Compartir a través de

Agente de Microsoft Entra ID API en Información general de Microsoft Graph (versión preliminar)

Agente de Microsoft Entra ID API de Microsoft Graph le ayudan a crear, proteger y administrar identidades de agentes de inteligencia artificial que operan en su organización. Puede crear identidades de agente mediante programación, controlar su acceso a los recursos y supervisar sus actividades a través de una plataforma centralizada.

En este artículo, obtendrá información sobre los conceptos clave y las API para administrar identidades de agente en Microsoft Graph, incluidos los componentes que componen una identidad de agente, cómo aplicar directivas de seguridad y gobernanza a los agentes y los permisos necesarios para administrar agentes mediante programación.

Para obtener más información sobre la Agente de Microsoft Entra ID, consulte ¿Qué es Agente de Microsoft Entra ID?

Bloques de creación de identidades de agente

Los siguientes componentes principales comprenden la arquitectura de Agente de Microsoft Entra ID:

Componente Objetivo Recurso de Microsoft Graph
Plano técnico Plantilla que define el tipo de identidad del agente, incluidos los permisos que las identidades de agente se autentican previamente para heredar automáticamente agentIdentityBlueprint
Entidad de seguridad de plano técnico Registro de la adición del plano técnico a un inquilino agentIdentityBlueprintPrincipal
Identidad del agente Identidad principal para la autenticación agentIdentity
Usuario del agente Cuenta opcional para escenarios que requieren una cuenta de usuario agentUser
Registro del agente Repositorio centralizado para la administración de agentes que actúa como plataforma para administrar manifiestos de tarjetas de agente, instancias de agente y recopilaciones de agentes.

Obtenga más información sobre la arquitectura de identidad del agente en los artículos siguientes:

Agente de Microsoft Entra ID amplía las funcionalidades completas de seguridad y gobernanza de Microsoft Entra a los agentes de inteligencia artificial, incluido el acceso condicional, Identity Protection y los registros de auditoría.

Propiedad y responsabilidad

Cada identidad de agente debe tener una parte designada responsable de las acciones del agente, los permisos de acceso y la posición de seguridad general para garantizar la responsabilidad y la gobernanza adecuada. Las API de Microsoft Graph le permiten asignar y administrar los siguientes metadatos para identidades de agente, para admitir este principio.

Metadata Se aplica a
owner agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity
Patrocinador agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity, agentUser
manager agentUser

Consulte Relaciones administrativas en Agente de Microsoft Entra ID (propietarios, patrocinadores y administradores) para obtener más información.

Acceso condicional

Puede aplicar directivas de acceso condicional mediante programación para aplicar directivas de acceso en agentes de inteligencia artificial, en función de la identidad del agente, el riesgo y otros factores contextuales.

  • Use la API de evaluación What If para simular cómo afectarían las directivas de acceso condicional a las identidades de agente que intentan acceder a los recursos.
  • Use las API de directiva de acceso condicional para aplicar o administrar directivas de acceso condicional para los agentes de IA que acceden a los recursos de la organización. Puede aplicar estas directivas en función del nivel de riesgo del agente o de los atributos de seguridad personalizados asignados a los agentes.

Protección de identidad

Microsoft Entra ID Protection evalúa continuamente el riesgo del agente en función de varias señales y el aprendizaje automático. Puede usar los tipos de recursos agentRiskDetection y riskyAgent para identificar y administrar el riesgo del agente en su organización, incluido descartar o confirmar los riesgos detectados. Los riesgos confirmados pueden desencadenar acciones de corrección automatizadas, como la aplicación de directivas de acceso condicional.

Registros de auditoría

Microsoft Entra registros de signIn capturan las actividades realizadas por las identidades de agente, lo que proporciona visibilidad sobre las operaciones del agente para la supervisión de cumplimiento y seguridad, desde la creación de identidades de agente hasta los cambios de configuración en los agentes, incluidas las asignaciones de roles y permisos.

Permisos para administrar identidades de agente

Microsoft Graph proporciona permisos pormenorizados para administrar identidades de agente y sus componentes asociados. Los permisos siguen los siguientes patrones y se publican en la referencia de permisos de Microsoft Graph.

Permisos para administrar el registro del agente:

  • AgentCardManifest.Read*
  • AgentCollection.Read*
  • AgentInstance.Read*

Permisos para administrar las identidades y los planos técnicos de identidad del agente:

  • AgentIdentity*

Permisos para los usuarios del agente de nmanaging:

  • AgentIdUser.Read*

La administración de directivas de acceso condicional, Identity Protection y la visualización de registros de auditoría para agentes requieren los mismos permisos que la administración de estas características para otros tipos de identidad en Microsoft Entra. Para obtener más información, consulte los artículos de API correspondientes para cada característica.

Permisos de Microsoft Graph bloqueados para agentes

Las identidades de agente usan el mismo modelo de permisos de Microsoft Graph que otras identidades. Por lo tanto, se les pueden conceder permisos delegados o de aplicación para acceder a las API de Microsoft Graph.

Sin embargo, debido a la naturaleza autónoma de los agentes y a los posibles riesgos que suponen, los siguientes permisos de microsoft Graph API de alto riesgo se bloquean explícitamente para que los agentes eviten el uso indebido o el acceso no deseado a datos confidenciales. Estos permisos no se pueden conceder a las identidades de agente a través de Microsoft Graph o Centro de administración Microsoft Entra.

Leyenda:

  • ❌ indica que el permiso está bloqueado en esa categoría
  • ➖ indica que el permiso no es aplicable o está bloqueado en esa categoría.
Nombre del permiso Delegated Aplicación
AgentIdentity.Create
AgentIdentity.Create.All
AgentIdentity.CreateAsManager
AgentIdentityBlueprint.Create
AgentIdentityBlueprint.CreateAsManager
AgentIdentityBlueprint.ReadWrite.All
AgentIdentityBlueprintPrincipal.Create
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
AppRoleAssignment.ReadWrite.All
BitlockerKey.Read.All
Calendars.Read
ChannelMessage.Read.All
ChannelMessage.Read.Group
Chat.Read.All
Chat.ReadWrite.All
ConsentRequest.ReadWrite.all
CustomSecAttributeAssignment.ReadWrite.All
CustomSecAttributeDefinition.ReadWrite.All
DelegatedPermissionGrant.ReadWrite.All
Device.ReadWrite.All
Device.Write.Restricted
DeviceManagementConfiguration.Read.All
Directory.AccessAsUser.All
Directory.ReadWrite.All
Directory.Write.Restricted
Domain.ReadWrite.All
EduRoster.ReadWrite.All
EntitlementManagement.ReadWrite.All
Files.Read.All
Files.ReadWrite.All
Group.Create
Group.ReadWrite.All
Group.Write.Restricted
GroupMember.ReadWrite.All
IdentityProvider.ReadWrite.All
LifecycleManagement.ReadWrite.All
Organization.ReadWrite.All
Policy.ReadWrite.AuthenticationMethod
Policy.ReadWrite.CrossTenantAccess
Policy.ReadWrite.PermissionGrant
Policy.ReadWrite.SecurityDefaults
PrintJob.ReadWrite.All
PrivilegedAccess.ReadWrite.AzureAD
PrivilegedAccess.ReadWrite.AzureResources
RoleManagement.ReadWrite.All
RoleManagement.ReadWrite.Directory
Sites.FullControl.All
Sites.Manage.All
Sites.Read.All
Sites.ReadWrite.All
Tasks.ReadWrite.All
User-PasswordProfile.ReadWrite.All
User.DeleteRestore.All
User.EnableDisableAccount.All
User.Invite.All
User.ReadWrite.All
UserAuthenticationMethod.Read.All
UserAuthenticationMethod.ReadWrite.All

Contenido relacionado

¿Qué es Agente de Microsoft Entra ID

  • Last updated on