Partilhar via

Conceder direitos administrativos aos Administradores de IA para gerir conectores

Os conectores do Microsoft 365 Copilot permitem que as organizações criem integrações personalizadas para melhorar os seus sistemas e serviços de IA. Geralmente, os Administradores de IA são responsáveis pela configuração e gestão de conectores do Copilot. No entanto, determinadas tarefas, como o registo de aplicações e o consentimento para permissões específicas do Microsoft API do Graph, exigem frequentemente um Administrador Global. Delegar direitos administrativos aos Administradores de IA pode reduzir as dependências e permitir que os Administradores de IA configurem conectores copilot de forma independente. Este artigo descreve como delegar direitos administrativos enquanto mantém o controlo organizacional.

Observação

Delegar direitos administrativos aos Administradores de IA é um passo opcional para a gestão do conector Copilot.

Que direitos administrativos podem ser delegados?

Para permitir que os Administradores de IA giram de forma independente a configuração e o funcionamento dos conectores personalizados, delegue os seguintes direitos administrativos:

  • Permissão de registo de aplicação – conceder esta permissão permite que os Administradores de IA registem aplicações a partir do centro de administração do Microsoft Entra para configurar conectores personalizados. As permissões de registo de aplicações estão ativadas por predefinição para todos os utilizadores numa organização. Conceda esta permissão apenas se a permissão estiver desativada para a organização.

  • Privilégios de consentimento – a concessão deste privilégio permite que os Administradores de IA concedam consentimento para permissões de API do Graph da Microsoft relacionadas com o conector, como ExternalItem.ReadWrite.OwnedBy e ExternalConnection.ReadWrite.OwnedBy, que são específicas para criar ligações e ingerir itens.

Conceder permissões de registo de aplicações

Se as permissões de registo de aplicações estiverem ativadas para todos os utilizadores na organização, não é necessária qualquer configuração adicional. No entanto, se estas permissões forem restritas, os Administradores Globais podem concedê-las aos Administradores de IA através de uma função personalizada. Para obter mais informações, veja Delegar permissões de registo de aplicações no Microsoft Entra ID.

Para conceder privilégios de consentimento aos Administradores de IA, crie uma política personalizada e uma função adaptadas às permissões necessárias:

  1. Defina uma política que conceda especificamente permissões para ExternalItem.* e ExternalConnection.*.
  2. Crie uma função personalizada e atribua a política de consentimento recentemente criada a esta função.
  3. Atribua a função personalizada aos utilizadores com a função administrador de IA para que possam gerir o consentimento das permissões especificadas.

Utilizar o PowerShell para conceder direitos administrativos

Pode utilizar um script do PowerShell para conceder direitos administrativos aos Administradores de IA. O script do PowerShell executa as seguintes ações:

  • Concede permissões de registo de aplicações aos utilizadores atualmente atribuídos à função de Administrador de IA .
  • Concede privilégios de consentimento ao:
    • Criar uma política de consentimento personalizada denominada Conceder Permissões de Consentimento aos Administradores de IA que permite aos utilizadores dar consentimento a ExternalItem.* e ExternalConnection.*.
    • Estabelecer uma função personalizada denominada Gestão de ConectorEs Personalizados para Copilot e atribuir a política de consentimento a esta função.
    • Atribuir a função personalizada aos Administradores de IA existentes.

Para utilizar o script do PowerShell:

  1. Utilize o Install-Module comando no PowerShell para instalar o script.

    Install-Module Connector.Cmd

    Importante

    Estes passos requerem a versão 1.4 ou posterior do Connector.Cmd.

  2. Utilize o seguinte comando para invocar o script.

    GrantAppConsentAndManagementPermissionToAiAdmin

  3. Inicie sessão como Administrador Global e aprove as permissões pedidas.

Após a execução do script, os utilizadores existentes com a função administrador de IA têm direitos administrativos para configurar e gerir conectores copilot.

Confirmar resultados

Para garantir que os direitos administrativos foram concedidos com êxito:

  1. Inicie sessão no centro de administração do Microsoft Entra como Administrador de IA.
  2. Aceda à secção Registros de aplicativo e crie uma nova aplicação.
  3. Adicione permissões ExternalItem.ReadWrite.OwnedBy e ExternalConnection.ReadWrite.OwnedBy à aplicação.
  4. Consentir estas permissões diretamente no portal.

Se for bem-sucedida, a configuração será concluída.

Perguntas frequentes

Não, o script limita os privilégios de consentimento para ExternalItem.* e ExternalConnection.*. Isto garante que são concedidas permissões mínimas necessárias sem arriscar um acesso mais amplo.

E se a aplicação do conector necessitar de permissões para além de ExternalItem.* e ExternalConnection.*?

Neste caso, os Administradores Globais têm de conceder manualmente consentimento para outras permissões. Para expandir os privilégios de Administrador de IA:

  1. Crie ou atualize manualmente uma política de consentimento personalizada, conforme descrito em Conceder privilégios de consentimento.
  2. Adicione as outras permissões necessárias para a aplicação.
  3. Atribua a política atualizada à função personalizada criada anteriormente.

Como posso revogar os privilégios concedidos aos Administradores de IA?

Para remover privilégios, aceda à página Funções & administradores no centro de administração do Microsoft Entra ou Centro de administração do Microsoft 365. Localize a função personalizada criada durante a configuração e elimine-a.

Uma captura de ecrã da página Funções & administradores no centro de administração do Microsoft Entra

Os privilégios aplicam-se automaticamente aos administradores de IA recentemente atribuídos?

Não, os privilégios concedidos através do script do PowerShell aplicam-se apenas aos administradores de IA atuais. Para os novos Administradores de IA, execute novamente o script ou atribua manualmente a função personalizada aos administradores recentemente atribuídos a partir do centro de administração do Microsoft Entra.

Uma captura de ecrã da página Atribuições no centro de administração do Microsoft Entra

É obrigatório conceder estes privilégios aos Administradores de IA?

Não, a concessão destes privilégios é opcional. As organizações podem optar por delegar permissões com base nos respetivos processos internos. Se for preferível um controlo centralizado, os Administradores Globais podem manter a responsabilidade por estas tarefas.

Conteúdo relacionado

  • Last updated on