Perguntas frequentes sobre ID do agente Microsoft Entra

Microsoft Graph APIs que dão suporte a relações envolvendo identidades de agente como /ownedObjects, /deletedItems e /owners não dão suporte à filtragem por tipo de entidade. Use as APIs existentes e filtre os resultados no lado do cliente usando a odata.type propriedade para identificar objetos de identidade do agente na resposta.

Quando um modelo de identidade de agente ou identidade de agente é excluído, as contas de usuário dos agentes associados permanecem no cliente. Eles não aparecem como desativados ou excluídos, embora não possam autenticar. Exclua as contas de usuário de agentes órfãos manualmente usando o Microsoft API do Graph ou Microsoft Entra PowerShell.

Ao criar objetos de identidade do agente em rápida sucessão usando APIs de Microsoft Graph, as solicitações podem falhar com erros como 400 Bad Request: Object with id {id} not found. As sequências comuns que disparam esse comportamento incluem:

• Criando um blueprint de identidade de agente e, em seguida, criando imediatamente um blueprint principal.
• Criando um blueprint principal e, em seguida, imediatamente usando o blueprint para criar uma identidade de agente.
• Criando uma identidade de agente e criando imediatamente a conta de usuário de um agente.

Essas falhas são mais comuns ao usar permissões somente de aplicativo. Use permissões delegadas sempre que possível e adicione lógica de repetição com recuo exponencial às suas solicitações.

Sim. Plataformas não Microsoft que usam permissões exclusivas de aplicativo são limitadas a 250 modelos de identidade de agente ativo por locatário. Cada um desses modelos é limitado a 250 identidades de agente ativo. As solicitações de permissão delegada de usuários administradores não contam para esse limite. Plataformas de propriedade da Microsoft, como o Microsoft Agent 365, não estão sujeitas a esse limite.

Para obter mais informações, consulte Limites e restrições de serviço do Microsoft Entra. Entre em contato com seu representante do Microsoft se seu cenário exigir exceder esses limites.

Não há mecanismos de notificação embutidos para aprovação do projeto de identidade do agente. Quando um administrador de locatário cria ou aprova um modelo de identidade do agente para seu agente, você não é notificado pelo Microsoft Entra ou pelo Microsoft Graph.

Para verificar se o blueprint foi aprovado em um locatário específico, faça uma consulta ao Microsoft API do Graph para buscar objetos principais de blueprint associados ao seu aplicativo. Se um administrador ainda não aprovou o blueprint, a consulta não retornará nenhum resultado para esse locatário.

Definições de função personalizadas não dão suporte a ações para gerenciar identidades de agente. Use as funções internas de Administrador de ID do Agente e Desenvolvedor de ID do Agente para todo o gerenciamento de identidade do agente.

Identidades do agente, esquemas de identidade do agente e principais de esquema de identidade do agente não podem ser adicionados a unidades administrativas. Use a owners propriedade de identidades de agente para limitar quais usuários podem gerenciar objetos específicos.

A função administrador de ID do agente não tem permissão para atualizar fotos para a conta de usuário de um agente. Use a função administrador de usuário para esta tarefa.

As regras dinâmicas de associação de grupo não dão suporte ao direcionamento da conta de usuário de um agente. Use grupos atribuídos para gerenciar as associações de grupo da conta de usuário de um agente.

As identidades do agente não podem entrar nas páginas de entrada do Microsoft Entra ID, o que significa que não podem usar autenticação única com os protocolos OpenID Connect ou SAML. Use as APIs web disponíveis para integrar agentes com aplicativos e serviços de ambiente de trabalho.

O fluxo de trabalho de consentimento Microsoft Entra ID admin não funciona corretamente para permissões solicitadas por identidades de agente. Os usuários devem entrar em contato com o administrador do locatário Microsoft Entra para solicitar que concedam permissões diretamente à identidade do agente.

O aumento de segurança baseado em risco é aplicado para fluxos de consentimento de identidade do agente. Se o consentimento de um usuário for bloqueado, não haverá solução alternativa. O usuário deve resolver o risco sinalizado antes que o consentimento possa continuar.

Os logs de auditoria não distinguem as identidades do agente de outros tipos de identidade Microsoft Entra por padrão:

• As operações em identidades de agente, blueprints e entidades de blueprint são registradas na categoria ApplicationManagement.
• As operações nas contas de usuário dos agentes são registradas na categoria Gerenciamento de Usuário .
• As operações iniciadas pelas identidades do agente aparecem como entidades de serviço.
• As operações iniciadas pelas contas de usuário dos agentes são exibidas como sendo de usuários.

Para identificar a atividade relacionada à ID do agente, use os IDs de objeto dos logs de auditoria para consultar o Microsoft Graph e determinar o tipo de entidade. Você também pode usar a ID de correlação dos logs de login para localizar a identidade do ator ou sujeito envolvido na atividade.

Os logs de atividades do Microsoft Graph atualmente não separam identidades de agente dos outros tipos de identidade.

• Solicitações das identidades dos agentes são registradas como aplicações, com a identidade do agente incluída na coluna appID .
• As solicitações das contas de usuário dos agentes são registradas como usuários, com a ID do usuário do agente na coluna UserID .

Use os logs de entrada do Microsoft Entra para determinar o tipo de entidade.

O SDK usado depende do cenário:

Microsoft CLI e SDK do Agente 365 são o ponto de partida recomendado para a maioria dos desenvolvedores. A CLI lida com provisionamento de identidade do agente, criação de blueprint e configuração de permissões em um único comando. O SDK gerencia a aquisição de token em tempo de execução. Para obter mais informações, consulte documentação do SDK do Microsoft Entra Agent 365.

Microsoft. O Identity.Web fornece APIs de nível superior para aquisição de tokens para identidades de agente em aplicativos .NET. Use o Microsoft. Identity.Web.AgentIdentities pacote para simplificar o gerenciamento de identidades do agente.

O contêiner do SDK Microsoft Entra encapsula Microsoft. Identity.Web como um serviço Web implantado como um contêiner de sidecar. Use essa opção quando o agente for executado no Kubernetes e/ou não for desenvolvido em .NET. Para obter mais informações, consulte Microsoft Entra SDK for Agent ID.

Microsoft Graph APIs fornecem gerenciamento de identidade do agente quando as outras opções não se ajustam ao seu cenário. Para obter mais informações, consulte Microsoft API do Graph para planos de identidade de agente.