Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł wymienia ograniczenia, problemy i luki w funkcjach zaobserwowane w zapowiedzi. Zawsze możesz wrócić do tego artykułu, aby poznać najnowsze znane problemy. Te kwestie mogą się zmienić lub rozwiązać bez uprzedzenia. Identyfikator agenta Microsoft Entra podlega standardowym warunkom i zasadom wersji zapoznawczej.
Tożsamości agentów i plany tożsamości agentów
Następujące znane problemy i luki dotyczą tożsamości agentów oraz planów tożsamości agentów.
Identyfikatory agentów w relacjach API grafu
API Microsoft Graph obsługują różne relacje dotyczące tożsamości agentów i blueprintów tożsamości agentów, takich jak /ownedObjects, /deletedItems, , /ownersi inne. Nie ma sposobu, by filtrować te zapytania tak, by zwracały tylko identyfikatory agentów.
Rozwiązanie: użyj istniejących interfejsów API udokumentowanych w dokumentacji referencyjnej Microsoft Graph i wykonaj filtrowanie po stronie klienta przy użyciu właściwości odata.type, aby filtrować wyniki według identyfikatorów agentów.
Użytkownicy korzystający z agentów
Następujące znane problemy i luki dotyczą użytkowników agentów.
Użytkownicy agentów czyszczących
Gdy blueprint tożsamości agenta lub tożsamość agenta zostanie usunięty, wszyscy użytkownicy agentów utworzoni za pomocą tego blueprintu lub tożsamości pozostają w dzierżawie. Nie są pokazywane jako wyłączone lub usunięte, choć nie mogą się uwierzytelnić.
Rozwiązanie: Usuń wszystkich osieroconych użytkowników agentów za pośrednictwem centrum administracyjnego Microsoft Entra, interfejsów API Microsoft Graph lub narzędzi skryptowych.
Role i uprawnienia do zarządzania tożsamością agenta
Następujące znane problemy i luki dotyczą ról i uprawnień do zarządzania tożsamością agentów.
Global Reader nie może wymieniać tożsamości agentów
Podczas zapytania do API Microsoft Graph w celu wypisania tożsamości agentów za pomocą punktu GET https://graph.microsoft.com/beta/servicePrincipals/graph.agentIdentitykońcowego , użytkownicy przypisani roli Global Reader otrzymują 403 Unauthorized odpowiedź.
Rozwiązanie: zamiast tego użyj punktu końcowego GET https://graph.microsoft.com/beta/servicePrincipals , aby wykonać zapytanie.
Uprawnienia delegowane do tworzenia tożsamości agenta
Obecnie nie ma realnych uprawnień delegowanych do tworzenia tożsamości agentów.
Rozwiązanie: Implementatory muszą używać uprawnień aplikacji do tworzenia tożsamości agentów.
Directory.AccessAsUser.All powoduje ignorowanie innych uprawnień
Podczas tworzenia, aktualizacji i usuwania identyfikatorów agentów klienci mogą korzystać z delegowanych uprawnień, takich jak AgentIdentityBlueprint.Create oraz AgentIdentityBlueprintPrincipal.EnableDisable.All. Jednak jeśli klient otrzymał delegowane uprawnienia Directory.AccessAsUser.All, uprawnienia klienta do tworzenia i modyfikowania identyfikatorów agentów są ignorowane. Może to powodować niepowodzenie żądań Microsoft Graph z 403 Unauthorized, mimo że klient i użytkownik mają odpowiednie uprawnienia.
Rozwiązanie: Usuń uprawnienie Directory.AccessAsUser.All z klienta, zażądaj nowych tokenów dostępu i ponów próbę żądania.
Role niestandardowe
Nie możesz uwzględniać akcji zarządzania tożsamościami agentów w niestandardowych definicjach ról Microsoft Entra ID.
Rozwiązanie: Używanie wbudowanych ról Administrator identyfikatorów agenta i Deweloper identyfikatorów agenta do zarządzania wszystkimi identyfikatorami agentów.
Jednostki administracyjne
Nie możesz dodawać tożsamości agentów, planów tożsamości agenta ani głównych planów tożsamości agenta do jednostek administracyjnych.
Rozwiązanie: użyj owners właściwości identyfikatorów agentów, aby ograniczyć zestaw użytkowników, którzy mogą zarządzać tymi obiektami.
Aktualizacja zdjęć dla użytkowników agentów
Rola administratora ID agenta nie może aktualizować zdjęć dla użytkowników agentów.
Rozwiązanie: użyj roli Administrator użytkowników, aby zaktualizować zdjęcia dla użytkowników będących agentami.
centrum administracyjne Microsoft Entra
Poniższe znane problemy i luki dotyczą centrum administracyjnego Microsoft Entra.
Brak zarządzania planami tożsamości agenta
Nie możesz tworzyć ani edytować planów tożsamości agenta przez centrum administracyjne Microsoft Entra ani portal Azure.
Rozwiązanie: Aby utworzyć strategie tożsamości agenta, postępuj zgodnie z dokumentacją, aby utworzyć i edytować konfigurację strategii przy użyciu interfejsów API programu Microsoft Graph i programu PowerShell.
Protokoły uwierzytelniania
Następujące znane problemy i luki dotyczą protokołów uwierzytelniania.
JednoosobowySign-On do aplikacji webowych
ID agentów nie mogą zalogować się na strony logowania Microsoft Entra ID. Oznacza to, że nie mogą jednoosobowo logować się na strony internetowe i aplikacje webowe za pomocą protokołów OpenID Connect lub SAML.
Rozwiązanie: użyj dostępnych internetowych interfejsów API, aby zintegrować agentów z aplikacjami i usługami w miejscu pracy.
Zgoda i uprawnienia
Następujące znane problemy i luki dotyczą zgody i zezwoleń.
Workflow zgody administratora (ACW)
Workflow zgody administratora Microsoft Entra ID nie działa poprawnie dla uprawnień żądanych przez ID agentów.
Rozwiązanie: użytkownicy mogą skontaktować się z administratorami klienta Microsoft Entra ID, aby zażądać udzielenia uprawnień Agent ID.
Uprawnienia aplikacji do planów tożsamości agenta
Nie możesz przyznawać uprawnień do aplikacji Microsoft Entra ID (ról aplikacji) dla principalów tożsamości agenta.
Rozwiązanie: zamiast tego przyznaj uprawnienia aplikacji poszczególnym tożsamościom agenta.
Przypisanie roli aplikacji do tożsamości agenta
Nie możesz przypisać ról aplikacji Microsoft Entra ID, gdzie docelowym zasobem przypisania roli jest tożsamość agenta.
Rozwiązanie: przypisz role aplikacji, wykorzystując główny podmiot w strategii tożsamości agenta jako element docelowy.
Zgody zablokowane przez stopniowe zwiększanie ryzyka
Zgody użytkowników zablokowane przez podwyższenie ryzyka nie zawierają w UX żadnej wzmianki o "ryzykownym".
Rozwiązanie: nie ma obejścia tego problemu. Stopniowe zwiększanie ryzyka jest nadal egzekwowane.
Administracja ID Microsoft Entra
Następujące znane problemy i luki dotyczą administracji ID Microsoft Entra.
Grupy dynamiczne
Nie można dodawać tożsamości agentów i użytkowników agentów do grup ID Microsoft Entra przy dynamicznym członkostwie.
Rozwiązanie: Dodaj identyfikatory agentów do grup zabezpieczeń z stałym członkostwem.
Monitorowanie i dzienniki
Następujące znane problemy i luki dotyczą monitoringu i logów.
Dzienniki inspekcji
Dzienniki audytowe nie odróżniają identyfikatorów agentów od innych tożsamości:
- Operacje dotyczące tożsamości agentów, planów tożsamości agenta oraz zasad planów tożsamości agenta są rejestrowane w kategorii Zarządzanie aplikacjami .
- Operacje na użytkownikach agentów są rejestrowane w kategorii Zarządzanie użytkownikami .
- Operacje inicjowane przez tożsamości agentów pojawiają się jako główne usługi w dziennikach audytu.
- Operacje inicjowane przez użytkowników agentów pojawiają się jako użytkownicy w dziennikach audytu.
Rozwiązanie: Użyj następujących obejść, aby zidentyfikować działania związane z identyfikatorem agenta w dziennikach inspekcji:
- Użyj identyfikatorów obiektów podanych w dziennikach audytu, aby zapytać Microsoft Graph i określić typ jednostki.
- Użyj identyfikatora korelacji logów logowania Microsoft Entra, aby zlokalizować tożsamość aktora lub podmiotu zaangażowanego w audytowaną aktywność.
Dzienniki aktywności programu Microsoft Graph
Dzienniki aktywności Microsoft Graph nie rozróżniają identyfikatorów agentów od innych tożsamości:
- Żądania od tożsamości agentów są rejestrowane jako aplikacje, a tożsamość agenta jest uwzględniona w kolumnie appID .
- Żądania od użytkowników agentów są rejestrowane jako użytkownicy, a ID znajduje
agentUsersię w kolumnie UserID .
Rozwiązanie: Dołącz do dzienników logowania Microsoft Entra, aby określić typ jednostki.
Wydajność i skalowalność
Następujące znane problemy i luki dotyczą wydajności i skali.
Opóźnienia w wielu żądaniach tworzenia
Podczas używania API Microsoft Graph do tworzenia identyfikatorów agentów, próby tworzenia wielu jednostek w szybkim sekwencji mogą zakończyć się niepowodzeniem i błędami takimi jak 400 Bad Request: Object with id {id} not found. Ponowne próbowanie może nie udać się przez kilka minut. Oto kilka przykładów:
- Stwórz blueprint tożsamości agenta, szybko stwórz blueprint principle.
- Stwórz blueprint tożsamości agenta, szybko dodaj dane uwierzytelniające.
- Stwórz główny plan tożsamości agenta, a następnie użyj blueprinta do utworzenia tożsamości agenta.
- Utwórz tożsamość agenta, szybko utwórz użytkownika agenta.
Te sekwencje żądań często zawodzą przy użyciu uprawnień aplikacji MS Graph do autoryzacji żądań.
Rozwiązanie: w miarę możliwości użyj uprawnień delegowanych. Dodaj logikę powtórek do swoich próśb z wykładniczym cofnięciem się i rozsądnym czasem.
Integracje produktów
Następujące znane problemy i luki dotyczą integracji produktów.
Agenci Copilot Studio
Agenci zbudowani w Copilot Studio muszą wyrazić zgodę na ID agentów w ustawieniach środowiska agenta. Obecnie obsługiwani są tylko agenci niestandardowego silnika. Agenci niestandardowych silników obecnie używają identyfikatorów agentów do uwierzytelniania do kanałów, w których są publikowane. Identyfikatory agentów nie są obecnie używane do uwierzytelniania do konektorów lub narzędzi w Copilot Studio.
Biblioteki i SDK
Scenariusze ID agenta wprowadzają dodatkową złożoność przy użyciu MSAL ze względu na konieczność zarządzania federacyjnymi poświadczeniami tożsamości (FIC). Dla programistów .NET Microsoft zaleca korzystanie z Microsoft.Identity.Web.AgentIdentities, który zapewnia uproszczone doświadczenie dla identyfikatorów agentów. Do non-.NET implementacji użyj Microsoft Entra SDK dla ID agenta, zaprojektowanego w celu uproszczenia integracji ID agenta w innych językach.
Zgłaszanie nowych problemów
Jeśli napotkasz problem nieujawniony, zgłoś go za pomocą aka.ms/agentidfeedback.