共用方式為

驗證流程

重要

你需要參加 Frontier 預覽計畫 ,才能搶 先取得 Microsoft Agent 365 的使用權。 Frontier 直接連結你與 Microsoft 最新的 AI 創新。 Frontier 預覽受限於您現有的客戶協議預覽條款。 由於這些功能仍在開發中,其可用性與功能可能會隨時間改變。

代理身份是 Microsoft Agent 365 SDK 中的一個基礎概念。 每個代理者擁有其獨特且持久的企業身份,與人類使用者或通用應用程式註冊分開。 此身份賦予代理人類似人類員工的權限、認證、角色及合規能力。

理解代理人身份組成部分

當您在 Microsoft Agent 365 註冊代理時,三個關鍵元件協同運作,為您的代理提供其身份:

代理藍圖(代理應用)

代理藍圖定義代理的身份、權限及基礎設施需求。 它作為建立代理實例的範本,包含:

  • Microsoft Entra 記錄和應用程式註冊
  • Microsoft Graph API 權限範圍
  • 驗證設定
  • 資源定義(App Service Plan、Web App)

代理應用程式實例

代理應用程式實例代表你代理藍圖的特定部署。 每個實例有:

  • Unique agentic app ID (Microsoft Entra ID)
  • 服務主體驗證
  • 實例特定配置
  • Teams 整合的聯邦身份憑證

代理使用者

代理使用者是出現在組織中的執行時身份。 代理使用者是專為代理設計的一種專門使用者身份子類型。 你需要了解代理使用者的關鍵概念包括他們的 身份特徵組織整合關係模型生命週期

身份特徵

代理人使用者具有獨特的身份屬性,使其與傳統使用者帳號有所區別:

  • 目錄中標記為代理型
  • 接收 ( idtyp=user 使用者身份類型) 的標記
  • 擁有獨立於父代理實例的使用者 ID(物件 ID)
  • 不能使用傳統憑證(密碼、通行金鑰、多重認證因素)
  • 必須透過父代理實例的明確 API 呼叫建立
  • 與其父代理實例有不可變的連結(無法重新子嗣)

組織群組整合

代理使用者作為您的 Microsoft 365 組織的完整成員,具備以下功能:

  • 已同步至您的 Microsoft 365 租戶目錄
  • 可以指派授權(Microsoft 365 E5、Teams Enterprise、Copilot)
  • 他們有自己的信箱和 OneDrive 儲存空間(依照授權)
  • 出現在組織架構圖和人員卡中
  • 可以存在 @mentioned 於 Teams、文件以及其他 Microsoft 365 應用程式中
  • 擁有自己獨特的主要名稱(例如, agent@yourtenant.onmicrosoft.com

關係模型

代理實例與代理使用者之間的連結遵循嚴格的父子模式:

  • 每個代理實例最多只能有一位代理使用者子
  • 代理使用者會儲存對其父代理實例的參考
  • 父代理實例會維護對其子代理使用者(若存在)的參考
  • 這種雙向關係使得適當的生命週期管理與稽核成為可能

生命週期

代理使用者設計為即時可用,並在不再需要時自動清理:

  • 支援 即時啟動 功能,且可於創建後立即使用。

    注意

    針對代理使用者(信箱、OneDrive)的資源配置,授權分配後可能需要長達24小時,但通常會在10至15分鐘內完成。

  • 若父代理實例被刪除,子代理使用者也會被刪除

  • 代理實例與代理使用者之間的關係是不可改變的,且無法更改

重要

代理型使用者需取得適當的 Microsoft 365 授權,才能存取 Teams、電子郵件、行事曆、SharePoint 和 OneDrive 等服務。 常見的授權包括 Microsoft 365 E5、Teams Enterprise 及 Microsoft 365 Copilot。 授權分配後,資源配置(信箱、OneDrive)通常在10到15分鐘內完成,但有時可能需要長達24小時。

權限和存取控制 (IAM)

代理權限在多個層級管理,以提供對存取權限與能力的細緻控制。

預設權限

代理使用者具有特定的權限特徵:

  • 可透過條件存取政策來管理
  • 免除多重驗證要求(因為無法使用傳統的驗證因子)
  • 可加入 Entra ID 群組,包括「所有代理使用者」群組
  • 資源存取透過明確的授權與授權來控制

權限管理

權限可設定於不同層級:

  • 代理藍圖層級 - 定義所有實例的基礎權限
  • 代理實例層級 - 代理身份的特定權限
  • 代理使用者層級 - 使用者專屬權限與存取權限

提示

對於具有代理使用者身份的代理,主要用於資源存取。 此做法在 Microsoft 365 服務中提供一致的使用者類行為。

驗證流程

Microsoft Agent 365 支援兩種由 Microsoft Entra Agent ID 驅動的代理認證流程。

身分識別和驗證

讓代理人能以自身身份行動。

在這個流程中:

  • 代理使用自身的憑證(代理藍圖憑證)進行認證
  • 代理程式獨立運作,擁有自己分配的權限
  • 代理有自己的身份,與任何使用者分開
  • 這種流程非常適合不需要使用者上下文的自主代理操作

使用案例:

  • 自主代理操作(排程任務、監控)
  • 從代理人的信箱發送電子郵件或建立會議
  • 建立與管理代理人擁有的資源
  • 背景處理,無需使用者互動

了解更多關於註冊與創建經紀人的資訊

代理者 (OBO) 流程

讓代理人能代表使用者行事。

在這個流程中:

  • 代理人會收到使用者委派的權杖
  • 代理會交換這個令牌,執行動作,就像使用者在執行一樣
  • 代理程式會依使用者的權限和上下文操作
  • 此流程非常適合代理需要以使用者特定權限存取資源的情況
  • 當被動性流程中使用代理身份時,提供強有力的稽核

使用案例:

  • 存取使用者專屬資料(電子郵件、行事曆、檔案)
  • 執行需要使用者同意的行動
  • 需要使用者上下文與權限的情境

後續步驟

現在你已經了解了認證流程和代理身份概念,請建立你的代理藍圖和實例。

  • Last updated on