Microsoft Entra 智能体 ID引入了一种管理模型,将技术管理与业务责任分开,确保操作控制和监督没有过度权限。 本文档介绍Microsoft Entra 智能体 ID标识类型的管理关系。 本指南适用于 代理标识、 代理标识蓝图、 代理标识蓝图主体和 代理用户帐户。 本文介绍所有者、赞助商和经理,以及他们在维护安全运营方面的重要性。
代理 ID 中可用的管理关系包括:
- 所有者:负责代理标识蓝图和代理标识的操作管理的技术管理员,包括设置、配置和凭据管理。
- 发起人:业务代表负责代理的目的和生命周期决策,包括访问评审和代理保留,而无需技术管理访问权限。 每个代理标识和代理标识蓝图至少需要一个赞助商。
- 经理:负责组织层次结构中代理的用户,可以为其下属代理请求访问包。
必须为每个代理 ID 对象配置这些管理关系,并且与 Microsoft Entra 基于角色的 访问控制 (RBAC) 角色(如代理 ID 管理员)授予的管理权限相独立。
所有者
所有者通常充当代理的技术管理员,处理运营和配置方面。 可以将单个用户和服务主体设置为所有者。 群组不能作为所有者。 作为所有者的服务主体能够自动管理代理身份。 所有者对于代理标识蓝图和代理标识是可选的。
所有者责任
所有者可以修改发起人无法的属性,例如身份验证属性。 所有者还可以添加或更新代理标识的其他所有者和发起人。 与发起人一样,他们可以禁用和删除不再需要的代理标识。 所有者可以重新启用已禁用的代理身份,并还原已软删除的身份,这是与发起人的不同之处。
所有者访问和许可
所有者具有针对其分配的代理标识蓝图或代理标识的管理权限。 他们可以编辑设置、管理凭据、更改配置并分配更多所有者。
代理标识蓝图或代理标识蓝图主体的所有者还可以使用委派权限从该蓝图创建代理标识,而无需代理 ID 管理员或代理 ID 开发人员角色。 必须向调用应用程序授予以下委派权限之一:AgentIdentity.Create.All或AgentIdentity.ReadWrite.AllAgentIdentity.ReadWrite.ManagedBy。
所有者典型角色
所有者通常是具有技术知识的开发人员或 IT 专业人员,用于管理应用程序标识。 它们可能是关键代理的代理创建者、技术应用程序所有者或 IT 管理员。 可以为多个所有者分配备份覆盖范围。
当其他一些管理服务需要修改或删除特定代理标识而不进行用户干预时,还可以将服务主体设置为所有者。
赞助商
发起人为代理提供业务责任,在不具有技术管理访问权限的情况下做出生命周期决策。 他们了解代理的业务用途,并且可以确定代理是仍然需要还是需要访问权限。 代理标识蓝图和代理标识需要赞助商,以确保每个代理都有指定的业务所有者。
确保在担任赞助角色的员工调动或离职时,赞助可以顺利继任。 用户和组都可以被指定为发起人。 当一个组被分配任务时,该组的所有成员都有权拥护代理 ID 对象。 并非所有组类型都被支持作为赞助商。 允许以下组类型:
- 动态成员组(安全或 Microsoft 365)
- 分配的成员身份组(Microsoft 365)
不允许将以下组类型用作赞助商:
- 可分配角色的组(安全组或Microsoft 365组)
- 分配的成员身份组 (安全性)
发起人责任
发起人根据业务需求对代理生命周期做出决策,包括续订、延期或删除。 他们代表代理请求访问包,并为访问请求提供业务理由。 在安全事件期间,发起人可能会确定代理行为是预期的,还是授权适当的响应,包括暂停或权限调整。
发起人访问权限
赞助商遵循最低权限原则,具有有限的管理权限。 它们无法修改代理蓝图或代理标识上的应用程序设置。 访问仅限于无损生命周期操作:启用和禁用代理。
赞助典型角色
赞助商通常是业务所有者、产品经理、团队主管或了解代理用途的利益干系人。 对于未发布的代理程序,开发者通常充当赞助商。 对于已发布的代理,赞助商通常来自使用该代理的团队。
代理身份赞助商与代理的用户账号赞助商
在 Microsoft Agent ID 中,代理可以创建 代理的用户帐户 以便访问面向用户的服务。 用户帐户和代理的标识、蓝图和蓝图主体可能都有与其关联的赞助商。 用户帐户的担保人与代理身份、蓝图或蓝图主体的担保人之间存在差异。
代理用户帐户发起人与普通 用户发起人相同。 他们无权对其发起的用户进行任何更改,但他们可以代表用户请求访问权限,并可能参与审批流。 相比之下,代理标识、蓝图和蓝图主体的发起人在直接管理这些标识方面权限有限,但可以请求访问或在生命周期工作流中授予审批。
| 代理用户帐户赞助商 | 代理身份、蓝图、蓝图主赞助人 | |
|---|---|---|
| 允许的类型 | 用户、组(任何) | 用户请选择组 (动态成员身份,Microsoft 365)。 不支持可分配角色的组。 |
| Limits | 最多 5 个赞助商 | 最多 100 个赞助商,不超过 5 个组 |
| 授权 | 没有直接授权修改赞助商用户 | 删除或禁用代理标识并修改其发起人 |
| 必需 | 不是必需 | 创建代理标识和代理蓝图时必需 |
代理由代理标识对象和代理用户帐户表示时,我们建议将代理标识发起人作为代理的主要用户或组进行维护。
不同的方案可能需要对代理标识及其关联的用户帐户进行不同类型的访问或授权。 每个对象的发起方都可以代表发起者的身份 请求访问包 。 在大多数情况下,应将同一用户或组设置为这两个对象的发起方,以确保他们可以根据需要请求代理标识和代理用户帐户的适当访问权限。
经理
经理是负责组织层次结构中代理标识的个人用户。 对于在用户方案中处于活动状态的代理,请考虑在代理的用户帐户上设置经理。 经理可以请求其代理用户帐户的访问包,并将在Microsoft Entra 管理中心中看到指定为向其报告的代理。 经理没有权限修改或删除代理;这些操作需要由所有者、发起人或管理员执行。
要求和约束
管理模型强制执行特定的要求和约束,以确保有效的监督和问责。
创建要求
创建代理标识或代理蓝图时,需要发起人。 代理标识蓝图主体在创建过程中不受发起人要求的约束。 所有者和经理始终是可选的。
分配策略
对于应用程序与用户上下文都存在的委托创建请求,如果未显式指定发起方,则调用用户将自动成为发起人。 但是,如果在创建过程中指定了一个或多个其他发起人,则不会自动添加呼叫用户。 在创建过程中,具有代理 ID 管理员角色的用户不会自动成为发起人。 这样可以避免让管理员无意中承担对各个代理的直接责任,导致负担过重。
对于仅限应用的创建请求,创建服务必须将一个或多个用户或 支持组 设置为发起人。