Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Vous devez faire partie du programme Frontier en version préliminaire pour obtenir un accès anticipé à Microsoft Agent 365. Frontier vous connecte directement aux dernières innovations d’IA de Microsoft. Les versions préliminaires Frontier sont soumises aux conditions existantes de vos contrats clients qui régissent les versions préliminaires. Comme ces fonctionnalités sont encore en cours de développement, leur disponibilité et leurs capacités peuvent évoluer au fil du temps.
L’identité de l’assistant est un concept fondamental dans le kit de développement logiciel (SDK) Microsoft Agent 365. Chaque assistant obtient sa propre identité d’entreprise unique et persistante, distincte des utilisateurs humains ou des inscriptions d’applications génériques. Cette identité dote l’assistant de privilèges, de fonctionnalités d’authentification, de rôles et de fonctionnalités de conformité similaires à un employé humain.
Comprendre les composants d’identité de l’assistant
Lorsque vous inscrivez un assistant auprès de Microsoft Agent 365, trois composants clés fonctionnent ensemble pour fournir à votre assistant son identité :
- Blueprint de l’assistant (application agentique)
- Instance d’application agentique
- Utilisateur agentique
Blueprint de l’assistant (application agentique)
Le blueprint de l’assistant définit l’identité, les autorisations et les exigences d’infrastructure de l’assistant. Il sert de modèle pour créer des instances d’assistant et inclut :
- Inscription d´application Microsoft Entra
- Autorisations d’API requises (étendues Microsoft Graph)
- Configuration de l’authentification
- Définitions de ressources (Plan de service de l’application, Application web)
Instance d’application agentique
Une instance d’application agentique représente un déploiement spécifique de votre blueprint d’assistant. Chaque instance a :
- ID d’application agentique unique (Microsoft Entra ID)
- Un principal de service pour l’authentification
- Configuration spécifique à l’instance
- Informations d’identification de l’identité fédérée pour intégration à Teams
Utilisateur agentique
Un utilisateur agentique désigne l’identité d’exécution qui s’affiche dans votre organisation. Les utilisateurs agentiques sont un sous-type spécialisé d’identité utilisateur conçu spécifiquement pour les assistants. Les concepts clés dont vous avez besoin pour comprendre les utilisateurs agentiques sont leurs caractéristiques d’identité, l’intégration de l’organisation, le modèle de relation et le cycle de vie.
Caractéristiques d’identité
Les utilisateurs agentiques ont des propriétés d’identité distinctives qui les différencient des comptes d’utilisateur traditionnels :
- Marqué comme agentique dans le répertoire
- Reçoit des jetons avec
idtyp=user(type d’identité utilisateur) - Possède un ID utilisateur unique (ID d’objet) distinct de l’instance de l’assistant parent
- Impossible d’avoir des informations d’identification traditionnelles (mots de passe, clés secrètes, facteurs MFA)
- Doit être créé via un appel d’API explicite à partir de l’instance de l’assistant parent
- A un lien immuable vers son instance de l’assistant parent (ne peut pas être re-parenté)
Intégration organisationnelle
Les utilisateurs agentiques fonctionnent en tant que membres complets de votre organisation Microsoft 365 avec les fonctionnalités suivantes :
- Sont synchronisés vers votre répertoire client Microsoft 365
- Peuvent se voir attribuer des licences (Microsoft 365 E5, Teams Enterprise, Copilot)
- Disposent de leur propre boîte aux lettres et du stockage OneDrive (en fonction des licences)
- S’affichent dans le graphique organisationnel et les fiches individuelles
- Peuvent se trouver @mentioned dans Teams, des documents et autres applications Microsoft 365
- Ont leur propre nom de principal unique (par exemple,
agent@yourtenant.onmicrosoft.com)
Modèle de relation
La connexion entre les instances agentiques et les utilisateurs agentiques suit un modèle parent-enfant strict :
- Chaque instance agentique peut avoir au plus un enfant d’utilisateur agentique
- L’utilisateur agentique stocke une référence à son instance d’assistant parent
- L’instance de l’assistant parent conserve une référence à son utilisateur agentique enfant (le cas échéant)
- Cette relation bidirectionnelle permet une gestion et un audit de cycle de vie appropriés
Le cycle de vie
Les utilisateurs agentiques sont conçus pour une disponibilité immédiate avec nettoyage automatique lorsqu’il n’est plus nécessaire :
de prendre en charge les fonctionnalités instantanées et peuvent être utilisés immédiatement après la création
Note
L’approvisionnement des ressources pour les utilisateurs agentiques (boîte aux lettres, OneDrive) peut prendre jusqu’à 24 heures après l’attribution de licence, bien qu’il se termine généralement dans les 10 à 15 minutes.
Si l’instance de l’assistant parent est supprimée, l’utilisateur agentique enfant est également supprimé
La relation entre l’instance de l’assistant et l’utilisateur agentique est immuable et ne peut pas être modifiée
Important
Les utilisateurs agentiques nécessitent des licences Microsoft 365 appropriées pour accéder aux services tels que Teams, E-mail, Calendrier, SharePoint et OneDrive. Les licences courantes incluent Microsoft 365 E5, Teams Entreprise et Microsoft 365 Copilot. Après l’attribution de licences, l’approvisionnement de ressources (boîte aux lettres, OneDrive) se termine généralement dans les 10 à 15 minutes, mais peut prendre jusqu’à 24 heures dans certains cas.
Contrôle d’accès et autorisations
Les autorisations d’assistant sont gérées à plusieurs niveaux pour fournir un contrôle granulaire sur les droits d’accès et les fonctionnalités.
Autorisations par défaut
Les utilisateurs agentiques ont des caractéristiques d’autorisation spécifiques :
- Peut être géré par le biais de stratégies d’accès conditionnel
- Exempt des exigences de l’authentification multifacteur (car elles ne peuvent pas avoir de facteurs d’authentification traditionnels)
- Peut être ajouté aux groupes d’ID Entra, y compris le groupe « Tous les utilisateurs agentiques »
- L’accès aux ressources est contrôlé par le biais d’autorisations explicites et de licences
Gestion des autorisations
Les autorisations peuvent être définies à différents niveaux :
- Niveau de blueprint de l’assistant : définit les autorisations de base pour toutes les instances
- Niveau de l’instance de l’assistant : autorisations spécifiques pour l’identité de l’assistant
- Niveau de l’utilisateur agentique : autorisations et droits d’accès spécifiques à l’utilisateur
Astuce
Pour les assistants avec des identités utilisateur agentiques, utilisez principalement l’identité utilisateur agentique pour l’accès aux ressources. Cette pratique fournit un comportement cohérent de type utilisateur sur les services Microsoft 365.
Flux d’authentification
Microsoft Agent 365 prend en charge deux flux d’authentification pour les agents, alimentés par l’identifiant d’assistant Microsoft Entra.
Authentification de l’identité de l’assistant
Permet à un assistant d’agir avec sa propre identité.
Dans ce flux :
- L’assistant s’authentifie à l’aide de ses propres identifiants (les identifiants du blueprint d’assistant)
- L’assistant fonctionne de manière autonome avec ses propres autorisations attribuées
- L’assistant possède sa propre identité, distincte de celle de tout utilisateur
- Ce flux est idéal pour les opérations autonomes de l’assistant qui ne nécessitent pas de contexte utilisateur
Cas d’usage :
- Opérations autonomes de l’assistant (tâches planifiées, surveillance)
- Envoi de courriers électroniques ou création de réunions à partir de la boîte aux lettres de l’assistant
- Création et gestion des ressources appartenant à l’assistant
- Traitement en arrière-plan sans interaction utilisateur
En savoir plus sur l’inscription et la création d’assistants
Flux au nom de
Permet à un assistant d’agir pour le compte d’un utilisateur.
Dans ce flux :
- L’assistant reçoit le jeton délégué d’un utilisateur
- L’assistant échange ce jeton pour effectuer des actions comme si l’utilisateur les effectue
- L’assistant fonctionne avec les autorisations et le contexte de l’utilisateur
- Ce flux est idéal pour les scénarios où l’assistant doit accéder aux ressources avec des autorisations spécifiques à l’utilisateur
- Fournit un audit fort lorsque l’identité agentique est utilisée dans les flux réactifs
Cas d’usage :
- Accès aux données spécifiques à l’utilisateur (courriers électroniques, calendrier, fichiers)
- Exécution d’actions nécessitant le consentement de l’utilisateur
- Scénarios où le contexte et les autorisations de l’utilisateur sont requis
Étapes suivantes
Maintenant que vous comprenez les flux d’authentification et les concepts d’identité de l’assistant, créez votre blueprint et votre instance d’assistant.