Gerenciar identidades de agente em sua organização

ID do agente Microsoft Entra fornece um conjunto centralizado de ferramentas para gerenciar identidades de agente em toda a sua organização. As identidades do agente são um tipo de identidade distinto no Microsoft Entra ID, projetadas para agentes de IA com controles de classificação, metadados e segurança adaptados a cargas de trabalho de agentes.

Este artigo aborda as principais tarefas de gerenciamento de agente: desde exibir e desabilitar agentes até controlar o acesso, monitorar a atividade e responder aos riscos de segurança. Se você é um administrador responsável pela supervisão de agentes em todo o locatário ou um patrocinador que gerencia agentes específicos, este guia fornece as informações necessárias para gerenciar efetivamente as identidades de agentes em sua organização.

Pré-requisitos

Diferentes tarefas de gerenciamento exigem diferentes funções e licenças. A tabela a seguir resume as funções necessárias para cada área de gerenciamento de identidade do agente.

Tarefa Função necessária Observações
Exibir identidades do agente Microsoft Entra conta de usuário Nenhuma função de administrador necessária para exibição.
Gerenciar identidades do agente Administrador de ID do agente ou administrador de aplicativos na nuvem Os proprietários de identidade de agente podem gerenciar seus próprios agentes sem essas funções.
Criar blueprints do agente Desenvolvedor de Agente ID O usuário é adicionado como proprietário do blueprint e de sua entidade de serviço.
Configurar as políticas de acesso condicional Administrador de Acesso Condicional Requer uma licença Microsoft Entra ID P1.
Exibir relatórios de risco da Proteção de ID Administrador de segurança, operador de segurança ou leitor de segurança Requer licença Microsoft Entra ID P2 durante o período de teste.
Configurar fluxos de trabalho do ciclo de vida Administrador de Fluxos de Trabalho do Ciclo de Vida  

Exibir identidades do agente

O centro de administração do Microsoft Entra fornece uma interface centralizada para exibir todas as identidades do agente em seu locatário. Você pode pesquisar, filtrar, classificar e personalizar colunas para encontrar agentes específicos.

  1. Entre no centro de administração do Microsoft Entra.
  2. Navegue até Entra ID>Agentes>Identidades dos agentes.
  3. Selecione qualquer identidade do agente para exibir seus detalhes, incluindo nome, descrição, status, proprietários, patrocinadores, permissões concedidas e logs de entrada.

Para pesquisar um agente específico, insira o nome ou a ID do objeto na caixa de pesquisa ou adicione o filtro de ID do aplicativo Blueprint . Você pode personalizar quais colunas são mostradas selecionando o botão Escolher colunas . As colunas disponíveis incluem Nome, Criado em, Status, ID do Objeto, Permissão de Visualização, ID do Aplicativo Blueprint, Proprietários e Patrocinadores e Usa a identidade do agente.

Para obter instruções detalhadas sobre filtragem, personalização de coluna e visualização de agentes nessa exibição, consulte Exibir e filtrar identidades do agente no seu locatário.

Gerenciar esquemas de identidade do agente

Esquemas de identidade do agente são as definições principais a partir das quais as identidades de agentes individuais são criadas. O centro de administração permite exibir todas as entidades de blueprint, gerenciar suas permissões e monitorar sua atividade.

  1. Entre no centro de administração do Microsoft Entra.
  2. Navegue até Entra ID>Agentes>blueprint de agentes.
  3. Selecione qualquer entidade de blueprint de identidade de agente para gerenciá-la.

Na página de gerenciamento de um blueprint, você pode:

  • Exibir identidades de agente vinculado: consulte todas as identidades de agente filho criadas a partir deste blueprint.
  • Gerenciar o acesso de blueprint: exibir, gerenciar e revogar permissões atribuídas ao blueprint.
  • Gerenciar proprietários e patrocinadores: os proprietários lidam com a administração técnica, enquanto os patrocinadores são responsáveis pelas decisões de finalidade e ciclo de vida do agente.
  • Exibir logs de auditoria: Monitorar alterações administrativas para segurança e conformidade.
  • Exibir logs de entrada: monitore eventos de autenticação.
  • Desabilitar o projeto: selecione Desabilitar na barra de comandos.

Para obter instruções detalhadas, consulte Exibir e gerenciar blueprints de identidade do agente no seu locatário.

Configurar permissões herdáveis para blueprints

As permissões herdáveis permitem que as identidades do agente herdem automaticamente, do blueprint pai, os escopos de permissão delegados do OAuth 2.0. Quando você configura permissões herdáveis em um blueprint, as identidades de agente recém-criadas recebem um conjunto base de escopos sem a necessidade de solicitações interativas de consentimento de usuário ou administrador.

Há suporte para dois padrões de herança por aplicativo de recurso:

Padrão Descrição
Escopos enumerados Herda apenas escopos explicitamente listados. Use para controle detalhado.
Todos os escopos permitidos Herda todos os escopos delegados disponíveis para o aplicativo de recursos. Escopos recém-concedidos no blueprint são incluídos automaticamente.

Comece com escopos enumerados usando apenas permissões essenciais e expanda conforme necessário. Essa abordagem segue o princípio do privilégio mínimo e facilita a auditoria de quais permissões os agentes realmente usam.

Limites principais:

  • Máximo de 10 aplicativos de recursos por blueprint.
  • Para escopos enumerados, no máximo 40 escopos por aplicativo de recurso.
  • Alguns escopos de alto privilégio são bloqueados pela política de plataforma e não podem ser herdados.

As permissões herdáveis são configuradas por meio da propriedade de navegação inheritablePermissions no recurso de aplicativo agentIdentityBlueprint usando Microsoft Graph. Para obter exemplos de API passo a passo (adicionar, atualizar, excluir), consulte Configurar permissões herdáveis para blueprints de identidade do agente.

Controlar o acesso do agente aos recursos

As políticas de Acesso Condicional fornecem controles em todo o locatário para autenticação de identidade do agente. Você pode usar essas políticas para bloquear todas as identidades do agente, permitir apenas agentes específicos ou bloquear agentes arriscados com base em sinais de Proteção de ID.

Principais pontos sobre o Acesso Condicional para identidades de agente:

  • As políticas podem definir o escopo para Todas as identidades do agente ou Todos os usuários do agente com um controle de concessão de Bloqueio.
  • As políticas podem direcionar todos os recursos para impedir o acesso do agente em toda a sua organização.
  • Condições de risco do agente (alta, média, baixa) permitem bloquear agentes com base em sinais de risco da Proteção de ID.
  • As políticas dão suporte ao modo somente de relatório para uma avaliação segura antes de sua aplicação.

Importante

A imposição de acesso condicional se aplica quando uma identidade de agente ou conta de usuário do agente solicita um token para qualquer recurso. Ele não se aplica quando um modelo de identidade de agente adquire um token para criar identidades de agente ou contas de usuário do agente.

Para obter uma configuração de política detalhada, instruções passo a passo e exemplos de cenário de negócios, consulte Acesso Condicional para ID do Agente.

Monitorar a atividade do agente

Registros de login e auditoria

As atividades de identidade do agente são capturadas nos logs de auditoria e de entrada do Microsoft Entra:

  • Os Logs de auditoria registram eventos relacionados ao agente no tipo de identidade base do qual eles se originam. Por exemplo, a criação de um usuário de identidade de agente aparece como uma atividade de auditoria "Criar usuário", e a criação de uma identidade de agente aparece como uma atividade de auditoria "Criar entidade de serviço".
  • Os Logs de entrada incluem o agentSignIn tipo de recurso, que fornece propriedades sobre o agente e seu comportamento de entrada.

Para exibir os logs de entrada do agente:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
  2. Navegue até Entra ID>Monitoramento e saúde>Registros de entrada.
  3. Use os seguintes filtros:
    • Tipo de agente: escolha entre Usuário de ID do agente, Identidade do agente, Blueprint de identidade do agente ou Não agente.
    • É Agente: Escolha entre Não ou Sim.

Você também pode recuperar eventos de entrada do agente usando Microsoft Graph:

GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'

Para obter detalhes completos sobre tipos de log e métodos de acesso, consulte ID do agente Microsoft Entra logs.

Detectar e corrigir o risco do agente

Proteção de Identidade para agentes

Microsoft Entra ID Protection monitora as identidades do agente para comportamento anômalo. Ele detecta seis tipos de risco offline, incluindo acesso a recursos desconhecidos, picos de entrada e tentativas de acesso com falha. Os administradores podem examinar o relatório de Agentes Arriscados e executar ações de resposta: confirmar comprometimento, confirmar segurança, descartar riscos ou desabilitar o agente.

Observação

A Proteção de Identidade para agentes requer uma licença P2 do Microsoft Entra ID durante a pré-visualização.

Quando você confirma um agente como comprometido, o nível de risco é definido como Alto. Se você tiver uma política de Acesso Condicional configurada para bloquear o Alto Risco do Agente, o agente será automaticamente impedido de acessar recursos.

Para obter a tabela de detecção de risco completa, ações de resposta, detalhes do API do Graph e passo a passo do relatório, consulte Identity Protection para agentes.

Responder a incidentes de segurança do agente

Quando a atividade do agente disparar uma detecção de risco ou preocupação de segurança, siga esta sequência:

  1. Detectar: Examinar o relatório Risky Agents no centro de administração do Microsoft Entra. As detecções de risco podem ser vistas por até 90 dias. Os detalhes incluem o nome de exibição do agente, o estado de risco, o nível de risco, o tipo de agente e os patrocinadores.
  2. Responder: Execute uma ação imediata:
    • Confirmar comprometimento: define o nível de risco como Alto e dispara políticas de Acesso Condicional baseadas em risco configuradas para bloquear o Alto Risco do Agente.
    • Desativar: Impede todas as entradas no Microsoft Entra ID e aplicativos conectados.
  3. Investigar: Revise os detalhes de detecção de risco, os logs de entrada e os logs de auditoria para compreender o escopo e o impacto.
  4. Recuperar: com base na sua investigação:
    • Se falso positivo: ignore o risco e habilite novamente o agente.
    • Em caso de comprometimento verdadeiro: girar as credenciais antes de habilitar novamente ou desativar a identidade do agente.

Para obter informações detalhadas sobre tipos de risco, mecanismos de detecção e ações de resposta, consulte a Proteção de Identidade para agentes.

Controlar identidades de agente e supervisão de patrocinadores

Cada identidade de agente deve ter um patrocinador humano responsável pelo gerenciamento do ciclo de vida e pelas decisões de acesso. Os principais comportamentos de governança incluem:

  • Transferência automática de patrocínio: Se um patrocinador deixar a organização, o Microsoft Entra ID reatribui automaticamente o patrocínio ao gerente do patrocinador.
  • Notificações de expiração: os patrocinadores recebem notificações quando as atribuições de pacote de acesso se aproximam da expiração. Os patrocinadores podem solicitar uma extensão (que dispara um novo ciclo de aprovação) ou permitir que as atribuições expirem.
  • Caminhos de solicitação de acesso: os pacotes de acesso podem ser solicitados por meio de três caminhos: a solicitação programática do próprio agente, um patrocinador em nome do agente ou uma atribuição direta de administrador.

Os pacotes de acesso podem conceder associações a Grupos de Segurança, permissões de API OAuth de Aplicativos (incluindo permissões de aplicativo Microsoft Graph) e funções da Microsoft Entra.

Para obter a visão geral de governança completa, incluindo a configuração do pacote de acesso e as políticas de patrocinador, consulte Identidades do agente de controle.

Automatizar notificações para patrocinadores com fluxos de trabalho do ciclo de vida

Os fluxos de trabalho do ciclo de vida oferecem duas tarefas automatizadas para o gerenciamento de identidade de agentes:

  • Enviar email ao gerente sobre as alterações de patrocínio
  • Enviar e-mail aos copatrocinadores sobre alterações de patrocinadores

Ambas são tarefas de categoria mover e sair: elas disparam somente em modelos de fluxo de trabalho mover ou sair, não em modelos de junção. Isso garante a continuidade do patrocínio quando o patrocinador de um agente muda de função ou deixa a organização.

Para obter a configuração do fluxo de trabalho passo a passo, consulte Tarefas do patrocinador de identidade do agente nos fluxos de trabalho do ciclo de vida.

Automatizar o gerenciamento de agentes em grande escala

Para organizações que gerenciam um grande número de identidades de agente, as seguintes opções estão disponíveis:

  • Desabilitar várias seleções: o centro de administração dá suporte à seleção de várias identidades de agente ao mesmo tempo e à desabilitação delas em lote na página Todas as identidades do agente .
  • Microsoft API do Graph: os endpoints de identidade de agente suportam o gerenciamento programático. Por exemplo, a proteção de ID expõe coleções riskyAgents e agentRiskDetections para monitoramento de risco programático.

Desativar ou restringir identidades de agente

As organizações podem controlar o uso de identidade do agente em três níveis, dependendo do escopo necessário:

Scope O que faz Detalhes
Agente individual Desabilite uma identidade de agente específica para bloquear seu acesso e emissão de token. Os administradores usam o centro de administração; proprietários e patrocinadores usam o portal Minha Conta. Exibir e filtrar identidades do agente em seu locatário · Gerenciar agentes na experiência do usuário final
Nível de projeto Desabilite um modelo de identidade de agente na sua página de gerenciamento. Isso impede que novas identidades de agente sejam criadas a partir desse blueprint e bloqueia as existentes. Exibir e gerenciar blueprints de identidade de agente no seu locatário
Todos os locatários Bloqueie toda a autenticação de identidade do agente usando políticas de Acesso Condicional e, opcionalmente, bloqueie a criação de novas identidades de agente por meio de controles específicos do produto (Microsoft Entra ID, Security Copilot, Copilot Studio, Fábrica de IA do Azure, Microsoft Teams). Desabilitar identidades de agente no seu locatário

Habilitar novamente uma identidade de agente desabilitada em qualquer escopo restaura o acesso e a emissão de token.

Cuidado

Desativar globalmente identidades de agente pode fazer com que os agentes existentes falhem, degradem experiências dos produtos da Microsoft e pressionem as equipes a usar identidades principais de serviço ou de aplicativos menos transparentes. Avalie o impacto antes de impor. Para uma abordagem parcial, use políticas de Acesso Condicional para bloquear agentes específicos em vez de todas as identidades do agente.

Conteúdo relacionado

  • Last updated on