Criar uma solução para identidades de agente usando a ID do agente Microsoft Entra
À medida que as organizações adotam agentes de IA — sistemas de software que percebem seu ambiente, tomam decisões e tomam ações — surge uma nova categoria de identidade que não se encaixa perfeitamente em modelos de identidade humanos ou de carga de trabalho existentes. Como arquiteto de segurança, você precisa criar uma estratégia de identidade que seja responsável por esse novo tipo de identidade e os desafios exclusivos de segurança, governança e conformidade que ele apresenta.
Microsoft Entra Agent ID estende os recursos de segurança do Microsoft Entra aos agentes de IA, permitindo que as organizações descubram, governem e protejam identidades de agente usando a mesma estrutura Zero Trust aplicada a usuários humanos e identidades de workloads.
Por que as identidades do agente exigem design dedicado
Os modelos de identidade tradicionais abordam usuários humanos (autenticação interativa, agendas previsíveis) e identidades de carga de trabalho (autenticação programática, comportamento estático). Os agentes de IA não se encaixam em nenhuma das categorias. Assim como os usuários, alguns agentes precisam de acesso a recursos colaborativos: documentos, canais de equipe e caixas de correio. Como identidades de carga de trabalho, os agentes se autenticam programaticamente na velocidade do computador. Diferentemente de ambos, os agentes tomam decisões autônomas, adaptam-se dinamicamente, interagem com outros agentes e enfrentam vetores de ataque específicos da IA, como injeção de prompt.
Tratar agentes como identidades de carga de trabalho deixa lacunas de governança (sem responsabilidade de patrocinador, sem gerenciamento de ciclo de vida), enquanto tratá-los como usuários humanos cria atrito de autenticação e sinais de segurança desalinhados. Microsoft Entra Agent ID resolve essa lacuna ao estabelecer identidades de agente como um tipo distinto de identidade de primeira classe.
Tipos de agentes de IA
A solução de identidade do agente deve considerar três tipos de agente, cada um com implicações de segurança distintas:
Os agentes auxiliares executam tarefas específicas quando iniciadas por um usuário, operando dentro das permissões delegadas do usuário solicitante. O risco de segurança se concentra em garantir que o agente não exceda seu escopo delegado.
Agentes autônomos operam independentemente com suas próprias identidades, tomando decisões sem intervenção humana. Elas apresentam o maior risco intrínseco: um agente autônomo comprometido pode operar na velocidade do computador sem supervisão.
Os usuários do agente funcionam com características de usuário humano: identidades persistentes, acesso à caixa de correio, associação à equipe e participação na reunião. Um usuário do agente comprometido pode atuar como um membro confiável da equipe, acessando documentos e enviando comunicações sob legitimidade assumida.
Arquitetura de identidade do agente
Microsoft Entra ID do Agente apresenta construções de identidade criadas com finalidade que formam uma hierarquia projetada para gerenciamento em escala.
| Objeto | Propósito |
|---|---|
| Blueprint de identidade do agente | Uma definição lógica de um tipo de agente, representada como um registro de aplicativo e uma entidade de serviço. Os blueprints não podem acessar recursos diretamente , eles servem como modelos que definem permissões delegadas do OAuth 2.0 herdáveis para identidades de agente filho. |
| Principal de identidade do agente | A representação da entidade de serviço do blueprint em um locatário. Para agentes multilocatários, uma entidade de blueprint pode ser provisionada em um locatário de recurso, permitindo a criação de identidade do agente entre os limites do locatário. |
| Identidade do agente | Uma identidade instanciada que executa aquisições de token e acessa recursos. Controlado por um blueprint e herda permissões dele. |
| Usuário do agente | Uma identidade de usuário não humana para cenários que exigem uma conta de usuário: acesso à caixa de correio, associação do Teams ou fluxos de trabalho colaborativos. |
| Recurso do agente | Uma identidade de agente ou blueprint do agente que atua como destino da solicitação de acesso de outro agente em fluxos de agente para agente (A2A). O recurso do agente valida o token de entrada e controla o acesso aos seus recursos. |
Essa hierarquia é arquitetonicamente significativa: as políticas aplicadas a um blueprint são propagadas automaticamente em cascata para todas as identidades dos agentes filhos, permitindo o gerenciamento de famílias de agentes relacionados por meio de uma única atribuição de política. A plataforma usa os padrões OAuth 2.0 e OpenID Connect (OIDC), para que a infraestrutura de validação, consentimento e autorização de token existente se aplique.
Desafios de segurança do agente que conduzem decisões de design
Ao criar uma solução de identidade de agente, sua arquitetura deve atenuar várias categorias de risco que diferenciam agentes de outros tipos de identidade.
Aumento da superfície de ataque
Os agentes de IA expandem a superfície de ataque organizacional de maneiras que exigem respostas de design específicas:
- Acessibilidade externa — agentes que interagem com sistemas externos ou com a Internet pública criam caminhos para que os adversários comprometam os agentes e acessem recursos organizacionais.
- Risco de escalonamento de permissões — os agentes são frequentemente provisionados com permissões mais amplas do que o necessário, violando privilégios mínimos.
- Tomada de decisão autônoma – agentes comprometidos com autoridade de compra ou privilégios administrativos podem tomar ações prejudiciais na velocidade do computador.
- Prompt injection — instruções mal-intencionadas inseridas em dados processados pelo agente podem manipular o comportamento do agente — um vetor de ataque exclusivo da Inteligência Artificial (IA).
- Propagação de agente para agente — um agente de orquestração comprometido pode direcionar outros agentes por meio de fluxos A2A, propagando o comprometimento entre os ecossistemas do agente.
Proliferação de agentes
A proliferação do agente cria um desafio de governança chamado "expansão de agente" – a expansão descontrolada de agentes em uma organização sem visibilidade, gerenciamento ou controles de ciclo de vida adequados. A expansão do agente ocorre quando unidades de negócios criam agentes de forma independente (inteligência artificial sombra), agentes criados para fins temporários permanecem em produção indefinidamente, as permissões se acumulam sem revisão e a responsabilidade pela propriedade é perdida. As consequências incluem postura de segurança degradada, risco de conformidade, ineficiência operacional, exposição de dados e resposta a incidentes prejudicados.
O design de identidade do agente deve resolver a expansão proativamente, exigindo que cada agente tenha uma identidade registrada, um patrocinador atribuído e um ciclo de vida controlado.
Criar uma estratégia de governança de identidade do agente
Microsoft Entra ID Governance se estende às identidades do agente, permitindo que você aplique o mesmo ciclo de vida e controles de gerenciamento de acesso usados para identidades humanas. Seu design de governança deve abordar três áreas: gerenciamento do ciclo de vida, atribuição de acesso e responsabilidade do patrocinador.
Gerenciamento do ciclo de vida
As identidades do agente começam com permissões limitadas— apenas os escopos delegados do OAuth 2.0 herdados de seu blueprint pai. O acesso adicional deve ser explicitamente solicitado, aprovado e atribuído por meio de processos controlados.
Atribuição de acesso por meio do gerenciamento de direitos
Pacotes de acesso de gerenciamento de concessões concedem às identidades de agente o acesso a associações de grupos de segurança, permissões de API OAuth de aplicativos (incluindo permissões de aplicativo do Microsoft Graph) e funções do Microsoft Entra. O acesso pode ser solicitado pela própria identidade do agente (programaticamente), pelo patrocinador do agente ou por um administrador.
Os pacotes de acesso dão suporte a políticas de expiração, garantindo que o acesso ao agente esteja associado ao tempo. À medida que a expiração se aproxima, os patrocinadores recebem notificações e devem solicitar uma prorrogação (iniciando um novo ciclo de aprovação) ou permitir que o acesso expire.
Responsabilidade do patrocinador
Cada identidade de agente deve ter um patrocinador humano designado responsável por seu ciclo de vida e decisões de acesso. Se um patrocinador deixar a organização, o patrocínio será transferido automaticamente para o gerente. Os fluxos de trabalho do ciclo de vida notificam cosponsores e gerentes sobre mudanças iminentes de patrocínio, mantendo uma cadeia ininterrupta de supervisão humana.
Design para proteção de identidade do agente
Microsoft Entra ID Protection estende a detecção de riscos e a resposta às identidades do agente. Como os agentes podem operar de forma autônoma e em escala, o comportamento anômalo requer detecção e resposta automatizadas em vez de depender da revisão manual.
A Proteção de ID para agentes estabelece uma linha de base comportamental para cada agente e, em seguida, monitora desvios. As atividades que contribuem para que um agente seja sinalizado como arriscado incluem:
| Deteção de riscos | Meaning |
|---|---|
| Acesso a recursos desconhecidos | O agente direcionou recursos fora de seu padrão normal—movimentação lateral possível. |
| Pico de login | Frequência de entrada anormalmente alta — possível atividade de ferramentas automatizadas ou ataque. |
| Tentativa de acesso com falha | Tentativa de acesso não autorizado a recursos pelo agente — possível repetição de token. |
| Entrada de usuário de risco | Agente conectado em nome de um usuário arriscado durante a autenticação delegada – possível exploração de credenciais. |
| Confirmação de comprometimento | O administrador confirmou o comprometimento por meio de investigação manual. |
| Microsoft Entra inteligência contra ameaças | A inteligência contra ameaças da Microsoft identificou a atividade consistente com padrões de ataque conhecidos. |
Esses sinais de risco alimentam o Acesso Condicional para agentes (cobertos na próxima unidade), permitindo políticas baseadas em risco que bloqueiam automaticamente os agentes de alto risco de acessar recursos. Seu design deve combinar a detecção de risco do agente com a imposição de Acesso Condicional como uma defesa em camadas.
Projetar controles de nível de rede para agentes
Acesso Seguro Global do Microsoft Entra estende os controles de segurança de rede para o tráfego de agentes. Para agentes criados em plataformas como Microsoft Copilot Studio, você pode encaminhar o tráfego do agente para o serviço proxy do Acesso Seguro Global, aplicando as mesmas políticas de rede usadas para os usuários. Os recursos incluem o registro da atividade de rede do agente, a aplicação de categorização web para controlar o acesso à API e ao servidor MCP, restringir transferências de arquivos por tipo, bloquear destinos mal-intencionados por meio de inteligência contra ameaças e detectar ataques de injeção de comando.
Os controles de rede complementam as proteções de camada de identidade: o Acesso Condicional rege a aquisição de tokens, enquanto os controles de rede regem os caminhos de tráfego e o conteúdo uma vez autorizados, fornecendo defesa detalhada.
Registro e descoberta do agente
O registro de agente no centro de administração do Microsoft Entra fornece visibilidade centralizada em todas as identidades do agente, seus metadados (finalidade, funcionalidades, protocolos), proprietários e patrocinadores. Ele dá suporte à descoberta e autorização entre agentes com base em protocolos padrão, incluindo MCP (Protocolo de Contexto de Modelo) e A2A (Agente para Agente). O registro é o principal mecanismo para lidar com a expansão do agente , exigindo que o registro estabeleça visibilidade organizacional e garanta que todos os agentes possam ser inventariados, auditados e regidos.
Integração entre plataformas da Microsoft
Microsoft Entra ID do Agente integra-se a várias plataformas que criam e gerenciam agentes, fornecendo gerenciamento de identidade consistente independentemente de onde os agentes se originam:
- O Microsoft Foundry provisiona automaticamente blueprints e identidades de agente em todo o ciclo de vida do agente.
- Microsoft Copilot Studio agentes podem receber automaticamente identidades de agente quando habilitados em um ambiente do Power Platform.
- Azure App Service e Azure Functions podem usar a plataforma de identidade do agente para se conectar aos recursos como agentes.
- Microsoft Teams modelos de identidade do agente podem ser gerenciados no Portal do Desenvolvedor para o Teams.
Essa integração entre plataformas significa que o Microsoft Entra Agent ID fornece a camada de identidade unificada, independentemente da origem dos agentes.
Considerações de design para arquitetos de segurança
Ao projetar uma solução de identidade de agente:
- Estabeleça identidades de agente como uma classe de identidade distinta. Não reutilize contas de usuários humanos ou entidades de serviço padrão para agentes. Use os constructos de identidade de agente criados com finalidade para garantir a governança adequada, a detecção de riscos e a cobertura de políticas.
- Exige organização de nível de planta. Agrupar agentes relacionados em modelos compartilhados para simplificar a atribuição de políticas e a herança de permissões. Isso reduz a sobrecarga operacional à medida que as populações de agentes crescem.
- Atribuição de patrocinador de mandato para cada agente. Agentes não protegidos são agentes não governados. Crie seus processos para impedir a criação de identidade do agente sem um patrocinador humano designado.
- Aplique o acesso de privilégios mínimos por padrão. As identidades dos agentes herdam apenas as permissões delegadas de seu blueprint no momento da criação. Crie fluxos de trabalho de atribuição de acesso por meio de pacotes de acesso de gerenciamento de direitos com controles de aprovação, expiração e revisão.
- Identidade de camada e controles de rede. Combine o Acesso Condicional para o risco de agente com políticas de rede de Acesso Seguro Global para defesa detalhada. Controles de identidade regem a aquisição de token; os controles de rede regem o tráfego e o conteúdo.
- Planeje agentes multilocatários. Se sua organização usa ou cria agentes que operam entre locatários, projete de acordo com os princípios orientadores em locatários de recursos, semelhantes aos princípios de serviço de aplicativos multilocatários.
- Controle o crescimento desordenado de agentes desde o início. Exigir o registro do agente no registro centralizado, impor o gerenciamento do ciclo de vida por meio da Governança de ID e agendar revisões de acesso regulares para identidades de agente, exatamente como faria para usuários humanos.
- Integre o monitoramento de identidade do agente em operações de segurança. As detecções de risco do agente, os logs de autenticação e os logs de atividade de rede devem fluir para o SIEM (como o Microsoft Sentinel) para correlação com fluxos de trabalho mais amplos de detecção de ameaças.