Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
ID do agente Microsoft Entra APIs no Microsoft Graph ajudam-no a criar, proteger e gerir identidades de agentes de IA que operam na sua organização. Pode criar identidades de agente através de programação, controlar o acesso aos recursos e monitorizar as respetivas atividades através de uma plataforma centralizada.
Neste artigo, vai aprender sobre os principais conceitos e APIs para gerir identidades de agentes no Microsoft Graph, incluindo os componentes que compõem uma identidade de agente, como aplicar políticas de segurança e governação a agentes e as permissões necessárias para gerir agentes através de programação.
Para saber mais sobre o ID do agente Microsoft Entra, consulte O que é ID do agente Microsoft Entra.
Blocos modulares de identidades de agentes
Os seguintes componentes principais incluem a arquitetura do ID do agente Microsoft Entra:
| Componente | Objetivo | Recurso do Microsoft Graph |
|---|---|---|
| Plano gráfico | Modelo que define o tipo de identidade do agente, incluindo permissões que as identidades do agente são pré-autenticadas para herdar automaticamente | agentIdentityBlueprint |
| Principal de esquema | Registo da adição do esquema a um inquilino | agentIdentityBlueprintPrincipal |
| Identidade do agente | Identidade primária para autenticação | agentIdentity |
| Utilizador do agente | Conta opcional para cenários que requerem uma conta de utilizador | agentUser |
| Registo de agente | Repositório centralizado para gestão de agentes que serve de plataforma para gerir manifestos de agente card, instâncias de agente e coleções de agentes. |
Saiba mais sobre a arquitetura de identidade do agente nos seguintes artigos:
- Conceitos de esquema e identidade do agente no Microsoft Entra ID
- Identidades de agente, principais de serviço e aplicações
- O que é o Registo de Agente do Microsoft Entra?
APIs relacionadas para segurança e governação para agentes
ID do agente Microsoft Entra expande as funcionalidades abrangentes de segurança e governação de Microsoft Entra a agentes de IA, incluindo Acesso Condicional, Proteção de Identidade e registos de auditoria.
Propriedade e responsabilidade
Cada identidade de agente deve ter uma entidade designada responsável pelas ações do agente, permissões de acesso e postura de segurança geral para garantir a responsabilidade e a governação adequada. As APIs do Microsoft Graph permitem-lhe atribuir e gerir os seguintes metadados para identidades de agentes, para suportar este princípio.
| Metadata | Aplicável a |
|---|---|
| owner | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity |
| patrocinador | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity, agentUser |
| manager | agentUser |
Veja Relações administrativas no ID do agente Microsoft Entra (proprietários, patrocinadores e gestores) para obter mais informações.
Acesso Condicional
Pode aplicar programaticamente políticas de Acesso Condicional para impor políticas de acesso em agentes de IA, com base na identidade do agente, risco e outros fatores contextuais.
- Utilize a API de avaliação What If para simular como as políticas de Acesso Condicional afetariam as identidades dos agentes que tentam aceder aos recursos.
- Utilize as APIs de política de Acesso Condicional para aplicar ou gerir políticas de Acesso Condicional para agentes de IA que acedem a recursos organizacionais. Pode aplicar estas políticas com base no nível de risco do agente ou nos atributos de segurança personalizados atribuídos aos agentes.
Proteção de Identidade
Microsoft Entra ID Protection avalia continuamente o risco do agente com base em vários sinais e machine learning. Pode utilizar os tipos de recursos agentRiskDetection e riskyAgent para identificar e gerir o risco do agente na sua organização, incluindo dispensar ou confirmar riscos detetados. Os riscos confirmados podem acionar ações de remediação automatizadas, como a imposição de políticas de Acesso Condicional.
Logs de auditoria
Microsoft Entra signIn registos capturam atividades realizadas por identidades de agente, fornecendo visibilidade sobre as operações do agente para monitorização de conformidade e segurança – desde a criação de identidades de agentes até alterações de configuração em agentes, incluindo atribuições de funções e permissões.
Permissões para gerir identidades de agentes
O Microsoft Graph fornece permissões granulares para gerir identidades de agentes e os respetivos componentes associados. As permissões seguem os seguintes padrões e são publicadas na referência de permissões do Microsoft Graph.
Permissões para gerir o registo do agente:
- AgentCardManifest.Read*
- AgentCollection.Read*
- AgentInstance.Read*
Permissões para gerir os esquemas e identidades da identidade do agente:
- AgentIdentity*
Permissões para nmanaging de utilizadores do agente:
- AgentIdUser.Read*
Gerir políticas de Acesso Condicional, Proteção de Identidade e visualizar registos de auditoria para agentes requer as mesmas permissões que gerir estas funcionalidades para outros tipos de identidade no Microsoft Entra. Para obter mais informações, veja os artigos de API correspondentes para cada funcionalidade.
Permissões do Microsoft Graph bloqueadas para agentes
As identidades dos agentes utilizam o mesmo modelo de permissão do Microsoft Graph que outras identidades. Por conseguinte, podem ser-lhes concedidas permissões delegadas ou de aplicação para aceder às APIs do Microsoft Graph.
No entanto, devido à natureza autónoma dos agentes e aos potenciais riscos que representam, as seguintes permissões de alto risco da Microsoft API do Graph são explicitamente bloqueadas para agentes que impedem a utilização indevida ou o acesso não intencional a dados confidenciais. Estas permissões não podem ser concedidas a identidades de agentes através do Microsoft Graph ou centro de administração do Microsoft Entra.
Legenda:
- ❌ indica que a permissão está bloqueada nessa categoria
- ➖ indica que a permissão não é aplicável/bloqueada nessa categoria