에이전트 ID는 Microsoft Entra ID의 특수 서비스 주체입니다. 에이전트 신원의 청사진에 의해 생성된 신원으로, 가장할 권한이 부여된 신원입니다. 자체적으로 자격 증명이 없습니다. 에이전트 ID 청사진은 사용자 또는 테넌트 관리자가 해당 범위에 대한 에이전트 ID에 동의한 경우 에이전트 ID를 대신하여 토큰을 획득할 수 있습니다. 자율 에이전트는 에이전트 ID를 대신하여 앱 토큰을 획득합니다. 사용자 토큰으로 호출된 대화형 에이전트는 에이전트 ID를 대신하여 사용자 토큰을 획득합니다.
에이전트 ID를 사용하여 다음을 수행할 수 있습니다.
- Microsoft Entra ID에서 에이전트 토큰을 요청합니다. 액세스 토큰의 주체는 에이전트 ID입니다.
- Microsoft Entra ID에서 발급한 들어오는 액세스 토큰을 받습니다. 액세스 토큰의 대상은 에이전트 ID입니다.
- 인증된 사용자에 대한 Microsoft Entra ID에서 사용자 토큰을 요청합니다. 토큰의 주체는 사용자이고 행위자는 에이전트 ID입니다.
필수 조건
에이전트 ID의 해부학
AI 에이전트에서 사용하는 계정을 에이전트 ID라고 합니다. 일반적인 사용자 계정과 마찬가지로 에이전트 ID에는 다음과 같은 몇 가지 주요 구성 요소가 있습니다.
식별자입니다. 각 에이전트 ID에는
id개체 ID(예:aaaaaaaa-1111-2222-3333-bbbbbbbbbb개체 ID라고도 함)가 있습니다. Microsoft Entra는idMicrosoft Entra 테넌트 내에서 계정을 생성하고 고유하게 식별합니다.로그인 정보. 에이전트 ID에는 암호가 없지만 인증하는 데 사용할 수 있는 다른 형식의 자격 증명이 있습니다.
표시 이름입니다. 에이전트 ID의 표시 이름은 Microsoft Entra 관리 센터, Azure Portal, Teams, Outlook 등과 같은 많은 환경에서 표시됩니다. 에이전트의 인간 친화적인 이름이며 변경할 수 있습니다.
스폰서. 에이전트 ID에는 에이전트에 대한 책임이 있는 사용자 또는 그룹을 기록하는 스폰서가 있을 수 있습니다. 이 스폰서는 보안 인시던트가 발생할 경우 인간에게 연락하는 등 다양한 용도로 사용됩니다.
청사진. 모든 에이전트 ID는 에이전트 ID 청사진이라는 재사용 가능한 템플릿에서 만들어집니다. 에이전트 ID 청사진은 에이전트 종류를 설정하고 일반적인 종류의 모든 에이전트 ID에서 공유되는 메타데이터를 기록합니다.
에이전트 사용자(선택 사항). 일부 에이전트는 인증에 Microsoft Entra 사용자 계정을 사용해야 하는 시스템에 액세스해야 합니다. 이러한 경우 에이전트 사용자에게는 에이전트 사용자라는 두 번째 계정을 부여할 수 있습니다. 이 두 번째 계정은 AI 에이전트로 데코레이팅된 Microsoft Entra 테넌트에 있는 사용자 계정입니다. 에이전트 ID와는 다르
id지만 에이전트 ID와 에이전트 사용자 간에는 항상 1:1 관계가 설정됩니다.
보안 인증 및 권한 부여를 사용하도록 설정하는 에이전트 ID의 기본 구성 요소입니다. 에이전트 ID의 전체 개체 스키마는 Microsoft Graph 참조 설명서에서 사용할 수 있습니다.
에이전트 ID에 대한 자격 증명
에이전트 ID는 AI 에이전트가 다양한 시스템에 인증하는 데 사용하는 기본 계정입니다. 인증 및 권한 부여 결정에 안정적으로 사용할 수 있는 고유한 식별자(항상 동일한 값을 갖는 개체 ID 및 앱 ID)가 있습니다.
AI 에이전트는 사용자와 달리 인증을 위해 암호, SMS(짧은 메시지 서비스), 암호 또는 인증자 앱을 사용하지 않습니다. 대신 에이전트 ID는 소프트웨어 시스템에서 사용할 수 있는 자격 증명 유형을 사용합니다. 이러한 자격 증명 유형은 다음과 같습니다.
- Azure에서 실행되는 AI 에이전트(가장 안전한)에 대한 관리 ID입니다.
- Kubernetes 또는 다른 클라우드 공급자에서 실행되는 AI 에이전트에 대한 페더레이션 ID 자격 증명입니다.
- 인증서/암호화 키입니다.
- 클라이언트 비밀입니다.
에이전트 ID는 생성된 Microsoft Entra 테넌트에서만 토큰을 발급할 수 있습니다. 다른 테넌트의 리소스 또는 API에 액세스할 수 없습니다.
청사진: 에이전트 ID에 대한 일관된 보안
에이전트 ID의 주요 특징은 모든 에이전트 ID가 에이전트 ID 청사진이라는 재사용 가능한 템플릿에서 생성된다는 것입니다. 청사진은 에이전트의 "종류"를 설정하고 공통 종류의 모든 에이전트 ID에서 공유되는 메타데이터를 기록합니다.
조직에서 "Sales Assistant Agent"라는 AI 에이전트를 사용한다고 상상해 보세요. 에이전트를 사내에서 구입하든 빌드하든 에이전트 ID 청사진은 조직의 Microsoft Entra 테넌트에 추가됩니다. 청사진은 다음 정보를 캡처합니다.
- 청사진의 이름(예: "Sales Assistant Agent"
- 청사진을 게시한 조직(예: "Contoso")
- "영업 관리자" 또는 "영업 담당자"와 같이 에이전트가 제공할 수 있는 모든 역할
- "로그인한 사용자의 일정 읽기"와 같이 에이전트에 부여된 모든 Microsoft Graph 권한
조직 내의 많은 영업 팀이 AI 에이전트를 배포합니다. 에이전트는 북미 판매용으로 배포됩니다. 또 다른 하나는 남미 판매를 위해 배포됩니다. 하나는 엔터프라이즈 판매, 하나는 중소기업용, 다른 하나는 신생 기업을 위한 것입니다. 생성 시 이러한 각 에이전트에는 에이전트 ID가 부여됩니다. 각 에이전트는 인증을 위해 해당 에이전트 ID를 사용하여 태스크를 실행하고 수행하기 시작합니다.
각 에이전트 ID는 동일한 에이전트 ID 청사진을 사용하여 생성되므로 모든 에이전트는 Microsoft Entra 관리 센터에서 "Sales Assistant Agents"로 표시됩니다. 이 기능을 사용하면 Microsoft Entra 관리자가 다음과 같은 작업을 수행할 수 있습니다.
- 모든 Sales Assistant 에이전트에 조건부 액세스 정책을 적용합니다.
- 모든 Sales Assistant 에이전트를 사용하지 않도록 설정합니다.
- 모든 Sales Assistant 에이전트에 대한 권한 부여를 취소합니다.
에이전트 ID 청사진은 Microsoft Entra 관리자에게 규칙을 설정하고 에이전트 종류에 따라 작업을 수행하여 대규모로 에이전트 ID를 보호하는 기능을 제공합니다. 이 기능은 조직에 배포된 각 AI 에이전트에 대한 일관된 보안을 보장합니다.