重要
Microsoft Entra 代理 ID 目前为预览版。 这些与预发行产品相关的信息在发布前可能进行重大修改。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
AI 代理正在迅速成为企业工作流的一部分,例如处理数据检索、业务流程和自主决策。 因此,组织面临不断增长的安全性和合规性风险,无需集中可见性和控制这些代理。 代理注册表作为 Microsoft Entra 代理 ID 系统的一部分,通过提供可扩展元数据存储库来解决这一难题,该存储库提供跨Microsoft平台和非Microsoft生态系统的所有已部署代理的统一视图。
若要了解有关代理注册表的详细信息,请查看以下文章:
代理注册表与 Microsoft Entra 代理 ID 和 Core Directory 集成,以强制实施标识和发现策略,支持代理卡和多个代理实例之间的灵活映射,并充当代理相关数据的单一事实来源。 通过结合全面的可见性、丰富的元数据管理和基于集合的策略,注册表可帮助组织保护代理发现、应用零信任原则,以及跨各种环境维护治理。 代理注册表为客户提供以下关键功能和优势:
- 全面的库存和可见性:维护环境中所有已部署代理的库存,不论它们是否具有代理标识,并支持外部代理和提供商。
- 访问和策略强制实施前的发现:引入具有 代理集合 和策略的内置和自定义控件,以减少暴露,并符合零信任原则。
- 用于跨生态系统治理的丰富元数据:使用协作的开放标准和灵活的架构捕获每个代理的详细元数据,使客户能够应用限制可发现性和强制实施安全性的策略。
注册表体系结构和组件
代理注册表充当代理相关数据的中央存储,包括 代理标识、 代理用户、 代理标识蓝图和其他标识属性。 来自权威代理存储(如 Copilot Studio)的每个代理实例都在注册表中注册,并链接到代理卡清单,该清单可以表示多个代理(1:N 关系)。 这些组件是提供代理程序元数据的清单文件。
然后,注册表连接到 Microsoft Entra Core Directory,该目录强制实施标识和权利策略。 代理标识蓝图定义可映射到多个代理实例的可重用标识模板,从而实现灵活的标识治理。 每个代理实例还具有与代理标识和代理用户(可选)的直接 1:1 关系,确保策略强制和生命周期管理。 此功能反映了 Microsoft Entra 中的人类标识原则,为代理标识、元数据和治理提供单一事实来源,同时支持一对多映射以实现可伸缩性。
注册表使组织能够映射不同的代理数据源、标识颁发机构系统并将用户路由到正确的终结点。 下图说明了各种键属性之间的关系。
下表汇总了代理注册表的核心组件:
| 组件 | 目的 | 主要功能 | 优点 |
|---|---|---|---|
| 元数据存储 | 集中式代理元数据存储库 | 基于 NoSQL 的代理卡清单支持、实时更新 | 用于详细的代理系统信息和代理通信合规管理的可扩展存储 |
| 收藏 | 安全代理分类和发现控制强制实施 | 基线发现控件,自定义集合 | 默认安全发现边界和更清晰的治理 |
| 发现服务 | 代理和功能发现 API | 多维搜索,集合感知筛选,基于技能的发现 | 实现安全、智能的代理之间协调 |
| 集成层 | 与微软及非微软的生态系统协调 | 生态系统范围内的安全操作及自定义工作流 | 注册表充当中央存储区,用于跨不同存储映射数据 |
代理注册表如何为 AI 启用安全性
安全嵌入在代理注册表的每一层:
- 标识保障:Microsoft与 Microsoft Entra 代理 ID 平台完全集成的平台会自动接收代理标识,并注册到注册表中。
- 运行时强制:当代理尝试进行发现时,动态地强制实施发现策略,防止未经授权的操作。 此强制措施与 Microsoft Entra 代理 ID 协同工作,该 ID 控制身份验证以及注册表中代理的发现。 仅允许具有代理标识的代理在注册表中发现其他代理,但它们可以找到没有代理 ID 的其他代理。