Registo de aplicações, identidades de agentes e autenticação para o Copilot Studio

Este artigo explica o registo de aplicações, identidades de agentes e autenticação para agentes do Copilot Studio.

Compreender as identidades dos agentes

Como é que a Copilot Studio identifica os agentes para autenticação?

O Copilot Studio atribui um identificador único a cada agente para que possa comunicar com canais (Teams, Omnichannel, etc.) e serviços. O Copilot Studio cria e gere automaticamente estas identidades.

Existem dois tipos de identidades de agente:

• IDs de Agente do Entra: Principais de serviço do Microsoft Entra com um subtipo "Agente". Quando ativa a Identidade de Agente Entra para um ambiente, os novos agentes recebem automaticamente IDs de Agente Entra.

• Registos de Aplicações (legado): Os agentes existentes que criou antes de ativar a Identidade de Agente Entra continuam a usar registos de aplicações tradicionais.

Importante: Os IDs de Agente são principais de serviço com um subtipo "Agente". O fluxo de autenticação subjacente baseado em OAuth mantém-se o mesmo. Os ID de Agente proporcionam maior visibilidade e capacidades de gestão de governação em comparação com os registos tradicionais de aplicações.

Porque é que o meu agente tem uma identidade no Microsoft Entra ID?

As identidades dos agentes permitem que o seu agente se autentique de forma segura ao comunicar com canais (Teams, Omnichannel e outros) e serviços. O Copilot Studio cria e gere automaticamente estas identidades seguindo os princípios de segurança Confiança Zero.

Qual é a diferença entre os agentes do Copilot Studio e os agentes do Agent Builder?

• Agentes do Copilot Studio: Recebem IDs de Agente Entra (ou registos de aplicações para agentes legados) para autenticação com canais e serviços. Pode ativar o Entra Agent Identity ao nível do ambiente no centro de administração do Power Platform.

• Agentes do Construtor de Agentes: Atualmente não utilizam nem exigem IDs de registo de aplicação nem IDs de Agente. Para mais informações, consulte Agent Builder em Microsoft 365 Copilot.

Trabalhar com identidades de agentes

Preciso de criar ou configurar manualmente uma identidade de agente?

Não. O Copilot Studio gere automaticamente as identidades dos agentes:

• Novos agentes (quando a Identidade de Agente Entra está ativada): Obtêm automaticamente IDs de Agente Entra
• Agentes existentes: Continuar a usar registos de aplicações

As normas de segurança e conformidade da Microsoft orientam a gestão automática de todas as credenciais. Tem total visibilidade e controlo no centro de administração Microsoft Entra, onde pode monitorizar a atividade de autenticação e gerir o ciclo de vida da identidade do agente.

Como posso encontrar qual registo de aplicação ou ID de agente pertence ao meu agente?

1. No Copilot Studio, vai a Configurações>Avançado>Metadados.
2. Consulte o ID do Agente Entra (GUID) para agentes com identidades Entra.
3. Para agentes legados com registos de app, o ID da Aplicação é exibido na mesma secção.
4. Use este GUID para localizar a identidade no centro de administração Microsoft Entra.

Posso levar o meu próprio ID de agente ou registo de aplicação?

Não. Para garantir segurança, conformidade e integração com canais e serviços, o Copilot Studio requer gestão automática.

Porque é que a Copilot Studio adiciona o proprietário do agente à identidade do agente?

O Copilot Studio adiciona o proprietário do agente para fornecer:

• Rastreabilidade da governação para cada agente
• Responsabilização pelo ciclo de vida do agente
• Alinhamento com as políticas de propriedade organizacional

Para IDs de Agente Entra: O proprietário do agente é adicionado como patrocinador com permissões limitadas em comparação com os proprietários plenos, o que reduz preocupações de segurança relacionadas com modificações de permissões. Alguns agentes pré-existentes podem ainda não ter patrocinadores.

Para registos de aplicações antigas: O proprietário do agente é adicionado como proprietário do registo da aplicação. Para optar por não adicionar o proprietário do agente, contacte o suporte.

Segurança e permissões

Quem pode gerar tokens usando a identidade do agente?

Para IDs de Agente do Entra

Um principal de esquema pertencente à Microsoft cria e gere identidades de agentes utilizando Credenciais de Identidade Federadas. Ninguém no seu inquilino, incluindo os administradores do inquilino, pode gerar tokens utilizando a identidade do agente. A Microsoft controla totalmente o blueprint e o mecanismo de autenticação.

Para registos de aplicações herdadas

Utilizadores com funções de Administrador Global, Administrador de Aplicações ou Administrador de Aplicações na Cloud podem criar segredos de cliente ou certificados para qualquer registo de aplicação no tenant sem necessidade de propriedade. Os utilizadores sem estes papéis devem obter a propriedade do registo específico da aplicação para criar as credenciais necessárias à geração de tokens. O Copilot Studio não adiciona quaisquer escopos ou permissões de API a estes registos de aplicações, por isso os tokens gerados a partir destas identidades não têm acesso a dados ou recursos dos clientes.

Que âmbitos estão associados ao ID do Agente Entra do meu agente?

Quando publica um agente, o Copilot Studio anexa permissões de API ao ID do Agente Entra do agente que representam os conectores do Power Platform que o agente está configurado para utilizar. Estes escopos descrevem apenas o acesso ao conector, não são permissões de recursos brutos como Mail.Read ou Files.Read.All.

Como aparecem os telescópios em Microsoft Entra ID

Cada conector tem o seu próprio principal de serviço no seu inquilino, por exemplo, Work IQ Calendar MCP Connector. Dependendo da forma como o criador configura o agente, o principal de serviço do conector concede uma ou mais das seguintes permissões ao ID do Agente Entra do agente:

• Operations.Execute.All é concedida quando o agente está configurado para utilizar o conector no nível do agente (ferramenta). O agente pode invocar qualquer operação que o conector exponha.
• Âmbitos de operação individuais são concedidos quando o criador adicionou ações específicas do conector em vez do conector completo. Apenas as operações que o agente realmente utiliza são permitidas.
• Azure API Connections Runtime.All é usado como um recurso genérico para conectores que não definem escopos granulares.

Pode rever estas permissões no principal de serviço da identidade do agente no centro de administração Microsoft Entra, em Permissões de API.

Este modelo dá aos administradores do Microsoft Entra ID e do Microsoft 365 visibilidade sobre o que um agente pode fazer. Os administradores não precisam de abrir o centro de administração do Power Platform, e o modelo de conetores liderado pelo criador e regido por políticas mantém-se:

• Os criadores continuam a adicionar ligações usando conectores pré-aprovados pelas Políticas Avançadas de Conectores (ACP) e pelas políticas de prevenção de perda de dados (DLP) do seu inquilino.
• O runtime dos conectores do Power Platform apenas respeita estes âmbitos. Em runtime, a plataforma de conectores revalida que o agente pode chamar o conector ao abrigo das políticas ACP e DLP do seu inquilino. Se um atacante obtiver a identidade de um agente, não pode usar esses escopos para chamar diretamente o Microsoft Graph, Outlook ou qualquer outra API porque a plataforma de conectores media todas as chamadas e aplica as suas políticas de governação.
• Como os âmbitos são permissões de API de primeira classe no ID do Agente Entra do agente, os administradores podem visá‑los com políticas de Acesso Condicional do Microsoft Entra. Por exemplo, pode exigir localizações de rede específicas, estados de conformidade do dispositivo ou níveis de risco antes de serem emitidos tokens para um determinado recurso de conector numa identidade de agente. O Acesso Condicional é aplicado hoje apenas quando o agente está a correr no Microsoft Teams (ver a nota no início desta secção).

Resumindo, os escopos descrevem o que um agente está configurado para fazer, enquanto ACP e DLP decidem o que lhe é permitido fazer no momento da execução.

Quando os telescópios são adicionados ou removidos

Os âmbitos são avaliados e aplicados quando o agente é publicado. A adição ou remoção de um conector (ou de uma ação específica do conector) no agente e a republicação do agente atualizam os âmbitos em conformidade.

Isto aplica-se aos registos de aplicações antigas?

Não. Os âmbitos dos conectores são adicionados apenas a IDs do Agente Entra. Os registos de aplicações legadas continuam a não ter escopos de API associados, conforme descrito em Quem pode gerar tokens usando a identidade do agente. Atualmente, este comportamento aplica-se a conectores Power Platform de primeira mão e certificados; conectores personalizados, servidores MCP e ferramentas de API REST adicionados aos agentes não adicionam permissões de API ao ID do Agente Entra.

Identidade do Agente Entra

Posso optar por não participar no Entra Agent Identity?

Sim, atualmente é possível optar ativamente por não participar ao nível do ambiente no centro de administração do Power Platform. Consulte Criar automaticamente identidades de agentes Entra para as instruções.

O que acontece aos agentes existentes quando ativo o Entra Agent Identity?

Os agentes existentes criados antes de o Entra Agent Identity ser ativado continuam a usar registos de aplicações. No futuro, serão migrados para os IDs de Agente.

Características da migração:

• Preservação de GUID: Os identificadores do agente mantêm-se idênticos (sem alterações significativas)
• Tempo de inatividade zero: Os agentes continuam a funcionar durante a migração
• Automática: Não é necessária ação manual
• Compatibilidade de canais mantida: Teams, Omnichannel e skills continuam a funcionar

Ativar o ID do Agente altera a forma como o meu agente se autentica?

Não. Os IDs de Agente são principais de serviço com um subtipo "Agente" que utilizam os mesmos fluxos de autenticação baseados em OAuth que os registos de aplicações tradicionais. A melhoria é a visibilidade da governação – os IDs dos Agentes aparecem no centro de administração do Microsoft Entra com mais capacidades de gestão e monitorização do ciclo de vida.

O que são os Blueprint Principals?

Quando a primeira identidade de agente é criada num ambiente, o Copilot Studio adiciona um Esquema de identidade do agente do Microsoft Copilot Studio ao seu inquilino. Este principal de esquema tem privilégios para criar identidades de agente e utilizadores de agente no inquilino.

Para informações detalhadas, incluindo IDs de Esquema (produção e teste), consulte Compreensão dos Principais de Esquema. Para mais detalhes técnicos, veja Como são criadas as identidades dos agentes?.

Por que motivo a criação do meu agente falhou devido a uma quota ou limite do Entra?

Cada ID do Agente Entra que o Copilot Studio cria é um objeto de diretório no seu inquilino e é contabilizado na quota de recursos do seu inquilino no Microsoft Entra ID. A identidade do agente é provisionada quando o agente é criado em Copilot Studio. Se o inquilino já atingiu a sua quota nesse momento, a Copilot Studio não consegue criar o ID do Agente Entra e o agente não consegue ser criado.

Os limites mais comuns a ter em conta são:

• Quota de recursos para inquilinos: 50.000 objetos de diretório por defeito, ou 300.000 se o teu inquilino tiver um domínio verificado. Os inquilinos criados através de inscrição self-service continuam limitados a 50.000 mesmo depois de um domínio ser verificado. As identidades dos agentes (juntamente com todos os outros recursos do Entra) não podem usar mais do que 95% desta quota.
• Restrição de novos inquilinos: Nos primeiros dois dias após a criação de um inquilino, a quota está temporariamente limitada a 600 objetos de diretório.

O limite por blueprint de 250 identidades de agente não se aplica ao Copilot Studio, porque o blueprint do Copilot Studio é propriedade da Microsoft.

Para a lista completa de limites e como a quota é calculada, veja Microsoft Entra limites e restrições de serviço. Para aumentar a quota de recursos para o seu inquilino, siga as orientações desse artigo.

Ciclo de Vida do Agente

O que acontece à identidade do agente quando se apaga um agente?

Quando elimina um agente do Copilot Studio, o processo remove o ID do Agente associado (ou registo da aplicação) do Microsoft Entra ID.

Para mais informações, consulte Eliminar agentes.

Artigos relacionados

• Configurar autenticação de utilizadores com Microsoft Entra ID
• Criar automaticamente identidades de agentes Entra (pré-visualização)
• Eliminar agentes
• Isolamento da rede e configuração do firewall