Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Uma identidade de agente é um principal de serviço especial no Microsoft Entra ID. Representa uma identidade que o blueprint de identidade do agente criou e está autorizado a imitar. Não tem credenciais por si só. O blueprint de identidade do agente pode adquirir tokens em nome da identidade do agente, desde que o utilizador ou administrador do inquilino tenha consentido a identidade do agente nos respetivos escopos. Os agentes autónomos adquirem tokens de aplicação em nome da identidade do agente. Agentes interativos chamados com um token de utilizador adquirem tokens de utilizador em nome da identidade do agente.
As identidades dos agentes podem ser usadas para:
- Solicite tokens de agente ao Microsoft Entra ID. O sujeito do token de acesso é a identidade do agente.
- Receba tokens de acesso recebidos emitidos pelo Microsoft Entra ID. A audiência do token de acesso é a identidade do agente.
- Solicite tokens de utilizador do ID Microsoft Entra para um utilizador autenticado. O sujeito do token é um utilizador, enquanto o ator é a identidade do agente.
Pré-requisitos
Plantas de identidade do agente
Anatomia de uma identidade agente
Uma conta usada por um agente de IA é designada como identidade de agente. Tal como a tua conta de utilizador típica, a identidade de um agente tem alguns componentes-chave:
Identificador. Cada identidade de agente tem um
id(também conhecido como ID de objeto), comoaaaaaaaa-1111-2222-3333-bbbbbbbbbb. O Microsoft Entra gera aidconta e identifica de forma única dentro de um inquilino Microsoft Entra.Credenciais. As identidades dos agentes não têm palavras-passe, mas têm outras formas de credenciais que podem usar para autenticação.
Nome para exibição. O nome de exibição de uma identidade de agente aparece em muitas experiências, como o centro de administração Microsoft Entra, o portal Azure, Teams, Outlook e mais. É o nome amigável para humanos de um agente e pode ser alterado.
Patrocinador. As identidades dos agentes podem ter um patrocinador, que regista o utilizador humano ou o grupo responsável por um agente. Este patrocinador é usado para vários fins, como contactar um humano caso ocorra um incidente de segurança.
Plano. Todas as identidades de agentes são criadas a partir de um modelo reutilizável chamado plano de identidade de agente. O blueprint de identidade do agente estabelece o tipo de agente e regista metadados partilhados entre todas as identidades comuns dos agentes.
Utilizador agente (opcional). Alguns agentes precisam de acesso a sistemas que exigem estritamente a utilização de uma conta de utilizador Microsoft Entra para autenticação. Nestes casos, um agente pode receber uma segunda conta, chamada utilizador agente. Esta segunda conta é uma conta de utilizador no tenant Microsoft Entra, decorada como agente de IA. Tem uma identidade diferente
idda do agente, mas é sempre estabelecida uma relação 1:1 entre a identidade do agente e o seu utilizador agente.
Estes são os componentes básicos de uma identidade de agente que permitem autenticação e autorização seguras. O esquema completo do objeto de uma identidade de agente está disponível na documentação de referência do Microsoft Graph.
Credenciais para identidades de agentes
A identidade do agente é a conta principal usada por um agente de IA para autenticar-se em vários sistemas. Tem identificadores únicos – o ID do objeto e o ID da aplicação, que têm sempre o mesmo valor – que podem ser usados de forma fiável para decisões de autenticação e autorização.
Ao contrário dos utilizadores humanos, os agentes de IA não usam palavras-passe, Serviço de Mensagens Curtas (SMS), chaves de acesso ou aplicações de autenticação para autenticação. Em vez disso, as identidades dos agentes utilizam tipos de credenciais que são utilizáveis por sistemas de software. Estes tipos de credenciais incluem:
- Identidades geridas, para agentes de IA que correm no Azure (os mais seguros).
- Credenciais de identidade federadas, para agentes de IA que correm no Kubernetes ou noutros fornecedores de cloud.
- Certificados / chaves criptográficas.
- Segredos de clientes.
As identidades dos agentes só podem receber tokens no tenant Microsoft Entra onde são criados. Não conseguem aceder a recursos ou APIs noutros tenants.
Blueprints: Segurança consistente para as identidades dos agentes
Uma característica chave das identidades de agentes é que todas as identidades de agentes são criadas a partir de um modelo reutilizável chamado plano de identidade de agente. O blueprint estabelece o "tipo" de agente e regista metadados partilhados entre todas as identidades de agentes de um tipo comum.
Imagine que uma organização utiliza um agente de IA chamado "Agente de Assistente de Vendas". Quer o agente seja comprado ou construído internamente, um plano de identidade do agente seria adicionado ao inquilino Microsoft Entra da organização. O plano recolhe a seguinte informação:
- O nome do projeto, como "Agente Assistente de Vendas"
- A organização que publicou o projeto, como a "Contoso"
- Quaisquer funções que o agente possa oferecer, como "gestor de vendas" ou "representante de vendas"
- Quaisquer permissões Microsoft Graph que os seus agentes recebam, como "ler o calendário do utilizador com sessão iniciada"
Muitas equipas de vendas dentro da organização implementam o agente de IA. Um agente é destacado para vendas na América do Norte. Outro é utilizado para vendas na América do Sul. Uma para vendas empresariais, outra para pequenas e médias empresas e outra para startups. Na criação, cada um destes agentes recebe uma identidade de agente. Cada agente começa a executar e executar tarefas usando a identidade do seu agente para autenticação.
Como cada identidade de agente é criada usando o mesmo blueprint de identidade de agente, todos os agentes aparecem como "Agentes Assistentes de Vendas" no centro de administração do Microsoft Entra. Esta funcionalidade permite ao administrador do Microsoft Entra realizar ações como:
- Aplique uma política de acesso condicional a todos os Agentes de Assistente de Vendas.
- Desative todos os agentes de Assistente de Vendas.
- Revogue uma autorização para todos os agentes de Assistente de Vendas.
Os blueprints de identidade do agente dão ao administrador do Microsoft Entra a capacidade de proteger as identidades dos agentes em grande escala, definindo regras e realizando operações com base no tipo de agente. Esta funcionalidade assegura segurança consistente para cada agente de IA implementado na organização.