이 문서에서는 미리보기에서 발견된 제한, 문제점, 기능 격차를 나열합니다. 가장 최신의 알려진 문제들은 언제든지 이 글로 돌아오실 수 있습니다. 이 항목들은 통보 없이 변경되거나 해결될 수 있습니다. Microsoft Entra 에이전트 ID에는 표준 미리 보기 사용 약관이 적용됩니다.
에이전트 정체성과 에이전트 정체성 설계도
다음의 알려진 문제와 공백은 에이전트 정체성과 에이전트 신원 청사진과 관련되어 있습니다.
그래프 API 관계 내 에이전트 ID
Microsoft Graph API는 에이전트 정체성과 에이전트 신원 청사진(예: /ownedObjects, /deletedItems, /owners, ) 등 다양한 관계를 지원합니다. 이 쿼리들을 에이전트 ID만 반환하도록 필터링하는 방법은 없습니다.
해결 방법: Microsoft Graph 참조 문서에 설명된 기존 API를 사용하고 속성을 사용하여 odata.type 클라이언트 쪽 필터링을 수행하여 결과를 에이전트 ID로 필터링합니다.
에이전트 사용자
다음은 에이전트 사용자와 관련된 알려진 문제와 공백입니다.
정리 에이전트 사용자
에이전트 신원 청사진이나 에이전트 신원이 삭제되면, 그 청사진이나 신원으로 생성된 에이전트 사용자는 테넌트에 남아 있습니다. 비활성화되거나 삭제된 것으로 표시되지 않지만, 인증은 불가능합니다.
해결 방법: Microsoft Entra 관리 센터, Microsoft Graph API 또는 스크립팅 도구를 통해 분리된 에이전트 사용자를 삭제합니다.
에이전트 정체성 관리에 대한 역할 및 권한
다음은 관리 에이전트 신원의 역할과 권한과 관련된 알려진 문제와 공백입니다.
글로벌 리더는 에이전트 신원을 등록할 수 없습니다
엔드포인트 GET https://graph.microsoft.com/beta/servicePrincipals/graph.agentIdentity를 사용하여 Microsoft Graph API에서 에이전트 식별자를 나열할 때 글로벌 리더 역할이 할당된 사용자는 응답을 403 Unauthorized 받습니다.
해결 방법: 대신 엔드포인트 GET https://graph.microsoft.com/beta/servicePrincipals 를 사용하여 쿼리를 만듭니다.
에이전트 신원 생성을 위한 위임 권한
현재 에이전트 신원을 생성하는 데 실질적인 위임 권한이 없습니다.
해결 방법: 구현자는 애플리케이션 권한을 사용하여 에이전트 ID를 만들어야 합니다.
Directory.AccessAsUser.All은 다른 권한을 무시하게 만듭니다
에이전트 ID를 생성, 업데이트, 삭제할 때 클라이언트는 AgentIdentityBlueprint.Create 및 AgentIdentityBlueprintPrincipal.EnableDisable.All과 같은 위임된 권한을 사용할 수 있습니다. 하지만 클라이언트가 Directory.AccessAsUser.All이라는 위임된 권한을 부여받았다면, 클라이언트의 에이전트 ID 생성 및 수정 권한은 무시됩니다. 이로 인해 클라이언트와 사용자가 적절한 권한을 가졌음에도 불구하고 Microsoft Graph 요청이 실패 403 Unauthorized할 수 있습니다.
해결 방법: 클라이언트에서 Directory.AccessAsUser.All 권한을 제거하고, 새 액세스 토큰을 요청하고, 요청을 다시 시도합니다.
사용자 지정 역할
Microsoft Entra ID 사용자 지정 역할 정의에는 에이전트 신원 관리를 위한 액션을 포함할 수 없습니다.
해결 방법: 에이전트 ID의 모든 관리에 기본 제공 역할 에이전트 ID 관리자 및 에이전트 ID 개발자 를 사용합니다.
관리 단위
에이전트 아이덴티티, 에이전트 신원 설계도, 에이전트 신원 설계도를 행정 단위에 추가할 수 없습니다.
해결 방법: 에이전트 ID의 속성을 사용하여 owners 이러한 개체를 관리할 수 있는 사용자 집합을 제한합니다.
에이전트 사용자를 위한 사진 업데이트
에이전트 ID 관리자 역할은 에이전트 사용자의 사진을 업데이트할 수 없습니다.
해결 방법: 사용자 관리자 역할을 사용하여 에이전트 사용자의 사진을 업데이트합니다.
Microsoft Entra 관리 센터
다음의 알려진 문제와 공백은 Microsoft Entra 관리자 센터와 관련된 것입니다.
에이전트 신원 없음 청사진 관리
Microsoft Entra 관리자 센터나 Azure 포털을 통해 에이전트 신원 설계도를 생성하거나 편집할 수 없습니다.
해결 방법: 에이전트 ID 청사진을 만들려면 설명서에 따라 Microsoft Graph API 및 PowerShell을 사용하여 청사진 구성을 만들고 편집 합니다.
인증 프로토콜
다음은 인증 프로토콜과 관련된 알려진 문제와 공백입니다.
단일 - 웹 앱으로의Sign-On
에이전트 ID는 Microsoft Entra ID의 로그인 페이지에 로그인할 수 없습니다. 즉, OpenID Connect나 SAML 프로토콜을 사용하는 웹사이트와 웹 앱에 단일 서명이 불가능합니다.
해결 방법: 사용 가능한 웹 API를 사용하여 에이전트를 작업 공간 앱 및 서비스와 통합합니다.
동의 및 사용 권한
다음의 알려진 문제와 공백은 동의 및 허가와 관련이 있습니다.
관리자 동의 워크플로우 (ACW)
Microsoft Entra ID 관리자 동의 워크플로우 가 에이전트 ID가 요청하는 권한에 대해 제대로 작동하지 않습니다.
해결 방법: 사용자는 Microsoft Entra ID 테넌트 관리자에게 문의하여 에이전트 ID에 부여할 권한을 요청할 수 있습니다.
에이전트 신원 청사진에 대한 애플리케이션 권한
Microsoft Entra ID 애플리케이션 권한(앱 역할)을 에이전트 아이덴티티 블루프린트 프린시펄스에 부여할 수 없습니다.
해결 방법: 개별 에이전트 ID에 애플리케이션 권한을 대신 부여합니다.
에이전트 정체성에 대한 앱 역할 할당
역할 할당의 대상 자원이 에이전트 아이덴티티인 경우 Microsoft Entra ID 앱 역할을 할당할 수 없습니다.
해결 방법: 에이전트 ID 청사진 보안 주체를 사용하여 앱 역할을 대상 리소스로 할당합니다.
위험 기반 스텝업으로 인해 동의가 차단된다
위험 기반 스텝업으로 차단된 사용자 동의는 UX에 '위험하다'는 언급이 없습니다.
해결 방법: 이에 대한 해결 방법은 없습니다. 위험 기반 승격 정책은 여전히 시행되고 있습니다.
Microsoft Entra ID 관리
다음은 Microsoft Entra ID 관리와 관련된 알려진 문제와 허점입니다.
동적 그룹
동적 멤버십을 가진 Microsoft Entra ID 그룹에 에이전트 아이덴티티와 에이전트 사용자를 추가할 수 없습니다.
해결 방법: 고정 멤버 자격으로 보안 그룹에 에이전트 ID를 추가합니다.
모니터링 및 로그
다음의 알려진 문제와 공백은 모니터링과 로그와 관련된 것입니다.
감사 로그
감사 로그는 에이전트 ID를 다른 신원과 구분하지 않습니다:
- 에이전트 아이덴티티, 에이전트 아이덴티티 블루프린트, 에이전트 아이덴티티 블루프린트 프린시펄에 대한 연산은 ApplicationManagement 카테고리에 기록됩니다.
- 에이전트 사용자의 작업은 사용자 관리 카테고리에 기록됩니다.
- 에이전트 신원에 의해 시작된 작업은 감사 로그에서 서비스 주체로 나타납니다.
- 에이전트 사용자가 시작한 작업은 감사 로그에 사용자 형태로 나타납니다.
해결 방법: 다음 해결 방법을 사용하여 감사 로그에서 에이전트 ID 관련 활동을 식별합니다.
- 감사 로그에 제공된 객체 ID를 사용하여 Microsoft Graph를 쿼리하고 엔티티 유형을 결정하세요.
- Microsoft Entra 로그인 로그 상관관계 ID를 사용하여 감사 활동에 관련된 행위자 또는 대상의 신원을 찾으세요.
Microsoft Graph 활동 로그
Microsoft Graph 활동 로그는 에이전트 ID를 다른 식별자와 구분하지 않습니다:
- 에이전트 신원으로부터의 요청은 애플리케이션으로 기록되며, 에이전트 신원은 appID 열에 포함됩니다.
- 에이전트 사용자의 요청은
agentUser열에 ID를 포함하여 사용자로 기록됩니다.
해결 방법: Microsoft Entra 로그인 로그와 조인하여 엔터티 유형을 확인합니다.
성능과 규모
다음의 알려진 문제점과 격차는 성능과 규모와 관련이 있습니다.
다중 생성 요청 지연
Microsoft Graph API를 사용해 에이전트 ID를 생성할 때, 여러 엔티티를 빠르게 연속으로 생성하려는 시도가 .과 같은 400 Bad Request: Object with id {id} not found오류로 실패할 수 있습니다. 요청을 다시 시도해도 몇 분 동안 성공하지 못할 수 있습니다. 예를 들면 다음과 같습니다.
- 에이전트 신원 청사진을 만들고, 빠르게 설계도를 작성하세요.
- 에이전트 신원 청사진을 만들고 빠르게 자격 증명을 추가하세요.
- 에이전트 아이덴티티 블루프린트 프린시펄을 생성한 후, 블루프린트를 사용해 에이전트 아이덴티티를 생성하세요.
- 에이전트 아이덴티티를 생성하고, 빠르게 에이전트 사용자 생성.
이러한 요청 시퀀스는 MS Graph 애플리케이션 권한을 사용해 요청을 승인할 때 종종 실패합니다.
해결 방법: 가능한 경우 위임된 권한을 사용합니다. 요청에 지수 백오프와 합리적인 타임아웃을 포함한 재시도 논리를 추가하세요.
제품 통합
다음은 제품 통합과 관련된 알려진 문제와 공백입니다.
Copilot Studio 에이전트
Copilot Studio로 생성된 에이전트는 에이전트 환경 설정에서 에이전트 ID에 선택해야 합니다. 현재는 커스텀 엔진 에이전트만 지원되고 있습니다. 커스텀 엔진 에이전트는 현재 자신이 게시된 채널에 인증하기 위해 에이전트 ID를 사용합니다. 현재 Copilot Studio에서는 커넥터나 도구에 대한 인증에 에이전트 ID가 사용되지 않습니다.
라이브러리와 SDK
에이전트 ID 시나리오는 연방 신원 증명(FIC)을 관리해야 하므로 MSAL 사용 시 추가적인 복잡성을 초래합니다. .NET 개발자에게는 Microsoft.Identity.Web.AgentIdentities 사용을 권장하며, 이는 에이전트 ID에 대한 간소화된 경험을 제공합니다. non-.NET 구현을 위해서는 다른 언어 간 에이전트 ID 통합을 단순화하도록 설계된 Microsoft Entra SDK for agent ID를 사용하세요.
새로운 문제 보고
비공개 문제를 발견하면 aka.ms/agentidfeedback 로 신고하세요.