Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O ID do Agente Microsoft Entra fornece um conjunto centralizado de ferramentas para gerir as identidades dos agentes em toda a sua organização. As identidades de agentes são um tipo de identidade distinto no Microsoft Entra ID, concebido para agentes de inteligência artificial, com classificação, metadados e controlos de segurança adaptados a cargas de trabalho de agentes.
Este artigo aborda tarefas-chave de gestão de agentes: desde a visualização e desativação de agentes, até à gestão do acesso, monitorização da atividade e resposta a riscos de segurança. Quer seja um administrador responsável pela supervisão geral de agentes na entidade ou um patrocinador responsável por gerir determinados agentes, este guia fornece as informações necessárias para gerir eficazmente as identidades dos agentes na sua organização.
Pré-requisitos
Diferentes tarefas de gestão exigem diferentes funções e licenças. A tabela seguinte resume os papéis de que precisa para cada área da gestão da identidade dos agentes.
| Tarefa | Função necessária | Notes |
|---|---|---|
| Ver identidades dos agentes | Conta de utilizador Microsoft Entra | Não é necessário um papel administrativo para visualizar. |
| Gerenciar identidades de agentes | Administrador de ID de Agente ou Administrador de Aplicações Cloud | Os proprietários de identidade de agentes podem gerir os seus próprios agentes sem estas funções. |
| Criar esquemas de agentes | Desenvolvedor de ID de Agente | O utilizador é adicionado como proprietário do blueprint e da sua entidade de serviço. |
| Configurar políticas de Acesso Condicional | Administrador de Acesso Condicional | Requer licença Microsoft Entra ID P1. |
| Consulte relatórios de risco de Proteção de Identidade | Administrador de Segurança, Operador de Segurança ou Leitor de Segurança | Requer uma licença P2 do Microsoft Entra ID durante a versão de pré-visualização. |
| Configurar Fluxos de Trabalho do Ciclo de Vida | Administrador de fluxos de trabalho de ciclo de vida |
Ver identidades dos agentes
O centro de administração Microsoft Entra oferece uma interface centralizada para visualizar todas as identidades dos agentes no seu tenant. Pode pesquisar, filtrar, ordenar e personalizar colunas para encontrar agentes específicos.
- Inicia sessão no centro de administração Microsoft Entra.
- Navegue para Entra ID>Agentes>Identidades dos Agentes.
- Selecione qualquer identidade de agente para visualizar os seus detalhes, incluindo nome, descrição, estatuto, proprietários, patrocinadores, permissões concedidas e registos de iniciação de sessão.
Para procurar um agente específico, introduza o nome ou ID do objeto na caixa de pesquisa, ou adicione o filtro de ID da Aplicação Blueprint . Pode personalizar quais as colunas que são mostradas selecionando o botão Escolher colunas . As colunas disponíveis incluem Nome, Criado em, Estado, ID do Objeto, Visualização de Acesso, ID da Aplicação Blueprint, Proprietários e Patrocinadores, e Utiliza identidade do agente.
Para instruções detalhadas sobre filtragem, personalização de colunas e visualização de agentes a partir desta vista, consulte Visualizar e filtrar identidades de agentes no seu tenant.
Gerir modelos de identidade de agente
Os esquemas de identidade de agente são as definições principais a partir das quais as identidades individuais dos agentes são criadas. O centro de administração permite-lhe ver todos os princípios dos blueprints, gerir as suas permissões e monitorizar a sua atividade.
- Inicia sessão no centro de administração Microsoft Entra.
- Aceda a Entra ID>Agentes>Modelos de agentes.
- Selecione qualquer princípio de blueprint de identidade de agente para o gerir.
A partir da página de gestão de um plano, pode:
- Ver identidades de agentes ligadas: Veja todas as identidades de agentes filhos criadas a partir deste esquema.
- Gerir o acesso ao blueprint: Ver, gerir e revogar permissões atribuídas ao blueprint.
- Gerir proprietários e patrocinadores: Os proprietários tratam da administração técnica, enquanto os patrocinadores são responsáveis pelo propósito e pelas decisões do ciclo de vida do agente.
- Consulte registos de auditoria: Acompanhe alterações administrativas para segurança e conformidade.
- Ver registos de iniciação de sessão: Monitorizar eventos de autenticação.
- Desativar o blueprint: Selecionar Desativar na barra de comandos.
Para instruções detalhadas, consulte Visualizar e gerir planos de identidade do agente no seu inquilino.
Configurar permissões hereditárias para blueprints
As permissões herdadas permitem que as identidades dos agentes herdem automaticamente os escopos de permissões delegados do OAuth 2.0 a partir do seu plano pai. Quando configura permissões hereditárias num blueprint, as identidades de agentes recém-criadas recebem um conjunto base de escopos sem necessidade de prompts interativos de consentimento do utilizador ou administrador.
São suportados dois padrões de herança por aplicação de recurso:
| Padrão | Descrição |
|---|---|
| Escopos enumerados | Herde apenas os objetivos listados explicitamente. Utilize para controlo detalhado. |
| Todos os âmbitos permitidos | Herde todos os escopos delegados disponíveis para a aplicação de recurso. Os escopos recém-concedidos no projeto são automaticamente incluídos. |
Comece com escopos enumerados usando apenas permissões essenciais, depois expanda conforme necessário. Esta abordagem segue o princípio do privilégio mínimo e facilita a auditoria das permissões que os agentes realmente utilizam.
Limites principais:
- Máximo de 10 aplicações de recursos por blueprint.
- Para escopos enumerados, máximo 40 escopos por aplicação de recurso.
- Alguns escopos de alto privilégio são bloqueados pela política da plataforma e não podem ser herdados.
As permissões herdadas são configuradas através da propriedade de navegação inheritablePermissions no recurso de aplicação agentIdentityBlueprint que utiliza Microsoft Graph. Veja exemplos passo a passo de APIs (adicionar, atualizar, remover) em Configurar permissões herdáveis para blueprints de identidade de agente.
Acesso dos agentes de controlo aos recursos
As políticas de Acesso Condicional fornecem controlos a nível de inquilino para a autenticação da identidade do agente. Pode usar estas políticas para bloquear todas as identidades dos agentes, permitir apenas agentes específicos ou bloquear agentes de risco com base nos sinais de Proteção de Identificação.
Pontos-chave sobre o Acesso Condicional para identidades de agentes:
- As políticas podem abranger todas as identidades de agentes ou todos os utilizadores de agentes com um controlo de bloqueio.
- As políticas podem direcionar todos os recursos para impedir o acesso de agentes em toda a sua organização.
- As condições de risco dos agentes (alto, médio, baixo) permitem bloquear agentes com base nos sinais de risco do ID Protection.
- As políticas suportam o modo apenas de relatório para avaliação segura antes da aplicação.
Importante
A aplicação do Acesso Condicional aplica-se quando a identidade de um agente ou a conta de utilizador do agente solicita um token para qualquer recurso. Não se aplica quando um esquema de identidade de agente adquire um token para criar identidades de agente ou contas de utilizador para agentes.
Para configuração detalhada de políticas, guias passo a passo e exemplos de cenários de negócio, veja Acesso Condicional para ID de Agente.
Monitorizar a atividade dos agentes
Registos de início de sessão e auditoria
As atividades relacionadas à identidade do agente são capturadas nos registos de auditoria e de início de sessão do Microsoft Entra.
- Os registos de auditoria registam eventos relacionados com agentes com base no tipo de identidade de onde se originam. Por exemplo, criar um utilizador com identidade de agente aparece como uma atividade de auditoria "Criar utilizador", e criar uma identidade de agente aparece como "Criar principal de serviço."
-
Os registos de início de sessão incluem o tipo de
agentSignInrecurso, que fornece propriedades sobre o agente e o seu comportamento de início de sessão.
Para ver os registos de entrada dos agentes:
- Inicie sessão no centro de administração Microsoft Entra como Leitor de Relatórios, pelo menos.
- Navegue para Entra ID>Monitorização e estado de saúde>Registos de início de sessão.
- Use os seguintes filtros:
- Tipo de agente: Escolha entre utilizador de ID do Agente, Identidade do Agente, Blueprint de Identidade do Agente, ou Não Agente.
- É Agente: Escolha entre Não ou Sim.
Também pode recuperar eventos de início de sessão dos agentes usando o Microsoft Graph:
GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'
Para detalhes completos sobre tipos de logs e métodos de acesso, consulte logs do ID do Agente Microsoft Entra.
Detetar e remediar o risco do agente
Proteção de Identidade para agentes
O Microsoft Entra ID Protection monitoriza as identidades dos agentes para comportamentos anómalos. Deteta seis tipos de risco offline, incluindo acesso a recursos desconhecidos, picos de início de sessão e tentativas de acesso falhadas. Os administradores podem rever o relatório dos Agentes de Risco e tomar ações de resposta: confirmar compromisso, confirmar seguro, descartar risco ou desativar o agente.
Observação
A Proteção de ID para agentes requer uma licença Microsoft Entra ID P2 durante a pré-visualização.
Quando confirma que um agente está comprometido, o nível de risco é definido para Alto. Se tiver uma política de Acesso Condicional configurada para bloquear em Alto Risco de Agente, o agente é automaticamente bloqueado de aceder a recursos.
Para a tabela completa de deteção de risco, ações de resposta, detalhes Graph API e guia do relatório, consulte Proteção de Identidade para agentes.
Responder a incidentes de segurança de agentes
Quando a atividade do agente desencadear uma deteção de risco ou preocupação de segurança, siga esta sequência:
- Detect: Revise o relatório Agentes de Risco no centro de administração Microsoft Entra. As deteções de risco podem ser visualizadas durante até 90 dias. Os detalhes incluem o nome de exibição do agente, estado de risco, nível de risco, tipo de agente e patrocinadores.
-
Responder: Tomar uma ação imediata:
- Confirmar compromisso: Define o nível de risco para Alto e aciona políticas de Acesso Condicional baseadas em risco configuradas para bloquear no Alto Risco de Agente.
- Disable: Previne todos os logins entre Microsoft Entra ID e aplicações conectadas.
- Investigar: Rever os detalhes da deteção de riscos, registos de assinatura e registos de auditoria para compreender o âmbito e o impacto.
-
Recuperar: Com base na sua investigação:
- Se for falso positivo: descarte o risco e volte a ativar o agente.
- Se houver um comprometimento real: gerar novas credenciais antes de reativar, ou retirar a identidade do agente.
Para informações detalhadas sobre tipos de risco, mecanismos de deteção e ações de resposta, consulte Proteção de Identidade para agentes.
Gerir as identidades dos agentes e supervisionar a monitorização de patrocínios
Responsabilidades dos patrocinadores
Cada identidade de agente deve ter um patrocinador humano responsável pelas decisões do ciclo de vida e do acesso. Comportamentos-chave de governação incluem:
- Transferência automática de patrocinador: Se um patrocinador sair da organização, Microsoft Entra ID reatribui automaticamente o patrocínio ao gestor do patrocinador.
- Notificações de expiração: Os patrocinadores recebem notificações quando as atribuições de pacotes de acesso se aproximam da expiração. Os patrocinadores podem pedir uma extensão (que desencadeia um novo ciclo de aprovação) ou deixar que as atribuições expirem.
- Vias de pedido de acesso: Os pacotes de acesso podem ser solicitados através de três vias: o pedido programático próprio do agente, um patrocinador em nome do agente, ou uma atribuição direta de administrador.
Os pacotes de acesso podem conceder membros em Grupos de Segurança, permissões da API OAuth para Aplicações (incluindo permissões da aplicação Microsoft Graph) e funções do Microsoft Entra.
Para uma visão geral completa da gestão, incluindo a configuração do pacote de acesso e as políticas de patrocinador, consulte Identidades de Agentes Governantes.
Automatize notificações de patrocinadores com fluxos de trabalho do ciclo de vida
Os Fluxos de Trabalho do Ciclo de Vida fornecem duas tarefas automatizadas para o apoio da identidade do agente:
- Envie um email ao gestor sobre alterações no patrocínio
- Envie um email aos co-patrocinadores sobre alterações nos patrocinadores
Ambas as tarefas são tarefas de categoria mover e leaver: são ativadas apenas sob modelos de fluxo de trabalho mover ou leaver, não em modelos de integração. Isto assegura a continuidade do patrocínio quando o patrocinador de um agente muda de função ou abandona a organização.
Para a configuração passo a passo do fluxo de trabalho, consulte tarefas de patrocinador da identidade do agente em Fluxos de Trabalho do Ciclo de Vida.
Automatizar a gestão de agentes em larga escala
Para organizações que gerem um grande número de identidades de agentes, estão disponíveis as seguintes opções:
- Desativar múltiplas seleções: O centro de administração suporta selecionar múltiplas identidades de agentes ao mesmo tempo e desativá-las em lote a partir da página de Todas as identidades de agentes .
-
Microsoft Graph API: Os endpoints de identidade de agente suportam gestão programática. Por exemplo, a Proteção de ID expõe
riskyAgentseagentRiskDetectionscoleções para monitorização programática do risco.
Desativar ou restringir identidades de agentes
As organizações podem controlar a utilização da identidade dos agentes em três níveis, dependendo do âmbito necessário:
| Scope | O que faz | Detalhes |
|---|---|---|
| Agente individual | Desative a identidade de um agente específico para bloquear o acesso e a emissão do token. Os administradores utilizam o centro administrativo; proprietários e patrocinadores utilizam o portal Minha Conta. | Veja e filtre as identidades dos agentes no seu inquilino · Gerir agentes na experiência do utilizador final |
| Nível de Projeto | Desative o modelo de identidade de agente na sua página de administração. Isto impede que novas identidades de agentes sejam criadas a partir desse projeto e bloqueia as existentes. | Visualize e gerencie os blueprints de identidade de agentes no seu locatário |
| Locatário inteiro | Bloqueie toda a autenticação de identidade de agente usando políticas de Acesso Condicional e, opcionalmente, bloqueie a criação de novas identidades de agentes através de controlos específicos de produto (Microsoft Entra ID, Security Copilot, Copilot Studio, Azure AI Foundry, Microsoft Teams). | Desative as identidades de agentes no seu tenant |
Reativar a identidade de um agente desativado em qualquer âmbito restaura o acesso e a emissão de tokens.
Atenção
Desativar globalmente as identidades dos agentes pode causar falhas nos agentes existentes, degradar a experiência dos produtos Microsoft e pressionar as equipas a usar identidades de principal de aplicação ou serviço menos transparentes. Avalie o impacto antes de aplicar. Para uma abordagem parcial, use políticas de Acesso Condicional para bloquear agentes específicos em vez de todas as identidades dos agentes.