Gerir a infraestrutura de agentes como administrador do Microsoft Entra

Como administrador do Microsoft Entra, poderá ter de intervir nos agentes da Microsoft Foundry no seu locatário. Antes de o fazer, compreenda que o Foundry lhe fornece ações de infraestrutura, não apenas governação durante a execução. Quando paras ou eliminas um agente, operas com recursos do Azure. Estes recursos podem servir vários inquilinos ou equipas.

Este artigo ajuda-o a:

Obtenha o acesso de que precisa
Compreenda como as ações do centro de administração se mapeiam para as operações de recursos do Azure
Tome decisões informadas sobre quando e como intervir

A orientação aqui foca-se na governação ao nível da infraestrutura dos agentes, construída com o Foundry Agent Service como alternativa para situações que exijam ação administrativa direta.

Importante

Prefira Stop a Delete quando precisar agir sobre um agente. Parar é reversível. A eliminação remove permanentemente os recursos do Azure e pode afetar outros inquilinos.

Pré-requisitos

Uma das seguintes atribuições de funções Microsoft Entra:
- Microsoft Entra Administrador Global
- Microsoft Entra Administrador de IA
Se a sua organização usar Privileged Identity Management (PIM), ative a atribuição de funções antes de avançar.

Importante

Administradores de IA: Não pode realizar o procedimento de elevação de acesso sozinho. Deve coordenar-se primeiro com o proprietário do agente, que pode:

Tome as ações de infraestrutura em seu nome
Conceder-lhe as atribuições de função necessárias no Azure para os recursos específicos

Se não conseguir identificar ou contactar o proprietário do agente, coordene com um Administrador Global como alternativa.

Compreender como funciona a infraestrutura de agentes

Os agentes da fundição vivem dentro dos projetos. Os projetos fazem parte de um recurso de conta Foundry numa subscrição do Azure. Um projeto oferece aos programadores um espaço de trabalho partilhado para construir, testar e colaborar com agentes. Cada projeto tem a sua própria computação, armazenamento e uma identidade de agente partilhada. Podem existir múltiplos agentes dentro de um único projeto. As ações contra o projeto afetam todos os agentes desse projeto.

Os programadores criam agentes Foundry dentro de um projeto. Cada agente recebe uma identidade única e um ponto final para a interação. A Foundry regista automaticamente cada agente no registo do Agente 365 usando a identidade única do agente.

Os agentes podem ter múltiplas versões de agente à medida que os programadores iteram e aperfeiçoam a funcionalidade. Cada versão representa um instantâneo da configuração e comportamento do agente num momento específico.

Nota

Os agentes de prompt também podem usar um endpoint comum que serve todos os agentes do projeto. Os agentes que funcionam desta forma partilham a infraestrutura e identidade do projeto. Não uses endpoints de projeto para produção. A Foundry não cria mais registos no Agente 365 para endpoints de projetos ou identidades de projetos.

Quando um programador publica um agente, a Foundry cria um recurso dedicado à aplicação de agentes . Este recurso tem o seu próprio endpoint e identidade de agente Entra. A identidade da aplicação é separada das identidades individuais dos agentes criadas anteriormente. A Foundry também regista a aplicação no registo do Agente 365 usando a identidade única da aplicação.

As aplicações de agentes podem ter múltiplas implementações de agentes. Cada implementação faz referência a uma versão existente do agente como definição.

Para uma descrição completa das operações do ciclo de vida dos agentes, veja Gerir agentes no Foundry Control Plane. Para saber mais sobre os conceitos de Foundry referenciados nesta secção, veja:

Arquitetura Foundry da Microsoft sobre como os recursos Foundry se mapeiam aos recursos do Azure.
Conceitos de identidade de agente para como funcionam as identidades de agentes em Microsoft Entra ID.
Planeie e gere a Foundry para a organização de subscrições e grupos de recursos.

Ações de infraestrutura vs. ações do centro administrativo

As ações disponíveis no Plano de Controlo da Fundição são operações de infraestrutura sobre recursos Azure. São diferentes das ações Bloquear e Desbloquear que talvez conheças no Administração Microsoft 365 Center.

Ações de bloqueio no Centro de Administração do Microsoft 365 e no Centro de Administração do Teams afetam a visibilidade dos agentes para os utilizadores:

Scope: Só afeta a projeção de agentes no Teams e Microsoft 365 Copilot
Impacto: Os utilizadores não podem aceder ao agente através destes canais específicos
Acesso Foundry: O agente mantém-se totalmente funcional no portal Foundry e noutros pontos de integração
Infraestrutura: Sem impacto nos recursos Azure subjacentes ou na computação

As ações de infraestrutura no Foundry Control Plane afetam os recursos subjacentes do agente:

Stop e Start operam em implementações individuais através de desalocação ou provisionamento de recursos computacionais. Afetam a infraestrutura subjacente do Azure e tornam o agente indisponível em todos os canais (Teams, Microsoft 365 Copilot, Foundry, APIs).
Delete remove permanentemente Azure recursos. Para agentes publicados, a eliminação inclui a aplicação agente e as suas implementações. Esta ação não pode ser desfeita.

Se uma aplicação de agente servir um cenário multiinquilino, as ações de infraestrutura afetam todos os consumidores desse agente, não apenas os utilizadores do seu inquilino.

Prefiro sempre Stop a Delete. Parar preserva a opção de reiniciar mais tarde. A eliminação deve ser o último recurso, usada apenas depois de coordenar com os proprietários dos recursos e confirmar que o agente nunca mais deve ser executado.

Identifique o tipo de recurso Foundry para um agente

O registo do Agente 365 mostra um inventário unificado de agentes e aplicações de agentes da Foundry. Ambos são "agentes", mas têm capacidades de gestão diferentes. Para saber que opções tem, primeiro precisa de identificar com que tipo de recurso Foundry está a lidar.

O Foundry regista ambos os tipos com um ID de recurso Foundry Azure:

Tipo de recurso	Padrão de ID de Recurso¹
Agente de fundição	`.../projects/{project-name}/agents/{agent-name}`
Candidatura ao agente	`.../projects/{project-name}/applications/{application-name}`

¹ O padrão completo de identificação de recurso é omitido por brevidade. Ambos partilham um prefixo comum: /subscriptions/{sub-id}/resourceGroups/{group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/projects/{project-name}/.... O diferenciador chave é o segmento após o projeto: ou agents/{agent-name} ou applications/{application-name}.

No Administração Microsoft 365 Center, pode encontrar estes valores na secção "Detalhes da plataforma". O centro de administração deteta automaticamente o tipo de recurso. Para aplicações de agentes, aparecem os botões Parar ou Iniciar e pede elevação caso seja elegível.

Coordenar com os proprietários dos recursos

Os agentes Foundry requerem recursos do Azure organizados dentro de subscrições específicas, grupos de recursos e projetos. Esses recursos têm donos. Antes de tomar medidas ao nível da infraestrutura, identifique e trabalhe com esses proprietários sempre que possível.

Quando coordenar vs. agir de forma independente

Situação	Abordagem recomendada
Ameaça ativa de segurança ou violação de políticas	Agir primeiro (parar o agente), depois notificar os proprietários dos recursos.
Revisão de rotina de conformidade ou conclusão de auditoria	Contacte os proprietários dos recursos e trabalhe em conjunto na remediação.
Agente a consumir recursos ou custos inesperados	Notifique os proprietários dos recursos. Considere interromper o agente apenas se os custos forem críticos e os proprietários não estiverem a responder.
Agente a comportar-se mal mas não é um risco de segurança	Contacte os proprietários dos recursos antes de agir. Pare apenas se o comportamento for ativamente prejudicial.

A governação das infraestruturas é uma responsabilidade partilhada. Os administradores globais têm acesso para agir. Os proprietários dos recursos têm o contexto para compreender o impacto. Coordenar conduz a melhores resultados.

Identificar os proprietários dos recursos

Comece por verificar os proprietários listados nos detalhes de registo do agente no Administração Microsoft 365 Center. Também pode identificar proprietários e patrocinadores através dos objetos Entra.

Se conseguir ver os recursos do Azure (eleve o acesso se não conseguir - veja a secção seguinte), verifique quais os utilizadores que têm permissão sobre os recursos:

No portal Azure, navegue até ao grupo de recursos que contém o projeto Foundry do agente.
Selecione Controlo de Acesso (IAM)>Atribuições de Funções para ver quem tem permissões sobre o recurso.

Os intervenientes de recursos podem ter muitos papéis diferentes. Papéis privilegiados como Proprietário ou Contribuinte são um bom sinal. No entanto, nem todos os intervenientes têm estes papéis privilegiados.

Consulta o Registo de Atividades do recurso. O registo mostra quem tomou ações de gestão recentemente. Esta abordagem ajuda a identificar gestores de recursos atuais, mesmo que não tenham atribuições privilegiadas de funções.

Elevar o acesso para gerir subscrições do Azure

O Microsoft Entra ID e o Azure utilizam sistemas de controlo de acesso separados. O seu papel de administrador não lhe dá automaticamente acesso às subscrições do Azure. Para ver e gerir recursos do Azure que apoiam agentes do Foundry, precisas de atribuições de papéis no Azure. Se não tiver as permissões corretas, aumente o seu acesso.

O procedimento de elevação requer o papel de Administrador Global. Os Administradores de IA devem coordenar-se com os proprietários dos agentes ou Administradores Globais. Consulte os Pré-requisitos para mais detalhes.

A elevação atribui-lhe o papel de Administrador de Acesso ao Utilizador no âmbito raiz (/). Esta função dá-lhe visibilidade sobre todas as subscrições e grupos de gestão no seu locatário.

Para o procedimento completo, veja Elevate Access para gerir todas as subscrições Azure e grupos de gestão.

Importante

Remova o acesso elevado assim que terminar. A elevação ao nível de root é uma permissão poderosa, e aplica-se o princípio do menor privilégio. Siga o procedimento de deselevação quando concluir as suas tarefas.

Se a sua organização usa PIM, desative a atribuição da função de Administrador Global depois de remover a opção de elevação.

Remover o acesso elevado

Quando terminares as tuas tarefas administrativas, remove as permissões elevadas por ordem inversa:

Remover atribuições de funções Azure: Remova quaisquer roles de Azure AI que tenha dado a si próprio (como Azure AI Owner) dos projetos ou grupos de recursos específicos da Foundry.

Portal Azure:
1. No portal do Azure, navegue até ao recurso onde atribuiu funções a si próprio.
2. Selecionar controlo de acesso (IAM)>Atribuições de funções.
3. Encontre a sua conta de utilizador na lista de atribuições de funções.
4. Seleciona a atribuição e escolhe Remover.
CLI do Azure:
```
# List current role assignments to find the assignment ID
az role assignment list --assignee <your-email> --scope <resource-scope>

# Remove the specific role assignment
az role assignment delete --ids <assignment-id>
```
Remover o papel de Administrador de Acesso ao Utilizador: Remover o papel de Administrador de Acesso ao Utilizador ao nível raiz do procedimento de elevação.

Portal Azure:
1. No portal do Azure, aceda a Microsoft Entra ID>Propriedades.
2. Em gestão de acesso para recursos de Azure, defina a opção para No.
3. Selecione Guardar.
CLI do Azure:
```
# Remove the User Access Administrator role at root scope
az role assignment delete \
  --assignee <your-email> \
  --role "User Access Administrator" \
  --scope "/"
```

Este processo em duas etapas garante que remove tanto as permissões específicas que concedeu a si próprio como a ampla elevação que permitiu essas concessões.

Atribuir os papéis certos

Depois de elevares o teu acesso, atribui-te o papel mínimo necessário para a tua ação. Não fique mais tempo do que o necessário no escopo raiz.

Ação	Papel mínimo integrado para objetos de agente do Foundry	Papel mínimo predefinido para aplicações de Agentes
Ver	Utilizador de IA do Azure (Leitor não é suficiente)	Leitor
Parar/Arrancar	Não suportado	Azure Responsável pela IA
Eliminar	Utilizador de IA do Azure	Azure Responsável pela IA

Atribui funções no âmbito mais restrito possível. Para agentes da Foundry, atribui a função apenas ao recurso do projeto Foundry com que queres trabalhar. Para aplicações de agente, atribua a função no âmbito da aplicação. Se só precisares de gerir agentes num único grupo de recursos, atribui o papel no âmbito do grupo de recursos. Não atribua estes papéis ao âmbito do grupo de subscrição ou gestão.

Se a sua organização usa PIM, considere criar atribuições elegíveis em vez de permanentes. As atribuições elegíveis requerem ativação. Esta abordagem cria um registo de auditoria e impõe limites de tempo.

Agir contra um agente

Quando precisares de intervir, escolhe a ação menos disruptiva para a tua situação. A sua escolha de ação e tipo de agente determina qual interface usa para gerir o agente. Utilize os separadores em cada secção para identificar a interface correta para o seu cenário.

O Administração Microsoft 365 Center inclui agentes Foundry no seu inventário completo de agentes. Pode facilmente parar e iniciar aplicações de agentes diretamente a partir da entrada do registo.

Tipo de agente	Ações suportadas no Administração Microsoft 365 Center
Aplicações para agentes	Pára, começa
Agentes da fundição	Nenhum - usar outra interface

O portal da Foundry disponibiliza uma interface web para gerir os recursos da Foundry.

Tipo de agente	Ações suportadas no portal
Aplicações para agentes	Parar, Começar, Apagar
Agentes da fundição	Eliminar (Parar e Iniciar não são suportados)

A API REST permite-lhe gerir o Foundry de forma programática. Esta abordagem é útil quando é necessário agir em múltiplas implementações ou automatizar operações ao longo do ciclo de vida.

Tipo de agente	Ações suportadas no portal
Aplicações para agentes	Parar, Começar, Apagar
Agentes da fundição	Eliminar (Parar e Iniciar não são suportados)

Os exemplos usam az rest comandos para simplificar a autenticação. A forma mais fácil de executar estes comandos é através de Azure Cloud Shell. O Cloud Shell não requer instalação e utiliza a sua sessão atual de início de sessão no Azure. Se preferires trabalhar localmente, instala o CLI do Azure e login primeiro.

Para cada exemplo de API REST, substitua os valores provisórios pela sua própria subscrição, grupo de recursos, conta Foundry, projeto e outros nomes de recursos.

Parar um agente

Parar um agente é a abordagem preferida na maioria das situações. Parar desativa o agente sem destruir recursos. Podes reiniciar o agente mais tarde.

Quando abres a página de detalhes do agente para uma aplicação de agente Foundry, o Administração Microsoft 365 Center verifica automaticamente se tens as permissões necessárias para gerir o agente. Se o fizer, um botão de Parar ou Iniciar está disponível no topo da página, consoante o estado atual da aplicação. Se não vir estes botões, mas for um Administrador Global, siga a instrução para elevar automaticamente o seu acesso e conceder a si próprio a função de proprietário do Azure AI na aplicação do agente.

Se a sua aplicação de agente estiver atualmente a correr, selecione Parar para a parar. Esta ação interrompe todas as implementações de agentes associadas à aplicação. A aplicação agente e as suas implementações ainda existem. Podes recomeçar mais tarde.

Quando estiver pronto para começar novamente a candidatura ao agente, selecione Iniciar. Esta ação inicia a implementação mais recente da aplicação agente. Se precisares de iniciar outras implementações, usa a API REST.

Se elevaste o acesso, certifica-te de o remover depois de terminares.

Para parar completamente uma aplicação agente, é necessário parar cada uma das suas implementações. Parar uma implementação desaloca os recursos de computação subjacentes, mas a implementação e a aplicação continuam a existir e podem ser reiniciadas mais tarde.

Primeiro, liste as implementações para a tua aplicação agente:

az rest --method get \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments?api-version=2025-10-01-preview"

Depois, para cada implementação, execute o comando stop:

az rest --method post \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}/stop?api-version=2025-10-01-preview"

Quando estiver pronto para iniciar novamente a aplicação do agente, pode iniciar uma implementação com este comando:

az rest --method post \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}/start?api-version=2025-10-01-preview"

Eliminar um agente (último recurso)

A eliminação remove permanentemente os recursos do agente e não pode ser desfeita. Antes de apagar, verifique se nenhum outro inquilino ou equipa depende do agente e confirme que os proprietários dos recursos concordam com a remoção permanente.

Eliminar agentes do Foundry não é suportado no Administração Microsoft 365 Center. Use outra interface para apagar se for realmente necessário.

Quando usa o modelo de aplicação agente, pode eliminar toda a aplicação ou implementações individuais. Eliminar a aplicação remove todas as implementações e a própria aplicação. Eliminar uma implementação apenas remove essa implementação, mas a aplicação e as outras implementações mantêm-se.

Apague toda a aplicação do agente

Para eliminar toda a aplicação agente, execute o seguinte comando:

az rest --method delete \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}?api-version=2025-10-01-preview"

Cautela

Eliminar uma aplicação agente remove permanentemente o recurso Azure e todas as suas implementações. Se o agente servir vários inquilinos, esta ação afeta todos eles. Prefiro sempre parar uma implementação a apagá-la.

Eliminar uma implementação específica dentro de uma aplicação agente

Se quiser apenas eliminar uma implementação específica, primeiro obtenha o nome da implementação da lista de implementações da aplicação:

az rest --method get \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments?api-version=2025-10-01-preview"

Depois, execute este comando para eliminar essa implementação:

az rest --method delete \
  --uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}?api-version=2025-10-01-preview"

Cautela

Eliminar uma implementação remove permanentemente o recurso Azure. Se o tráfego da aplicação estiver a ser encaminhado para uma implementação eliminada, os clientes veem erros. Se o agente servir vários inquilinos, esta ação afeta todos eles. Prefiro sempre parar uma implementação a apagá-la.

Se tens a certeza de que precisas de eliminar um agente Foundry, usa este comando:

az rest --method delete \
  --resource "https://ai.azure.com/" \
  --uri "https://{accountName}.services.ai.azure.com/api/projects/{projectName}/agents/{agentName}?api-version=2025-11-15-preview"

Cautela

Eliminar um agente remove permanentemente o recurso. Se o agente servir vários inquilinos, esta ação afeta todos eles. Prefiro sempre parar uma implementação a apagá-la.

Comentários

Esta página foi útil?

Last updated on 2026-05-01

Gerir a infraestrutura de agentes como administrador do Microsoft Entra

Pré-requisitos

Compreender como funciona a infraestrutura de agentes

Ações de infraestrutura vs. ações do centro administrativo

Identifique o tipo de recurso Foundry para um agente

Coordenar com os proprietários dos recursos

Quando coordenar vs. agir de forma independente

Identificar os proprietários dos recursos

Elevar o acesso para gerir subscrições do Azure

Remover o acesso elevado

Atribuir os papéis certos

Agir contra um agente

Parar um agente

Eliminar um agente (último recurso)

Conteúdo relacionado

Comentários

Recursos adicionais