Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Você precisa fazer parte do programa de visualização Frontier para obter acesso antecipado ao Microsoft 365 Agent. A Frontier conecta você diretamente com as inovações de IA mais recentes da Microsoft. As versões preliminares da Frontier estão sujeitas aos termos de versão preliminar existentes dos contratos de cliente. Como esses recursos ainda estão em desenvolvimento, sua disponibilidade e capacidades podem mudar ao longo do tempo.
A CLI do Agent 365 precisa de um registro de aplicativo cliente personalizado em seu locatário Microsoft Entra ID para autenticar e gerenciar Blueprints de Identidade do Agente.
Este artigo divide o processo em quatro etapas principais:
- Aplicação de registro
- Defina o URI de Redirecionamento
- Copiar ID do Aplicativo (cliente)
- Configurar permissões de API
Se tiver problemas, consulte a seção de Solução de Problemas .
Pré-requisitos
Antes de começar, verifique se você tem acesso a centro de administração do Microsoft Entra e, se necessário, uma das funções de administrador necessárias para conceder consentimento.
Para registrar o aplicativo
Por padrão, qualquer usuário no inquilino pode registrar aplicativos no centro de administração do Microsoft Entra. No entanto, administradores de inquilinos podem restringir essa capacidade. Se você não puder registrar seu aplicativo, entre em contato com seu administrador.
Para adicionar permissões e conceder consentimento
Você precisa de uma dessas funções administrativas para 4. Configurar permissões de API.
- Administrador de Aplicativos: Recomendado - pode gerenciar registros de aplicativos e conceder consentimento
- Administrador de Aplicações em Nuvem: Pode gerenciar registros de aplicativos e conceder consentimento
- Administrador Global: Tem todas as permissões, mas não é obrigatório
Dica
Não tem acesso de administrador? Você pode completar as etapas 1 a 3 sozinho e depois pedir ao administrador do inquilino para completar a etapa 4. Forneça a eles seu ID de Aplicação (cliente) do passo 3 e um link para a seção Configurar Permissões da API .
Registro de Aplicativo
Essas instruções resumem todas as instruções para criar um cadastro de aplicativo.
Selecione Registros de aplicativo
Selecione Novo registro
Digite:
-
Nome: Insira um nome significativo para seu app, como
my-agent-app. Os usuários do aplicativo veem esse nome e você pode alterá-lo a qualquer momento. Você pode ter vários registros de aplicativo com o mesmo nome. - Tipos de conta suportados: Contas apenas neste diretório organizacional (Inquilino único)
-
Redirecionar URI: Selecione cliente público/nativo (móvel e desktop) e entre
http://localhost:8400/
-
Nome: Insira um nome significativo para seu app, como
Escolha Registrar
A CLI requer três URIs de redirecionamento no total. A CLI adiciona automaticamente todos os que estão ausentes quando você executa a365 config init ou a365 setup requirements:
| URI | Propósito |
|---|---|
http://localhost:8400/ |
Biblioteca do Microsoft Authenticator (MSAL) autenticação interativa do navegador |
http://localhost |
SDK do PowerShell do Microsoft Graph Connect-MgGraph |
ms-appx-web://Microsoft.AAD.BrokerPlugin/{client-id} |
Usando o WAM (Gerenciador de Contas Web) |
Veja o que a CLI configura automaticamente para obter detalhes.
2. Definir o URI de redirecionamento
- Vá até Visão Geral e copie o valor ID de Aplicação (cliente).
- Vá em Autenticação (prévia) e selecione Adicionar URI de Redirecionamento.
- Selecione Aplicativos móveis e desktop e defina o valor como
ms-appx-web://Microsoft.AAD.BrokerPlugin/{client-id}, em que{client-id}é o valor Application (ID do cliente) copiado. - Selecione Configurar para adicionar o valor.
3. Copiar ID do Aplicativo (cliente)
Na página de Visão Geral do app, copie o ID do aplicativo (cliente) no formato GUID. Insira esse valor ao usar o a365 config init comando.
Dica
Não confunda esse valor com o ID do Objeto - você precisa do ID da Aplicação (cliente).
4. Configurar permissões de API
Importante
Você precisa de privilégios de administrador para essa etapa. Se você é um desenvolvedor sem acesso de administrador, envie seu ID de Application (cliente) do Passo 3 para o administrador do seu tenant e peça para que ele complete essa etapa.
No registro do aplicativo, acesse as permissões de API.
Selecione Adicionar uma permissão>Microsoft Graph>Permissões delegadas.
Importante
Você deve usar permissões delegadas (não permissões de aplicativo). O CLI autentica de forma interativa – você faz login e ele age em seu nome. Para saber mais, consulte Tipo de permissão incorreto.
Adicione estas seis permissões uma a uma:
Permissão Propósito AgentIdentityBlueprint.ReadWrite.AllGerenciar configurações do Blueprint do Agente AgentIdentityBlueprint.UpdateAuthProperties.AllAtualizar permissões herdáveis do Agente Blueprint Application.ReadWrite.AllCriar e gerenciar aplicações e Blueprints de Agentes DelegatedPermissionGrant.ReadWrite.AllConceder permissões para blueprints de agentes Directory.Read.AllLeia os dados do diretório para validação User.ReadWrite.AllCriar usuários do agente, definir o local de uso e atribuir licenças Para cada permissão:
- Na caixa de busca, digite o nome da permissão (por exemplo,
AgentIdentityBlueprint.ReadWrite.All). - Marque a caixa de seleção ao lado da permissão.
- Selecione Adicionar Permissões.
- Repita para todas as seis permissões.
- Na caixa de busca, digite o nome da permissão (por exemplo,
Selecione Conceder consentimento administrativo para [Seu Inquilino].
- Por que isso é obrigatório? Os Blueprints de Identidade do Agente são recursos do locatário aos quais vários usuários e aplicativos podem fazer referência. Sem consentimento de todo o inquilino, a CLI falha durante a autenticação.
- E se falhar? Você precisa de Administrador de Aplicações, Administrador de Aplicações em Nuvem ou Administrador Global. Peça ajuda ao administrador do locatário.
Verifique se todas as permissões mostram marcas verdes em Status.
Melhores práticas de segurança
Revise essas diretrizes para manter o registro do seu aplicativo seguro e em conformidade.
Certo:
- Use o registro de inquilino único.
- Conceda apenas as permissões delegadas necessárias.
- Audite permissões regularmente.
- Remova o app quando não for mais necessário.
Não:
- Conceda permissões de aplicativo. Use apenas delegado.
- Compartilhe o ID do cliente publicamente.
- Conceda outras permissões desnecessárias.
- Use o app para outros propósitos.
O que a CLI configura automaticamente
Quando você executa a365 config init ou a365 setup requirements, a CLI valida o registro do aplicativo e pode precisar fazer alterações. Antes de aplicar as alterações, a CLI mostra um resumo e solicita confirmação:
WARNING: The CLI needs to make the following changes to your app registration (<app-id>):
- Add redirect URI(s): http://localhost
- Enable 'Allow public client flows' (isFallbackPublicClient = true)
Do you want to proceed? (y/N):
Para ignorar o prompt de confirmação (por exemplo, em um ambiente de CI), use o --yes sinalizador:
a365 config init --yes
A tabela a seguir descreve cada alteração que a CLI pode fazer:
| Change | Reason |
|---|---|
Adicionar URI de redirecionamento http://localhost |
SDK do PowerShell do Microsoft Graph requer esse URI para autenticação do navegador. Sem ele, as operações de concessão OAuth2 retornam a um token que não tem as permissões delegadas necessárias e falham com o 403. |
Adicionar URI de redirecionamento http://localhost:8400/ |
A MSAL requer esse URI para autenticação interativa do navegador. |
Adicionar URI de redirecionamento ms-appx-web://Microsoft.AAD.BrokerPlugin/{id} |
Necessário para o Gerenciador de Contas Web (WAM), um gerenciador de autenticação do sistema operacional Windows. Saiba mais sobre como adquirir tokens associados ao dispositivo. |
| Habilitar "Permitir fluxos de cliente públicos" | Necessário para alternativa de autenticação de código do dispositivo no macOS, Linux, Subsistema do Windows para Linux (WSL), ambientes sem interface gráfica e como uma alternativa da Política de Acesso Condicional no Windows. |
| Adicionar permissões ausentes ao registro do aplicativo | Mantém o registro do aplicativo em sincronia com as permissões recém-necessárias após uma atualização da CLI. |
| Estender a concessão de consentimento do administrador | Estende a concessão de permissão OAuth2 existente para incluir permissões recém-provisionadas. Requer que DelegatedPermissionGrant.ReadWrite.All já tenha sido consentido. |
Se você recusar o prompt, a CLI não modificará o registro do aplicativo. Se forem necessárias alterações para que a CLI funcione, você poderá configurá-las manualmente em centro de administração do Microsoft Entra ou executar novamente com --yes.
Próximas etapas
Após registrar seu aplicativo cliente personalizado, use-o com a CLI do Agent 365 no ciclo de vida do desenvolvimento do Agent 365:
Resolução de problemas
Esta seção descreve como solucionar erros com o registro de aplicativos de cliente personalizados.
Dica
O Guia de Solução de Problemas do Agente 365 contém recomendações de resolução de problemas de alto nível, melhores práticas e links para conteúdo de solução de problemas para cada parte do ciclo de desenvolvimento do Agente 365.
Falha na validação da CLI durante a configuração
Sintoma: Executando o comando a365 config init ou a365 setup falha com erros de validação relacionados ao seu aplicativo cliente personalizado.
Solução: Use esta lista de verificação para verificar se o registro do seu aplicativo está correto:
# Run configuration to see validation messages
a365 config init
Resultado esperado: O CLI exibe Custom client app validation successful.
Se você não obtiver o resultado esperado, verifique cada uma das seguintes verificações:
| Verificação | Como Verificar | Corrigir |
|---|---|---|
| ✅ Uso do ID correto | Você copiou o ID do aplicativo (cliente ) (não o ID do objeto) | Acesse o aplicativo Overview em centro de administração do Microsoft Entra |
| ✅ Permissões delegadas | Permissões mostrar Tipo: Permissões delegadas na API | Veja Tipo de permissão errado |
| ✅ Todas as permissões adicionadas | Veja todas as permissões listadas abaixo | Siga o Passo 4 novamente |
| ✅ Consentimento do administrador concedido | Todos mostram a marca de seleção verde no Status | Veja Consentimento do administrador concedido incorretamente |
Permissão Delegada Necessária:
Application.ReadWrite.AllAgentIdentityBlueprint.ReadWrite.AllAgentIdentityBlueprint.UpdateAuthProperties.AllDirectory.Read.AllDelegatedPermissionGrant.ReadWrite.AllUser.ReadWrite.All
Consentimento do administrador concedido incorretamente
Sintoma: A validação falha mesmo que você tenha adicionado permissões.
Causa raiz: Você não concedeu o consentimento do administrador, ou concedeu-o incorretamente.
Solução: No registro do aplicativo no centro de administração do Microsoft Entra, acesse permissões de API e selecione Conceder consentimento de administrador para [Seu Locatário]. Verifique se todas as permissões mostram marcas verdes em Status.
Tipo de permissão errado
Sintoma: O CLI falha com erros de autenticação ou erros de permissão negada.
Causa raiz: Você adicionou permissões de aplicação em vez de permissões delegadas.
Esta tabela descreve os diferentes tipos de permissões.
| Tipo de permissão | Quando usar | Como a CLI do Agente 365 Usa Isso |
|---|---|---|
| Delegado ("Escopo") | O usuário faz login interativamente | O Agente 365 CLI usa isso - Você faz login, a CLI age em seu nome |
| Aplicação ("Função") | O serviço roda sem o usuário | Não use - apenas para serviços em segundo plano/daemons |
Por que delegar?
- Você faz login de forma interativa (autenticação do navegador)
- A CLI realiza ações como você (as trilhas de auditoria mostram sua identidade)
- Mais seguro - limitado pelas suas permissões reais
- Garante responsabilidade e conformidade
Solução:
- Vá para centro de administração do Microsoft Entra>Registros de aplicativo> Seu aplicativo >permissões de API
- Remova quaisquer permissões de aplicação. Essas permissões aparecem como Aplicação na coluna Tipo .
- Adicione as mesmas permissões que as permissões Delegadas.
- Conceda o consentimento do administrador novamente.
App não encontrado durante a validação
Sintoma: CLI relata Application not found ou Invalid client ID erros.
Solution:
Verifique se você copiou o ID da aplicação (cliente) no formato GUID, e não o ID do Objeto:
- Vá para centro de administração do Microsoft Entra>Registros de aplicativo> Seu aplicativo >Overview
- Copie o valor sob ID de Aplicação (cliente)
- O formato deve ser:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Verifique se o aplicativo existe no seu locatário:
# Sign in to the correct tenant az login # List your app registrations az ad app list --display-name "<The display name of your app>"