escopo específico, selecione a opção Todos os agentes.

    Observação

    Se seus agentes estiverem usando principais de serviço em vez de identidades de agente do Microsoft Entra, crie também uma política de atribuição de pacote de acesso com a opção Todos os principais de serviço para permitir que os principais de serviço em seu diretório possam solicitar esse pacote de acesso.

  7. Determine quantos estágios de aprovação são necessários. Defina o Número de fases como 1 para aprovação de fase única, como 2 para aprovação de duas fases ou como 3 para aprovação de três fases. Em seguida, configure os estágios de aprovação e quem devem ser os aprovadores. Para obter mais informações, consulte aprovação em estágio único.

  8. Depois de especificar cada estágio de aprovação, selecione Avançar: Informações do Solicitante.

  9. Selecione Avançar: Ciclo de Vida. Especifique por quanto tempo uma atribuição de pacote de acesso deve permanecer antes de expirar.

  10. Selecione Avançar: Regras.

  11. Selecione Avançar: Revisar + criar. Na guia Revisar + criar, você pode examinar as configurações e verificar se há erros de validação.

  12. Clique em Criar para criar o pacote de acesso e sua política inicial.

Além de usar o Centro de Administração do Microsoft Entra, você também pode criar um pacote de acesso de forma programática, através do Microsoft Graph e dos cmdlets do PowerShell para Microsoft Graph. Para obter mais informações, consulte Criar um pacote de acesso programaticamente.

Processo de solicitação e aprovação de acesso

Os agentes podem receber pacotes de acesso por meio de três caminhos de solicitação diferentes.

Após o envio, a solicitação de acesso é roteada para aprovadores designados com base na configuração da política de pacote de acesso.

Ciclo de vida da atribuição de acesso

Depois que um aprovador aceita a solicitação de atribuição de pacote de acesso, a identidade do agente recebe acesso associado ao tempo aos recursos especificados. O acesso é concedido de acordo com as funções de recurso definidas no pacote de acesso. Isso estabelece uma data de início e término clara para o acesso que o agente pode precisar.

Se a atribuição for para uma identidade de agente e um patrocinador for definido na identidade do agente, conforme a data de expiração se aproximar, o patrocinador receberá notificações sobre o término pendente. Em seguida, o patrocinador tem duas opções: pode solicitar uma extensão do pacote de acesso (se permitido pela política) ou permitir que a atribuição do pacote de acesso expire.

Se o patrocinador solicitar uma extensão, essa solicitação poderá disparar um novo ciclo de aprovação, em que os aprovadores confirmarão novamente se o acesso contínuo é apropriado. Se o patrocinador não tomar nenhuma ação, a atribuição do pacote de acesso expirará automaticamente na data de término e a identidade do agente perderá o acesso aos recursos de destino.

Conteúdo relacionado

  • Last updated on