Desenhe uma solução para identidades de agentes usando o Microsoft Entra Agent ID
À medida que as organizações adotam agentes de IA — sistemas de software que percebem o seu ambiente, tomam decisões e agem — emerge uma nova categoria de identidade que não se enquadra perfeitamente nos modelos existentes de identidade humana ou de carga de trabalho. Como arquiteto de segurança, precisa de desenhar uma estratégia de identidade que tenha em conta este novo tipo de identidade e os desafios únicos de segurança, governação e conformidade que este apresenta.
O Microsoft Entra Agent ID estende as capacidades de segurança do Microsoft Entra aos agentes de IA, permitindo que as organizações descubram, governem e protejam identidades de agentes utilizando o mesmo framework Zero Trust aplicado a utilizadores humanos e identidades de carga de trabalho.
Porque é que as identidades dos agentes requerem design dedicado
Os modelos tradicionais de identidade abordam utilizadores humanos (autenticação interativa, agendamentos previsíveis) e identidades de carga de trabalho (autenticação programática, comportamento estático). Os agentes de IA não se enquadram em nenhuma das categorias. Tal como os utilizadores, alguns agentes precisam de acesso a recursos colaborativos — documentos, canais de equipa e caixas de correio. Tal como as identidades das cargas de trabalho, os agentes autenticam-se programaticamente à velocidade da máquina. Ao contrário de ambos, os agentes tomam decisões autónomas, adaptam-se dinamicamente, interagem com outros agentes e enfrentam vetores de ataque específicos da IA, como a injeção rápida.
Tratar os agentes como identidades de carga de trabalho deixa lacunas de governação (sem responsabilidade dos patrocinadores, sem gestão do ciclo de vida), enquanto tratá-los como utilizadores humanos cria atritos de autenticação e sinais de segurança desalinhados. O Microsoft Entra Agent ID colmata esta lacuna ao estabelecer as identidades dos agentes como um tipo de identidade distinto e de primeira classe.
Tipos de agentes de IA
A sua solução de identidade de agente deve considerar três tipos de agentes, cada um com implicações de segurança distintas:
Os agentes assistivos realizam tarefas específicas quando iniciadas por um utilizador, operando dentro das permissões delegadas ao utilizador solicitante. O risco de segurança centra-se em garantir que o agente não ultrapassa o seu âmbito delegado.
Agentes autónomos operam de forma independente com as suas próprias identidades, tomando decisões sem intervenção humana. Estas apresentam o maior risco intrínseco — um agente autónomo comprometido pode operar à velocidade da máquina sem supervisão.
Os utilizadores agentes funcionam com características humanas: identidades persistentes, acesso à caixa de correio, pertença à equipa e participação em reuniões. Um utilizador agente comprometido podia atuar como um membro de equipa de confiança, acedendo a documentos e enviando comunicações sob legitimidade presumida.
Arquitetura de identidade de agente
O Microsoft Entra Agent ID introduz construções de identidade construídas de raiz que formam uma hierarquia concebida para gestão em larga escala.
| Objeto | Purpose |
|---|---|
| Plano de identidade do agente | Uma definição lógica de um tipo de agente, representado como um principal de registo de candidaturas e serviço. Os *blueprints* não podem aceder diretamente a recursos — servem como modelos que definem permissões delegadas de OAuth 2.0 hereditárias para identidades de agentes descendentes. |
| Principal do esboço de identidade do agente | A representação do principal de serviço do projeto num inquilino. Para agentes multiinquilino, um principal blueprint pode ser provisionado num inquilino de recurso, permitindo a criação de identidade de agente através dos limites de inquilino. |
| Identidade do agente | Uma identidade instanciada que realiza aquisições de tokens e acede a recursos. É controlado por um blueprint e herda permissões desse blueprint. |
| Utilizador do agente | Uma identidade de utilizador não humana para cenários que requerem uma conta de utilizador — acesso à caixa de correio, adesão ao Teams ou fluxos de trabalho colaborativos. |
| Recurso de agente | Um plano ou identidade de agente que atua como alvo do pedido de acesso de outro agente nos fluxos agente-para-agente (A2A). O recurso agente valida o token recebido e controla o acesso às suas capacidades. |
Esta hierarquia é arquitetonicamente significativa: as políticas aplicadas a um blueprint encaminham-se automaticamente para todas as identidades de agentes filhos, permitindo a gestão de famílias de agentes relacionadas através de uma única atribuição de política. A plataforma utiliza os padrões OAuth 2.0 e OpenID Connect (OIDC), pelo que a infraestrutura existente de validação, consentimento e autorização de tokens aplica-se.
Desafios de segurança dos agentes que orientam as decisões de design
Ao desenhar uma solução de identidade de agente, a sua arquitetura deve mitigar várias categorias de risco que diferenciam os agentes de outros tipos de identidade.
Aumento da superfície de ataque
Os agentes de IA expandem a superfície de ataque organizacional de formas que exigem respostas específicas de design:
- Acessibilidade externa — Agentes que interagem com sistemas externos ou com a internet pública criam caminhos para que adversários comprometam agentes e se infiltrem em recursos organizacionais.
- Risco de escalada de permissões — Os agentes são frequentemente providenciados com permissões mais amplas do que o necessário, violando o menor privilégio.
- Tomada de decisão autónoma — Agentes comprometidos com autoridade de compra ou privilégios administrativos podem tomar ações prejudiciais à velocidade da máquina.
- Injeção de prompt — Instruções maliciosas inseridas nos dados processados pelo agente podem manipular o comportamento do agente — um vetor de ataque único para a IA.
- Propagação de agente para agente—Um agente de orquestração comprometido pode direcionar outros agentes por meio de fluxos A2A, propagando o comprometimento através dos ecossistemas de agentes.
Expansão dos agentes
A proliferação de agentes cria um desafio de governação denominado "dispersão de agentes" — a expansão descontrolada dos agentes numa organização sem visibilidade adequada, gestão ou controlos do ciclo de vida. A expansão dos agentes ocorre quando as unidades de negócio criam agentes de forma independente (IA sombra), os agentes criados para fins temporários permanecem em produção indefinidamente, as permissões acumulam-se sem revisão e a responsabilidade pela propriedade é perdida. As consequências incluem postura de segurança degradada, risco de conformidade, ineficiência operacional, exposição de dados e resposta a incidentes comprometida.
O design da identidade do seu agente deve abordar a expansão urbana de forma proativa, exigindo que cada agente tenha uma identidade registada, um patrocinador atribuído e um ciclo de vida regulado.
Desenhe uma estratégia de governação da identidade de agente
O Microsoft Entra ID Governance estende-se às identidades dos agentes, permitindo-lhe aplicar o mesmo ciclo de vida e controlos de gestão de acessos usados para as identidades humanas. O seu desenho de governação deve abordar três áreas: gestão do ciclo de vida, atribuição de acessos e responsabilização dos patrocinadores.
Gestão do ciclo de vida
As identidades dos agentes começam com permissões limitadas — apenas OAuth 2.0 delegam os escopos herdados do seu blueprint principal. O acesso adicional deve ser explicitamente solicitado, aprovado e atribuído através de processos regulados.
Atribuição de acesso através da gestão de direitos
Os pacotes de acesso à gestão de direitos atribuem identidades de agentes acesso a membros de grupos de segurança, permissões da API OAuth da aplicação (incluindo permissões de aplicação Microsoft Graph) e funções Microsoft Entra. O acesso pode ser solicitado pela própria identidade do agente (programáticamente), pelo patrocinador do agente ou por um administrador.
Os pacotes de acesso suportam políticas de expiração, garantindo que o acesso ao agente tem prazos limitados. À medida que a expiração se aproxima, os patrocinadores recebem notificações e devem pedir uma extensão (desencadeando um novo ciclo de aprovação) ou permitir que o acesso expire.
Responsabilização dos patrocinadores
Cada identidade de agente deve ter um patrocinador humano designado, responsável pelo seu ciclo de vida e decisões de acesso. Se um patrocinador sair da organização, o patrocínio é automaticamente transferido para o seu gestor. Fluxos de Trabalho do Ciclo de Vida notificam copatrocinadores e gestores sobre mudanças iminentes de patrocínio, mantendo uma cadeia contínua e ininterrupta de supervisão humana.
Conceção para proteção da identidade do agente
O Microsoft Entra ID Protection alarga a deteção de risco e a resposta às identidades dos agentes. Como os agentes podem operar de forma autónoma e em escala, o comportamento anómalo requer deteção e resposta automáticas, em vez de depender de revisão manual.
A ID Protection para agentes estabelece uma linha de base comportamental para cada agente e depois monitoriza desvios. Atividades que contribuem para que um agente seja assinalado como de risco incluem:
| Deteção de risco | Meaning |
|---|---|
| Acesso a recursos desconhecidos | O agente direcionava recursos fora do seu padrão normal — possível movimento lateral. |
| Pico de logins | Frequência de entrada anormalmente alta — possível ferramenta automatizada ou atividade de ataque. |
| Tentativa de acesso falhada | O agente tentou aceder recursos de forma não autorizada — possível repetição de token. |
| Iniciar sessão por utilizador em risco | O agente iniciou sessão em nome de um utilizador arriscado durante a autenticação delegada — possível exploração de credenciais. |
| Confirmada a violação | O administrador confirmou comprometimento através de investigação manual. |
| Microsoft Entra inteligência de ameaças | A inteligência de ameaças da Microsoft identificou atividades consistentes com padrões de ataque conhecidos. |
Estes sinais de risco alimentam o Acesso Condicional para agentes (abordados na unidade seguinte), permitindo políticas baseadas em risco que bloqueiam automaticamente agentes de alto risco de aceder a recursos. O seu design deve combinar a deteção de risco de agentes com a aplicação do Acesso Condicional como uma defesa em camadas.
Projetar controlos ao nível da rede para agentes
O Microsoft Entra Global Secure Access estende os controlos de segurança de rede ao tráfego dos agentes. Para agentes construídos em plataformas como o Microsoft Copilot Studio, pode encaminhar o tráfego dos agentes para o serviço proxy do Global Secure Access, aplicando as mesmas políticas de rede usadas pelos utilizadores. As capacidades incluem registar a atividade de rede dos agentes, aplicar categorização web para controlar o acesso à API e ao servidor MCP, restringir transferências de ficheiros por tipo, bloquear destinos maliciosos através de inteligência de ameaças e detetar ataques de injeção rápida.
Os controlos de rede complementam as proteções da camada de identidade: o Acesso Condicional regula a aquisição de tokens, enquanto os controlos de rede governam os caminhos de tráfego e o conteúdo uma vez autorizados — proporcionando uma defesa aprofundada.
Registo de agentes e descoberta
O registo de agentes no centro de administração da Microsoft Entra proporciona visibilidade centralizada sobre todas as identidades dos agentes, os seus metadados (finalidade, capacidades, protocolos), proprietários e patrocinadores. Suporta a descoberta e autorização agente-para-agente com base em protocolos padrão, incluindo MCP (Model Context Protocol) e A2A (Agent-to-Agent). O registo é o seu principal mecanismo para combater a expansão dos agentes — exigir registo estabelece a visibilidade organizacional e garante que cada agente pode ser inventariado, auditado e governado.
Integração entre plataformas Microsoft
O Microsoft Entra Agent ID integra-se com múltiplas plataformas que criam e gerem agentes, proporcionando uma gestão de identidade consistente independentemente da origem dos agentes:
- A Microsoft Foundry fornece automaticamente blueprints e identidades de agentes ao longo de todo o ciclo de vida do agente.
- Os agentes Microsoft Copilot Studio podem receber automaticamente as identidades dos agentes quando ativados num ambiente Power Platform.
- Azure App Service e Azure Functions podem usar a plataforma de identidade do agente para se ligar aos recursos como agentes.
- Os modelos de identidade de agente Microsoft Teams podem ser geridos no Portal do Programador do Teams.
Esta integração multiplataforma significa que o Microsoft Entra Agent ID fornece a camada unificada de identidade, independentemente de onde os agentes se originam.
Considerações de design para arquitetos de segurança
Ao desenhar uma solução de identidade de agente:
- Estabelecer as identidades dos agentes como uma classe de identidade distinta. Não reaproveite contas de utilizadores humanos ou princípios de serviço padrão para agentes. Utilize as estruturas de identidade de agente construídas para este propósito para garantir uma governação adequada, deteção de risco e cobertura de apólices.
- Requer organização ao nível de desenho detalhado. Agrupar agentes relacionados sob modelos partilhados para simplificar a atribuição de políticas e a derivação de permissões. Isto reduz a sobrecarga operacional à medida que as populações de agentes crescem.
- Mandate a atribuição de patrocinadores a cada agente. Agentes não patrocinados são agentes não governados. Desenhe os seus processos para evitar a criação de identidade de agente sem um patrocinador humano designado.
- Aplicar acesso com privilégio mínimo como padrão. As identidades dos agentes herdam apenas permissões delegadas do seu esquema na criação. Projetar fluxos de trabalho para atribuição de acessos através de pacotes de gestão de direitos de acesso com controlos de aprovação, expiração e revisão.
- Controlo de identidade de camada e de rede. Combine o Acesso Condicional para risco de agente com políticas de rede Global Secure Access para defesa em profundidade. Os controlos de identidade regulam a aquisição de tokens; Os controlos de rede governam o tráfego e o conteúdo.
- Planeie para agentes multiinquilino. Se a sua organização usa ou constrói agentes que operam entre inquilinos, desenhe princípios blueprint em inquilinos de recursos, semelhantes aos principais de serviços de aplicação multiinquilino.
- Abordar a expansão dos agentes desde o início. Exigir o registo de agentes no registo centralizado, impor a gestão do ciclo de vida através da Governação do ID e agendar revisões regulares de acesso às identidades dos agentes — tal como faria com utilizadores humanos.
- Integrar a monitorização da identidade dos agentes nas operações de segurança. As deteções de risco de agentes, registos de login e registos de atividade de rede devem fluir para o seu SIEM (como o Microsoft Sentinel) para correlação com fluxos de trabalho mais amplos de deteção de ameaças.