Flujo de autenticación

Importante

Debe formar parte del programa de versión preliminar de Frontier para obtener acceso anticipado a Microsoft Agent 365. Frontier le conecta directamente con las innovaciones de inteligencia artificial más recientes de Microsoft. Las versiones preliminares de Frontier están sujetas a los términos de vista previa existentes en tus acuerdos con clientes. Dado que estas características siguen en desarrollo, su disponibilidad y funcionalidades pueden cambiar con el tiempo.

La identidad del agente es un concepto fundamental en el SDK de Microsoft Agent 365. Cada agente obtiene su propia identidad empresarial única y persistente, independiente de los usuarios humanos o los registros de aplicaciones genéricos. Esta identidad equipa al agente con privilegios, autenticación, roles y funcionalidades de cumplimiento similares a los empleados humanos.

Descripción de los componentes de identidad del agente

Al registrar un agente con Microsoft Agent 365, tres componentes clave funcionan conjuntamente para proporcionar al agente su identidad:

Plano técnico del agente (aplicación de agente)
Instancia de aplicación de agente
Usuario de agente

Plano técnico del agente (aplicación de agente)

El plano técnico del agente define los requisitos de identidad, permisos e infraestructura del agente. Actúa como plantilla para crear instancias de agente e incluye:

Registro de una aplicación de Microsoft Entra
Permisos de API necesarios (ámbitos de Microsoft Graph)
Configuración de autenticación
Definiciones de recursos (plan de App Service, aplicación web)

Instancia de aplicación de agente

Una instancia de aplicación de agente representa una implementación específica del plano técnico del agente. Cada instancia tiene:

Identificador de aplicación agente único (Microsoft Entra ID)
Entidad de servicio para autenticación
Configuración específica de la instancia
Credenciales de identidad federada para la integración de Teams

Usuario de agente

Un usuario agente es la identidad en runtime que aparece en la organización. Los usuarios de agente son un subtipo especializado de identidad de usuario diseñada específicamente para agentes. Los conceptos clave que debe comprender sobre los usuarios de agente son sus características de identidad, la integración de la organización, el modelo de relación y el ciclo de vida.

Características de identidad

Los usuarios de agente tienen propiedades de identidad distintivas que las diferencian de las cuentas de usuario tradicionales:

Marcado como agente en el directorio
Recibe tokens con idtyp=user (tipo de identidad de usuario)
Tiene un id. de usuario único (id. de objeto) independiente de la instancia del agente primario
No se pueden tener credenciales tradicionales (contraseñas, claves de acceso, factores de MFA)
Debe crearse a través de una llamada API explícita desde la instancia del agente primario
Tiene un vínculo inmutable a su instancia de agente primario (no se puede volver a establecer como elemento primario)

Integración organizativa

Los usuarios de agente funcionan como miembros completos de su organización de Microsoft 365 con las siguientes funcionalidades:

Se sincronizan con el directorio de inquilinos de Microsoft 365
Se pueden asignar licencias (Microsoft 365 E5, Teams Enterprise, Copilot)
Tener su propio buzón y almacenamiento de OneDrive (en función de las licencias)
Aparecer en el organigrama y en las tarjetas de personas
Puede estar @mentioned en Teams, documentos y otras aplicaciones de Microsoft 365
Tener su propio nombre de entidad de seguridad único (por ejemplo, agent@yourtenant.onmicrosoft.com)

Modelo de relación

La conexión entre instancias de agente y los usuarios de agente sigue un patrón estricto de elementos primarios-secundarios:

Cada instancia de agente puede tener como máximo un elemento secundario de usuario de agente
El usuario de agente almacena una referencia a su instancia de agente primario
La instancia de agente primario mantiene una referencia a su usuario de agente secundario (si existe uno)
Esta relación bidireccional permite la administración y la auditoría del ciclo de vida adecuadas

Ciclo de vida

Los usuarios de agente están diseñados para una disponibilidad inmediata con limpieza automática cuando ya no lo necesiten:

Compatibilidad con la funcionalidad instantánea y se puede usar inmediatamente después de la creación

Nota

El aprovisionamiento de recursos para usuarios de agente (buzón, OneDrive) puede tardar hasta 24 horas después de la asignación de licencias, aunque normalmente se completa en un plazo de 10 a 15 minutos.
Si se elimina la instancia de agente primario, también se elimina el usuario de agente secundario
La relación entre la instancia de agente y el usuario de agente es inmutable y no se puede cambiar

Importante

Los usuarios de agente requieren licencias adecuadas de Microsoft 365 para acceder a servicios como Teams, Correo electrónico, Calendario, SharePoint y OneDrive. Entre las licencias comunes se incluyen Microsoft 365 E5, Teams Enterprise y Microsoft 365 Copilot. Después de asignar licencias, el aprovisionamiento de recursos (buzón, OneDrive) se completa normalmente en un plazo de 10 a 15 minutos, pero puede tardar hasta 24 horas en algunos casos.

Requisitos de control de acceso y permisos

Los permisos de agente se administran en varios niveles para proporcionar un control pormenorizado sobre los derechos de acceso y las funcionalidades.

Permisos predeterminados

Los usuarios de agente tienen características de permisos específicas:

Se pueden administrar mediante directivas de acceso condicional
Exentos de los requisitos de MFA (ya que no pueden tener factores de autenticación tradicionales)
Se pueden agregar a grupos de Entra ID, incluido el grupo "Todos los usuarios de agente"
El acceso a los recursos se controla a través de las licencias y concesiones de permisos explícitas

Administración de permisos

Los permisos se pueden establecer en diferentes niveles:

Nivel de plano técnico de agente: define los permisos base para todas las instancias
Nivel de instancia del agente: permisos específicos para la identidad del agente
Nivel de usuario de agente: permisos y derechos de acceso específicos de usuario

Propina

En el caso de los agentes con identidades de usuario de agente, use la identidad de usuario de agente principalmente para el acceso a recursos. Esta práctica proporciona un comportamiento similar al de usuario coherente en todos los servicios de Microsoft 365.

Flujos de autenticación

Microsoft Agent 365 admite dos flujos de autenticación para agentes, con tecnología del agente de id. de Microsoft Entra.

Autenticación de identidad de agente

Permite que un agente actúe con su propia identidad.

En este flujo:

El agente se autentica mediante sus propias credenciales (credenciales de plano técnico del agente)
El agente funciona de forma independiente con sus propios permisos asignados
El agente tiene su propia identidad, independiente de cualquier usuario
Este flujo es ideal para las operaciones de agente autónomo que no requieren contexto de usuario

Casos de uso:

Operaciones del agente autónomo (tareas programadas, supervisión)
Envío de correos electrónicos o creación de reuniones desde el buzón del agente
Creación y administración de recursos propiedad del agente
Procesamiento en segundo plano sin interacción del usuario

Más información sobre el registro y la creación de agentes

Flujo de En nombre de (OBO)

Permite que un agente actúe en nombre de un usuario.