Perguntas frequentes sobre o ID do Agente Microsoft Entra

Microsoft Graph APIs que suportam relações envolvendo identidades de agentes como /ownedObjects, /deletedItems e /owners não suportam filtragem por tipo de entidade. Use as APIs existentes e filtre os resultados do lado do cliente usando a odata.type propriedade para identificar objetos de identidade do agente na resposta.

Quando um projeto de identidade de agente ou identidade de agente é apagado, as contas de utilizador de qualquer agente associado permanecem no tenant. Não aparecem como desativados ou apagados, embora não possam autenticar. Elimine manualmente as contas de utilizador dos agentes órfãos usando a Microsoft Graph API ou o Microsoft Entra PowerShell.

Ao criar objetos identidade de agente em rápida sucessão usando APIs Microsoft Graph, os pedidos podem falhar com erros como 400 Bad Request: Object with id {id} not found. Sequências comuns que desencadeiam este comportamento incluem:

• Criar um blueprint de identidade de agente e, em seguida, criar imediatamente um principal de blueprint.
• Criar um plano diretor e depois usar imediatamente aquele plano diretor para criar a identidade de um agente.
• Criar uma identidade de agente e depois criar imediatamente a conta de utilizador de um agente.

Estas falhas são mais comuns quando se usam permissões apenas para aplicações. Use permissões delegadas sempre que possível e adicione lógica de retentativa com recuo exponencial aos seus pedidos.

Yes. Plataformas não Microsoft que usam permissões apenas para aplicações estão limitadas a 250 modelos de identidade de agente ativo por locatário, e cada um desses modelos está limitado a 250 identidades de agente ativo. Pedidos de permissão delegada por utilizadores administradores não contam para este limite. Plataformas detidas pela Microsoft, como o Microsoft Agent 365, não estão sujeitas a este limite.

Para mais informações, consulte os limites e restrições do serviço Microsoft Entra. Contacte o seu representante da Microsoft se o seu cenário exigir ultrapassar estes limites.

Não existem mecanismos de notificação incorporados para aprovação do blueprint da identidade do agente. Quando um administrador do inquilino cria ou aprova um modelo de identidade do agente para o seu agente, não recebe uma notificação através do Microsoft Entra nem do Microsoft Graph.

Para verificar se o seu blueprint foi aprovado num tenant específico, consulte a Microsoft Graph API para objetos principais do blueprint associados à sua aplicação. Se um administrador ainda não aprovou o blueprint, a consulta não retorna resultados para esse inquilino.

Definições de funções personalizadas não suportam ações para gerir identidades de agentes. Use os papéis integrados de Administrador de ID de Agente e Desenvolvedor de ID de Agente para toda a gestão de identidade de agente.

Identidades de agente, modelos de identidade de agente e principais de modelo de identidade de agente não podem ser adicionados às unidades administrativas. Use a owners propriedade das identidades dos agentes para limitar quais os utilizadores que podem gerir objetos específicos.

O papel de Administrador de ID de Agente não tem permissão para atualizar fotos da conta de utilizador de um agente. Use o papel de Administrador de Utilizador para esta tarefa.

As regras de adesão a grupos dinâmicos não suportam direcionar a conta de utilizador de um agente. Use os grupos atribuídos para gerir as membresias de grupos da conta de utilizador de um agente.

As identidades dos agentes não podem iniciar sessão nas páginas de login do Microsoft Entra ID, o que significa que não podem usar login único com protocolos OpenID Connect ou SAML. Utilize as APIs web disponíveis para integrar agentes com aplicações e serviços no local de trabalho.

O fluxo de trabalho Microsoft Entra ID consentimento de administrador não funciona corretamente para permissões solicitadas pelas identidades dos agentes. Os utilizadores devem contactar o administrador do seu tenant Microsoft Entra para solicitar que as permissões sejam concedidas diretamente à identidade do agente.

O aumento baseado no risco é aplicado para os fluxos de consentimento de identidade do agente. Se o consentimento de um utilizador for bloqueado, não há alternativa. O utilizador deve resolver o risco assinalado antes de o consentimento poder avançar.

Os registos de auditoria não distinguem as identidades dos agentes de outros tipos de identidade Microsoft Entra por defeito:

• As operações sobre as identidades dos agentes, blueprints e princípios de blueprint são registadas na categoria Gestão de Aplicações .
• As operações nas contas de utilizador dos agentes são registadas na categoria de Gestão de Utilizadores .
• As operações iniciadas por identidades de agentes aparecem como entidades de serviço.
• As operações iniciadas pelas contas de utilizador dos agentes são apresentadas como realizadas por utilizadores.

Para identificar atividades relacionadas com ID de Agente, utilize IDs de objetos dos registos de auditoria para consultar o Microsoft Graph e determinar o tipo de entidade. Também pode usar o ID de correlação dos logs de início de sessão para localizar a identidade do participante ou do sujeito envolvido na atividade.

Os registos de atividade do Microsoft Graph atualmente não separam as identidades dos agentes de outros tipos de identidade:

• Os pedidos de identidades de agentes são registados como solicitações, com a identidade do agente incluída na coluna appID.
• Os pedidos das contas de utilizador dos agentes são registados como utilizadores, com o ID de utilizador do agente na coluna UserID .

Junte-se aos registos de login da Microsoft Entra para determinar o tipo de entidade.

O SDK que usas depende do teu cenário:

A CLI e o SDK do Microsoft Agent 365 são o ponto de partida recomendado para a maioria dos programadores. A CLI trata da provisão da identidade do agente, criação de blueprints e fiação de permissões num único comando. O SDK gere a aquisição de tokens em tempo de execução. Para mais informações, consulte a Documentação do SDK do Microsoft Entra Agente 365.

Microsoft. O Identity.Web fornece APIs de nível superior para aquisição de tokens para identidades de agentes em aplicações .NET. Usa o Microsoft. Identity.Web.AgentIdentities para simplificar a gestão das identidades dos agentes.

O contentor do SDK Microsoft Entra encapsula o Microsoft.Identity.Web como um serviço web, desdobrado como um contentor de sidecar. Use esta opção quando o seu agente estiver a correr no Kubernetes e/ou não estiver integrado em .NET. Para mais informações, consulte Microsoft Entra SDK para ID de Agente.

As APIs Microsoft Graph fornecem gestão de identidade de agente quando as outras opções não se adequam ao seu cenário. Para mais informações, consulte Microsoft Graph API para esquemas de identidade de agente.