Registro de aplicativo, identidades de agente e autenticação para Copilot Studio

Este artigo explica o registro do aplicativo, as identidades do agente e a autenticação para agentes Copilot Studio.

Noções básicas sobre identidades de agente

Como o Copilot Studio identifica agentes para autenticação?

Copilot Studio atribui um identificador exclusivo a cada agente para que ele possa se comunicar com canais (Teams, Omnichannel etc.) e serviços. Copilot Studio cria e gerencia automaticamente essas identidades.

Há dois tipos de identidades de agente:

• IDs de Agente do Entra: entidades de serviço do Microsoft Entra com um subtipo "Agente". Quando você habilita a Identidade do Agente do Entra para um ambiente, novos agentes recebem automaticamente as IDs do Agente do Entra.

• Registros de aplicativo (herdado): os agentes existentes criados antes de habilitar a Identidade de Agente do Entra continuam usando registros de aplicativos tradicionais.

Importante: as IDs do Agente são entidades de serviço com um subtipo "Agente". O fluxo de autenticação baseado em OAuth subjacente permanece o mesmo. As IDs do agente fornecem funcionalidades avançadas de visibilidade e gerenciamento de governança em comparação com os registros de aplicativos tradicionais.

Por que meu agente tem uma identidade em Microsoft Entra ID?

As identidades do agente permitem que seu agente se autentique com segurança ao se comunicar com canais (Teams, Omnichannel e muito mais) e serviços. Copilot Studio cria e gerencia automaticamente essas identidades seguindo Confiança Zero princípios de segurança.

Qual é a diferença entre agentes Copilot Studio e agentes Agente Builder?

• Agentes do Copilot Studio: recebe IDs do Agente do Entra (ou registros de aplicativos para agentes herdados) para autenticação com canais e serviços. Você pode habilitar o Entra Agent Identity no nível do ambiente no Centro de administração do Power Platform.

• Agentes do Construtor de Agentes: não exigem ou usam atualmente IDs de registro de aplicativo ou IDs do agente. Para obter mais informações, consulte Agent Builder no Microsoft 365 Copilot.

Trabalhando com identidades de agente

Preciso criar ou configurar manualmente uma identidade de agente?

Não. Copilot Studio gerencia automaticamente as identidades do agente:

• Novos agentes (quando a Identidade do Agente do Entra está habilitada): obtém automaticamente as IDs do Agente do Entra
• Agentes existentes: continuar usando registros de aplicativo

os padrões de segurança e conformidade do Microsoft orientam o gerenciamento automático de todas as credenciais. Você tem total visibilidade e controle no centro de administração do Microsoft Entra, onde pode monitorar a atividade de autenticação e gerenciar o ciclo de vida da identidade do agente.

Como fazer para descobrir qual registro de aplicativo ou ID do Agente pertence ao meu agente?

1. Em Copilot Studio, vá para Settings>Advanced>Metadata.
2. Exiba o ID do agente Entra (GUID) para agentes com identidades Entra.
3. Para agentes herdados com registros de aplicativo, a ID do Aplicativo é exibida na mesma seção.
4. Use este GUID para localizar a identidade em centro de administração do Microsoft Entra.

Posso trazer minha própria ID do Agente ou registro de aplicativo?

Não. Para garantir a segurança, a conformidade e a integração com canais e serviços, Copilot Studio requer gerenciamento automático.

Por que o Copilot Studio adiciona o proprietário à identidade do agente?

Copilot Studio adiciona o proprietário do agente para fornecer:

• Rastreabilidade de governança para cada agente
• Responsabilidade pelo ciclo de vida do agente
• Alinhamento com políticas de propriedade organizacional

Para IDs do Agente do Entra: o proprietário do agente é adicionado como um patrocinador com permissões limitadas em comparação com proprietários com plenos direitos, o que reduz preocupações de segurança em relação a modificações de permissões. Alguns agentes pré-existentes podem ainda não ter patrocinadores.

Para registros de aplicativo herdados: o proprietário do agente é adicionado como proprietário do registro do aplicativo. Para recusar a adição do proprietário do agente, entre em contato com o suporte.

Segurança e permissões

Quem pode gerar tokens usando a identidade do agente?

Para IDs do Agente do Entra

Uma entidade de blueprint da Microsoft cria e gerencia identidades de agente usando Credenciais de Identidade Federadas. Ninguém em seu locatário, incluindo administradores de locatários, pode gerar tokens usando a identidade do agente. Microsoft controla totalmente o blueprint e o mecanismo de autenticação.

Para registros de aplicativo legado

Usuários com funções de Administrador Global, Administrador de Aplicativos ou Administrador de Aplicativos na Nuvem podem criar segredos ou certificados do cliente para qualquer registro de aplicativo no locatário sem a necessidade de propriedade. Os usuários sem esses papeis devem ser designados como proprietários do registro específico do aplicativo para criar as credenciais necessárias para a geração de tokens. Copilot Studio não adiciona escopos ou permissões de API a esses registros de aplicativo, portanto, os tokens gerados dessas identidades não têm acesso a dados ou recursos do cliente.

Quais escopos estão anexados ao ID do agente Entra do meu agente?

Quando você publica um agente, Copilot Studio anexa permissões de API ao ID do agente Entra do agente que representam os conectores Power Platform que o agente está configurado para usar. Esses escopos descrevem apenas o acesso ao conector, não são permissões de recurso bruto, como Mail.Read ou Files.Read.All.

Como os escopos aparecem em Microsoft Entra ID

Cada conector tem sua própria entidade de serviço principal no seu locatário, por exemplo, Conector Work IQ Calendar MCP. Dependendo de como o criador configura o agente, a entidade de serviço do conector concede uma ou mais das seguintes permissões ao ID do Agente do Entra do agente:

• Operations.Execute.All é concedido quando o agente é configurado para usar o conector no nível do agente (ferramenta). O agente pode invocar qualquer operação exposta pelo conector.
• Escopos de operação individuais são concedidos quando o criador adicionou ações de conector específicas em vez de todo o conector. Somente as operações que o agente realmente utiliza são permitidas.
• Azure API Connections Runtime.All é usado como um fallback genérico para conectores que não definem escopos granulares.

Você pode revisar essas permissões na entidade de serviço da identidade do agente na centro de administração do Microsoft Entra, em Permissões de API.

Esse modelo dá aos administradores do Microsoft Entra ID e do Microsoft 365 visibilidade do que um agente pode fazer. Os administradores não precisam abrir o centro de administração do Power Platform, e o modelo de conector controlado por políticas liderado pelo fabricante permanece em vigor:

• Os criadores continuam a adicionar conexões usando conectores pré-aprovados pelas Políticas Avançadas de Conectores (ACP) e pelas políticas de prevenção contra perda de dados (DLP) do seu locatário.
• O runtime do conector do Power Platform só respeita esses escopos. No runtime, a plataforma do conector revalida se o agente pode usar o conector de acordo com as políticas ACP e DLP do seu locatário. Se um invasor obtiver a identidade de um agente, não poderá usar esses escopos para chamar o Microsoft Graph, o Outlook nem qualquer outra API diretamente, porque a plataforma de conectores intermedeia cada chamada e aplica suas políticas de governança.
• Como os escopos são permissões de API principais na ID do Agente do Entra do agente, os administradores podem aplicá-las a eles por meio de políticas de Acesso Condicional do Microsoft Entra. Por exemplo, você pode exigir locais de rede específicos, estado de conformidade do dispositivo ou níveis de risco antes que os tokens possam ser emitidos para um recurso de conector específico em uma identidade de agente. O Acesso Condicional é imposto hoje somente quando o agente é executado no Microsoft Teams (consulte a nota no início desta seção).

Em suma, os escopos descrevem o que um agente está configurado para fazer , enquanto ACP e DLP decidem o que ele pode fazer no momento da execução.

Quando os escopos são adicionados ou removidos

Os escopos são avaliados e aplicados quando o agente é publicado. Adicionar ou remover um conector (ou uma ação específica do conector) no agente e republicá-lo atualiza os escopos adequadamente.

Isso se aplica a registros de aplicativo herdados?

Não. Os escopos do conector são adicionados somente às IDs do Agente do Entra. Os registros de aplicativo herdados continuam sem escopos de API anexados, conforme descrito em Quem pode gerar tokens usando a identidade do agente. Hoje, esse comportamento se aplica a conectores de primeira parte e certificados do Power Platform; conectores personalizados, servidores MCP e ferramentas de API REST adicionados aos agentes não adicionam permissões de API ao ID do agente Entra.

Identidade do Agente do Entra

Posso desativar a Identidade de Agente do Entra?

Sim, no momento, você pode desativar no nível do ambiente na Central de administração do Power Platform. Consulte Criar automaticamente identidades de agente do Entra para obter instruções.

O que acontece com os agentes existentes quando eu habilitar a Identidade do Agente do Entra?

Os agentes existentes criados antes da habilitação da Identidade do Agente do Entra continuam usando registros de aplicativo. Elas serão migradas para IDs de Agente no futuro.

Características de migração:

• Preservação do GUID: os identificadores do agente permanecem idênticos (sem alterações significativas)
• Tempo de inatividade zero: os agentes continuam funcionando durante a migração
• Automático: Nenhuma ação manual necessária
• Compatibilidade de canal mantida: Teams, Omnicanal e habilidades continuam funcionando

Habilitar a ID do Agente altera a forma como meu agente se autentica?

Não. As IDs do agente são entidades de serviço com um subtipo "Agente" que usa os mesmos fluxos de autenticação baseados em OAuth que os registros de aplicativo tradicionais. O aprimoramento é a visibilidade da governança – as IDs do agente aparecem no centro de administração do Microsoft Entra com mais recursos de gerenciamento e monitoramento do ciclo de vida.

O que são Principais do Blueprint?

Quando a primeira identidade de agente é criada em um ambiente, o Copilot Studio adiciona um Blueprint de identidade de agente do Microsoft Copilot Studio ao seu locatário. Essa entidade do blueprint tem privilégios para criar identidades de agente e usuários de agente no locatário.

Para obter informações detalhadas, incluindo IDs de Blueprint (produção e teste), consulte Entendendo os Princípios dos Blueprints. Para obter mais detalhes técnicos, confira Como as identidades do agente são criadas?.

Por que meu agente não foi criado devido a uma cota ou limite do Entra?

Cada ID do Agente do Entra que o Copilot Studio cria é um objeto de diretório no seu locatário e é contabilizado na cota de recursos do seu locatário no Microsoft Entra ID. A identidade do agente é provisionada quando o agente é criado em Copilot Studio. Se o locatário atingiu sua cota nesse momento, Copilot Studio não poderá criar o ID do agente Entra e o agente não será criado.

Os limites mais comuns a serem cientes são:

• Cota de recursos de locatário: 50.000 objetos de diretório por padrão ou 300.000 se o locatário tiver um domínio verificado. Os locatários criados por meio do cadastro por autoatendimento permanecem limitados a 50.000, mesmo após a verificação de um domínio. As identidades do agente (juntamente com todos os outros recursos do Entra) podem usar no máximo 95% dessa cota.
• Restrição de novo locatário: nos dois primeiros dias após a criação de um locatário, a cota é temporariamente limitada a 600 objetos de diretório.

O limite de 250 identidades de agente por blueprint não se aplica ao Copilot Studio, porque o blueprint do Copilot Studio é de propriedade da Microsoft.

Para obter a lista completa de limites e como a cota é calculada, consulte Microsoft Entra limites e restrições de serviço. Para aumentar a cota de recursos para seu locatário, siga as diretrizes nesse artigo.

Ciclo de vida do agente

O que acontece com a identidade do agente quando você exclui um agente?

Quando você exclui um agente do Copilot Studio, o processo remove a ID do Agente associada (ou registro de aplicativo) do Microsoft Entra ID.

Para obter mais informações, consulte Excluir agentes.

Artigos relacionados

• Configure a autenticação de usuários com o Microsoft Entra ID
• Criar automaticamente identidades de agente do Entra (versão prévia)
• Excluir agentes
• Isolamento de rede e configuração de firewall