Compartir a través de

Concesión de derechos administrativos a los administradores de inteligencia artificial para administrar conectores

Los conectores copilot de Microsoft 365 permiten a las organizaciones crear integraciones personalizadas para mejorar sus sistemas y servicios de inteligencia artificial. Por lo general, los administradores de inteligencia artificial son responsables de configurar y administrar los conectores de Copilot. Sin embargo, ciertas tareas, como el registro de aplicaciones y el consentimiento para permisos específicos de Microsoft Graph API a menudo requieren un administrador global. Delegar derechos administrativos a los administradores de inteligencia artificial puede reducir las dependencias y permitir que los administradores de inteligencia artificial configuren los conectores de Copilot de forma independiente. En este artículo se describe cómo delegar derechos administrativos mientras se mantiene el control organizativo.

Nota:

Delegar derechos administrativos a los administradores de inteligencia artificial es un paso opcional para la administración del conector de Copilot.

¿Qué derechos administrativos se pueden delegar?

Para permitir que los administradores de inteligencia artificial administren de forma independiente la configuración y el funcionamiento de los conectores personalizados, delegue los siguientes derechos administrativos:

  • Permiso de registro de aplicaciones: la concesión de este permiso permite a los administradores de inteligencia artificial registrar aplicaciones desde el centro de administración de Microsoft Entra para configurar conectores personalizados. Los permisos de registro de aplicaciones están habilitados de forma predeterminada para todos los usuarios de una organización. Conceda este permiso solo si el permiso está deshabilitado para la organización.

  • Privilegios de consentimiento: la concesión de este privilegio permite a los administradores de inteligencia artificial conceder consentimiento para permisos de Microsoft Graph API relacionados con el conector, como ExternalItem.ReadWrite.OwnedBy y ExternalConnection.ReadWrite.OwnedBy, que son específicos para crear conexiones e ingerir elementos.

Concesión de permisos de registro de aplicaciones

Si los permisos de registro de aplicaciones están habilitados para todos los usuarios de la organización, no se requiere ninguna configuración adicional. Sin embargo, si estos permisos están restringidos, los administradores globales pueden concederlos a los administradores de inteligencia artificial mediante un rol personalizado. Para obtener más información, consulte Delegar permisos de registro de aplicaciones en Microsoft Entra id.

Para conceder privilegios de consentimiento a los administradores de IA, cree una directiva y un rol personalizados adaptados a los permisos necesarios:

  1. Defina una directiva que conceda específicamente permisos para ExternalItem.* y ExternalConnection.*.
  2. Cree un rol personalizado y asigne la directiva de consentimiento recién creada a este rol.
  3. Asigne el rol personalizado a los usuarios con el rol Administrador de inteligencia artificial para permitirles administrar el consentimiento para los permisos especificados.

Uso de PowerShell para conceder derechos administrativos

Puede usar un script de PowerShell para conceder derechos administrativos a los administradores de inteligencia artificial. El script de PowerShell realiza las siguientes acciones:

  • Concede permisos de registro de aplicaciones a los usuarios a los que se les asigna actualmente el rol de administrador de inteligencia artificial .
  • Concede privilegios de consentimiento por:
    • Crear una directiva de consentimiento personalizada denominada Conceder permisos de consentimiento a administradores de IA que permita a los usuarios dar su consentimiento a ExternalItem.* y ExternalConnection.*.
    • Establecer un rol personalizado denominado Administración de conectores personalizados para Copilot y asignar la directiva de consentimiento a este rol.
    • Asignación del rol personalizado a los administradores de inteligencia artificial existentes.

Para usar el script de PowerShell:

  1. Use el Install-Module comando en PowerShell para instalar el script.

    Install-Module Connector.Cmd

    Importante

    Estos pasos requieren connector.cmd versión 1.4 o posterior.

  2. Use el siguiente comando para invocar el script.

    GrantAppConsentAndManagementPermissionToAiAdmin

  3. Inicie sesión como administrador global y apruebe los permisos solicitados.

Una vez que se ejecuta el script, los usuarios existentes con el rol administrador de IA tienen derechos administrativos para configurar y administrar conectores de Copilot.

Confirmación de los resultados

Para garantizar que los derechos administrativos se concedieron correctamente:

  1. Inicie sesión en el centro de administración de Microsoft Entra como administrador de IA.
  2. Vaya a la sección Registros de aplicaciones y cree una nueva aplicación.
  3. Agregue permisos ExternalItem.ReadWrite.OwnedBy y ExternalConnection.ReadWrite.OwnedBy a la aplicación.
  4. Dé su consentimiento a estos permisos directamente en el portal.

Si se ejecuta correctamente, la configuración se completa.

Preguntas frecuentes

No, el script limita los privilegios de consentimiento a ExternalItem.* y ExternalConnection.*. Esto garantiza que se concedan los permisos mínimos necesarios sin arriesgar un acceso más amplio.

¿Qué ocurre si la aplicación del conector requiere permisos más allá de ExternalItem.* y ExternalConnection.*?

En este caso, los administradores globales deben conceder manualmente el consentimiento para otros permisos. Para ampliar los privilegios de administrador de IA:

  1. Cree o actualice manualmente una directiva de consentimiento personalizada como se describe en Concesión de privilegios de consentimiento.
  2. Agregue los demás permisos necesarios para la aplicación.
  3. Asigne la directiva actualizada al rol personalizado creado anteriormente.

¿Cómo puedo revocar los privilegios concedidos a los administradores de inteligencia artificial?

Para quitar privilegios, vaya a la página Roles & administradores del centro de administración de Microsoft Entra o Centro de administración de Microsoft 365. Busque el rol personalizado creado durante la instalación y elimínelo.

Captura de pantalla de la página Roles & administradores en Microsoft Entra centro de administración

¿Se aplican automáticamente los privilegios a los administradores de inteligencia artificial recién asignados?

No, los privilegios concedidos mediante el script de PowerShell solo se aplican a los administradores de inteligencia artificial actuales. Para los nuevos administradores de inteligencia artificial, vuelva a ejecutar el script o asigne manualmente el rol personalizado a los administradores recién asignados desde el centro de administración de Microsoft Entra.

Captura de pantalla de la página Asignaciones en Microsoft Entra centro de administración

¿Es obligatorio conceder estos privilegios a los administradores de inteligencia artificial?

No, conceder estos privilegios es opcional. Las organizaciones pueden elegir si delegar permisos en función de sus procesos internos. Si se prefiere el control centralizado, los administradores globales pueden conservar la responsabilidad de estas tareas.

Contenido relacionado

  • Last updated on