Microsoft Entra agent-ID är ett identitets- och säkerhetsramverk som utökar Microsoft Entra-funktionerna till AI-agenter. När organisationer distribuerar hjälpmedel, autonoma och användarliknande agenter behöver de specialbyggda identitetskonstruktioner för att autentisera, auktorisera, styra och skydda dessa icke-mänskliga identiteter. Microsoft Entra agent-ID tillgodoser dessa behov genom att tillhandahålla en enhetlig plattform för hantering av agentidentiteter i företagsskala.
Agentidentiteter och skisser
Hur filtrerar jag Microsoft Graph API frågor för att endast returnera agentidentiteter?
Microsoft Graph API:er som stöder relationer med agentidentiteter som /ownedObjects, /deletedItems och /owners stöder inte filtrering efter entitetstyp. Använd befintliga API:er och filtrera resultat på klientsidan med hjälp av odata.type egenskapen för att identifiera agentidentitetsobjekt i svaret.
Vad händer med en agent användarkonto när en agentidentitet eller skiss tas bort?
När en agentidentitetsritning eller agentidentitet tas bort finns alla associerade agenters användarkonton kvar i klientorganisationen. De visas inte som inaktiverade eller raderade, men de kan inte autentiseras. Ta bort överblivna agenters användarkonton manuellt med Microsoft Graph API eller Microsoft Entra PowerShell.
Varför misslyckas sekventiella Microsoft Graph API-begäranden ibland när agentidentitetsobjekt skapas?
När du skapar agentidentitetsobjekt i snabb följd med hjälp av Microsoft Graph API:er kan begäranden misslyckas med fel som 400 Bad Request: Object with id {id} not found. Vanliga sekvenser som utlöser det här beteendet är:
- Skapa en identitetsplan för agent och skapa sedan direkt en huvudprincip för planen.
- Skapa en huvudplan för mallen och använd sedan omedelbart mallen för att skapa en agentidentitet.
- Skapa en agentidentitet och skapa sedan omedelbart en agents användarkonto.
Dessa fel är vanligare när du använder appbehörigheter. Använd delegerade behörigheter där det är möjligt och lägg till logik för återförsök med exponentiell backoff till dina begäranden.
Finns det gränser för antalet agentidentitetsritningar per klientorganisation?
Ja. Icke-Microsoft plattformar som använder appbehörigheter är begränsade till 250 aktiva agentidentitetsritningar per klientorganisation, och var och en av dessa skisser är begränsad till 250 aktiva agentidentiteter. Begäranden om delegerad behörighet från administratörsanvändare räknas inte mot den här gränsen. Microsoft-ägda plattformar som Microsoft Agent 365 omfattas inte av den här gränsen.
Mer information finns i Begränsningar och begränsningar för Microsoft Entra-tjänsten. Kontakta din Microsoft representant om ditt scenario kräver att dessa gränser överskrids.
Hur vet jag när en administratör godkänner min agentidentitetsritning i klientorganisationen?
Det finns inga inbyggda meddelandemekanismer för godkännande av agentidentitetsritning. När en klientorganisationsadministratör skapar eller godkänner en agentidentitetsritning för din agent meddelas du inte via Microsoft Entra eller Microsoft Graph.
Om du vill kontrollera om skissen har godkänts i en specifik klientorganisation frågar du Microsoft Graph API efter objekt för skissobjekt som är associerade med ditt program. Om en administratör ännu inte har godkänt planen returnerar sökfrågan inga resultat för klienten.
Roller, behörigheter och grupper
Kan jag använda anpassade roller för att hantera agentidentiteter?
Anpassade rolldefinitioner stöder inte åtgärder för att hantera agentidentiteter. Använd de inbyggda agent-ID-administratörs - och agent-ID-utvecklarrollerna för all agentidentitetshantering.
Kan jag lägga till agentidentiteter i administrativa enheter?
Agentidentiteter, agentidentitetsritningar och huvudnamn för agentidentitetsritning kan inte läggas till i administrativa enheter.
owners Använd egenskapen för agentidentiteter för att begränsa vilka användare som kan hantera specifika objekt.
Kan jag uppdatera fotot för en agents användarkonto?
Agent-ID-administratörsrollen har inte behörighet att uppdatera foton för en agents användarkonto. Använd rollen Användaradministratör för den här uppgiften.
Kan jag använda dynamiska grupper för att hantera en agent användarkonto?
Regler för dynamiskt gruppmedlemskap har inte stöd för att rikta sig mot en agents användarkonto. Använd tilldelade grupper för att hantera en agent användarkontos gruppmedlemskap.
Autentisering och medgivande
Kan agentidentiteter logga in på webbappar med enkel inloggning (SSO)?
Agentidentiteter kan inte logga in på Microsoft Entra ID inloggningssidor, vilket innebär att de inte kan använda enkel inloggning med OpenID Connect- eller SAML-protokoll. Använd tillgängliga webb-API:er för att integrera agenter med arbetsplatsappar och tjänster.
Fungerar arbetsflödet för administratörsmedgivande för Microsoft Entra agent-ID behörighetsbegäranden?
Arbetsflödet Microsoft Entra ID admin consent fungerar inte korrekt för behörigheter som begärs av agentidentiteter. Användare bör kontakta sin Microsoft Entra klientorganisationsadministratör för att begära att behörigheter beviljas direkt till agentidentiteten.
Vad ska jag göra om ett användarmedgivande blockeras av riskbaserad stegvis autentisering?
Riskbaserad step-up implementeras för flöden av agentidentitetsmedgivanden. Om en användares medgivande blockeras finns det ingen lösning. Användaren måste lösa den flaggade risken innan medgivande kan fortsätta.
Övervakning och loggar
Hur identifierar jag agentidentitetsaktiviteter i granskningsloggar?
Granskningsloggar skiljer inte agentidentiteter från andra Microsoft Entra identitetstyper som standard:
- Åtgärder för agentidentiteter, skisser och skissobjekt loggas i kategorin ApplicationManagement .
- Åtgärder på agenternas användarkonton loggas i kategorin Användarhantering .
- Åtgärder som initieras av agentidentiteter visas som tjänstens huvudnamn.
- Åtgärder som initieras av agenternas användarkonton visas som användare.
Om du vill identifiera agent-ID-relaterad aktivitet använder du objekt-ID:n från granskningsloggar för att fråga Microsoft Graph och fastställa entitetstypen. Du kan också använda korrelations-ID:t för inloggningsloggar för att hitta identiteten för den aktör eller det ämne som ingår i aktiviteten.
Hur identifierar jag agentidentiteter i Microsoft Graph aktivitetsloggar?
Microsoft Graph aktivitetsloggar separerar för närvarande inte agentidentiteter från andra identitetstyper:
- Förfrågningar från agentidentiteter loggas som applikationer, där agentidentiteten inkluderas i appID-kolumnen .
- Begäranden från agenters användarkonton loggas som användare med agentens användar-ID i kolumnen UserID .
Anslut med Microsoft Entra inloggningsloggar för att fastställa entitetstypen.
Utvecklingsresurser
Finns det SDK:er eller bibliotek tillgängliga för Microsoft Entra agent-ID scenarier?
Vilken SDK du använder beror på ditt scenario:
Microsoft Agent 365 CLI och SDK är den rekommenderade startpunkten för de flesta utvecklare. CLI hanterar agentidentitetsetablering, skapande av skisser och behörighetskopplingar i ett enda kommando. SDK hanterar hämtning av token vid körning. Mer information finns i dokumentationen om Microsoft Entra Agent 365 SDK.
Microsoft. Identity.Web tillhandahåller API:er på högre nivå för att hämta token för agentidentiteter i .NET program. Använd Microsoft. Identity.Web.AgentIdentiteter paket för att förenkla hanteringen av agentidentiteter.
Microsoft Entra SDK-containern omsluter Microsoft.Identity.Web som en webbtjänst distribuerad som en sidecar-container. Använd det här alternativet när din agent körs på Kubernetes och/eller inte är inbyggd i .NET. Mer information finns i Microsoft Entra SDK för agent-ID.
Microsoft Graph API:er tillhandahåller agentidentitetshantering när de andra alternativen inte passar ditt scenario. Mer information finns i Microsoft Graph API för agentidentitetsritningar.