身份验证流

重要提示

你需要是边境预览计划的一部分，才能提前访问 Microsoft Agent 365。边界将你直接与Microsoft最新的 AI 创新联系起来。边境预览版受客户协议现有预览条款的约束。由于这些功能仍在开发中，其可用性和功能可能会随时间而变化。

代理标识是 Microsoft Agent 365 SDK 中的基础概念。每个代理都获得了自己的唯一持久性企业标识，独立于人类用户或通用应用程序注册。此标识为代理提供类似于人工员工的权限、身份验证、角色和合规性功能。

了解代理标识组件

向 Microsoft Agent 365 注册代理时，三个关键组件协同工作，为代理提供其标识：

代理蓝图（代理应用程序）
代理应用实例
代理用户

代理蓝图（代理应用程序）

代理蓝图定义代理的标识、权限和基础结构要求。它充当用于创建代理实例的模板，包括：

Azure AD 应用程序注册。
Microsoft Graph API 权限范围
身份验证配置
资源定义（App 服务计划、Web 应用）

代理应用实例

代理应用实例表示代理蓝图的特定部署。每个实例都有：

唯一代理应用 ID （Azure AD 应用程序）
使用服务主体进行身份验证
特定于实例的配置
Teams 集成的联合标识凭据

代理用户

代理用户是组织中出现的运行时标识。代理用户是专为代理设计的专用用户标识子类型。需要了解代理用户的关键概念是其标识特征、组织集成、关系模型和生命周期。

标识特征

代理用户具有独特的标识属性，可将它们与传统用户帐户区分开来：

在目录中标记为代理
接收令牌（ idtyp=user 用户标识类型）
具有独立于父代理实例的唯一用户 ID（对象 ID）
不能具有传统凭据（密码、密码、MFA 因素）
必须通过父代理实例的显式 API 调用创建
具有指向其父代理实例的不可变链接（不能重新添加父级）

组织组集成

代理用户充当Microsoft 365 组织的完整成员，具有以下功能：

同步到 Microsoft 365 租户目录
可以分配许可证（Microsoft 365 E5、Teams Enterprise、Copilot）
有自己的邮箱和 OneDrive 存储（基于许可证）
显示在组织结构图和人员卡片中
可以 @mentioned 位于 Teams、文档和其他 Microsoft 365 应用中
有自己的唯一主体名称（例如 agent@yourtenant.onmicrosoft.com）

关系模型

代理实例和代理用户之间的连接遵循严格的父子模式：

每个代理实例最多可以有一个代理用户子级
代理用户存储对其父代理实例的引用
父代理实例维护对其子代理用户的引用（如果存在）
此双向关系可实现适当的生命周期管理和审核

生命周期

当不再需要时，代理用户旨在实现即时可用性，并自动清理：

支持 即时功能 ，可在创建后立即使用

备注

代理用户（邮箱，OneDrive）的资源预配可能需要长达 24 小时才能分配许可证，但通常在 10-15 分钟内完成。
如果删除父代理实例，也会删除子代理用户
代理实例和代理用户之间的关系是不可变的，无法更改

重要提示

代理用户需要适当的Microsoft 365 个许可证才能访问 Teams、电子邮件、日历、SharePoint 和 OneDrive 等服务。常见许可证包括Microsoft 365 E5、Teams Enterprise 和 Microsoft 365 Copilot。分配许可证后，资源预配（邮箱，OneDrive）通常在 10-15 分钟内完成，但在某些情况下可能需要长达 24 小时。

权限和访问控制（标识和访问管理）

代理权限在多个级别进行管理，以提供对访问权限和功能的精细控制。

默认权限

代理用户具有特定的权限特征：

可以通过条件访问策略进行管理
免除 MFA 要求（因为它们不能有传统身份验证因素）
可添加到 Entra ID 组，包括“所有代理用户”组
资源访问通过显式权限授予和许可证进行控制

权限管理

可以在不同级别设置权限：

代理蓝图级别 - 定义所有实例的基本权限
代理实例级别 - 代理标识的特定权限
代理用户级别 - 特定于用户的权限和访问权限

小费

对于具有代理用户标识的代理，请主要使用代理用户标识进行资源访问。这种做法跨 Microsoft 365 服务提供一致的类似用户的行为。