Microsoft Entra允许你确保合适的人员在正确的时间有权访问正确的应用和服务。 随着Microsoft代理标识平台的添加,以相同的方式管理代理的访问权限在组织的标识治理生命周期中同样重要。 Microsoft代理标识平台引入了代理标识(ID)的概念。 代理标识是Microsoft Entra ID中的帐户,可为 AI 代理提供唯一的标识和身份验证功能。
这允许使用 Microsoft Entra 的功能,以与管理人类标识相同的方式来管理代理标识。 使用代理标识,可以控制和管理代理的标识和访问生命周期,确保代理拥有负责人员,在整个代理生命周期中提供监督,代理的访问不会比所需的时间长。 本文概述了如何使用Microsoft Entra来管理代理标识。
许可要求
Microsoft Entra 智能体 ID是 Microsoft Agent 365 的一部分。 若要使用代理 ID 功能,用户需要 Microsoft Agent 365 或 Microsoft 365 E7 许可证。 代表已授权用户的所有代理都在该用户的许可证范围内。 代理不需要自己的许可证。 有关定价详细信息,请参阅 Microsoft Agent 365 许可常见问题解答。
某些代理Microsoft Entra安全功能需要额外的许可:
- 代理的条件性访问:Microsoft Entra ID P1 或 Microsoft 365 E3。
- 代理的ID 保护:Microsoft Entra ID P2、Microsoft 365 E5 或Microsoft Entra 套件。
- 代理的ID 治理:Microsoft Entra ID P2、Microsoft 365 E5 或Microsoft Entra 套件。
- 代理的网络控制:Microsoft Entra Internet 访问,包含在Microsoft Entra 套件中或单独授权。 有关详细信息,请参阅 什么是全局安全访问。
代理标识基础知识
从历史上看,AI 代理将依赖工具与各种应用程序和系统进行交互,并且这些工具中的每一个都将在这些应用程序和系统中有自己的标识。 其中一些工具将使用服务主体通过 Microsoft Graph 或 Microsoft Azure API 接口进行身份验证,以访问 Microsoft 服务。 Microsoft Entra 智能体 ID引入了对代理本身标识的支持,其中包含四种新类型的对象:代理标识蓝图、代理标识蓝图主体、代理标识和代理用户。 通过 代理标识蓝图,代理可以为每个代理标识创建一个或多个代理标识,并根据需要为每个代理标识创建代理用户。 每个代理标识和代理用户都可以具有不同的访问权限。
对于支持多租户的代理,可以使用资源将代理标识蓝图主体引入租户,以便它可以在该租户中创建代理标识,类似于多租户应用程序在每个租户中具有服务主体的方式。
代理标识和代理用户允许 AI 代理在Microsoft Entra内采用数字标识。 创建代理标识后,可以使用生命周期和访问功能来管理这些代理标识。 可以在创建后将主办方分配给智能体标识。 智能体标识的主办方是负责对其生命周期和访问做出决策的人类用户。 有关智能体标识主办方角色的详细信息,请参阅:智能体 ID 的管理关系。
其他Microsoft产品和门户中的代理标识
Microsoft Foundry在整个代理生命周期内自动预配和管理代理标识。 创建 Foundry 项目中的第一个代理时,Microsoft Foundry 为项目预配默认代理标识蓝图和默认代理标识,并且项目中的代理使用共享项目的代理标识进行身份验证。 发布代理会自动创建专用代理标识蓝图和代理标识,代理将使用唯一代理标识进行身份验证。 Foundry 支持在模型上下文协议(MCP)和代理到代理(A2A)工具中使用代理标识进行身份验证。 有关详细信息,请参阅 Microsoft Foundry 中的 Agent 标识概念。
可以将 Azure 应用服务 或 Azure Functions 应用配置为使用 Microsoft Entra 代理标识平台安全地连接到资源作为代理。 有关详细信息,请参阅 如何在应用服务和 Azure Functions 中使用代理标识。
在 Microsoft Copilot Studio 中创建的代理可以配置为自动分配给代理身份。 启用此设置后,首次在 Power Platform 环境中创建代理标识时,会自动创建Microsoft Copilot Studio代理标识蓝图和代理标识蓝图主体。 有关详细信息,请参阅 Automatically 为 Copilot Studio 代理创建 Entra 代理标识(预览版)。
对于 Microsoft Teams 平台中的代理,开发人员可以在 Teams 开发人员门户中创建和管理代理标识蓝图。 有关详细信息,请参阅 在开发人员门户中管理应用。
Microsoft Agent 365为每个 AI 代理提供自己的Microsoft Entra 智能体 ID,用于标识、生命周期和访问管理。 有关详细信息,请参阅 代理 365 的代理标识平台功能。
分配对智能体标识的访问权限
创建后,代理标识具有有限的权限,例如 从其父代理标识蓝图继承的 OAuth 2 委派权限范围。 此外,代理标识还可以通过访问包直接向其分配资源访问权限。 代理可以为自己的代理 ID 请求访问包,或者由其所有者或赞助人代为请求访问包。 使用访问包,可以分配代理标识对以下资源的访问权限:
- 安全组成员身份
- 应用程序 OAuth API 权限,包括图形应用程序权限
- Microsoft Entra角色
要将访问包用于智能体标识,请使用必需的策略设置配置访问包。 创建访问包分配策略时,在 “谁可以获取访问 ”部分,选择 目录中的用户、服务主体和代理标识,然后选择 “所有代理”选项。
注释
如果您的代理未使用 Microsoft Entra 代理 ID,则还需使用选项 All Service principals 创建一个访问包分配策略,以允许目录中的服务主体请求此访问包。
然后,可以通过三个不同的请求路径分配代理访问包。
- 代理标识本身可以在需要时通过创建 accessPackageAssignmentRequest 来以编程方式请求操作所需的访问包。
- 智能体的主办方可以代表智能体 ID 请求访问权限,在访问请求过程中提供人类监督。 有关详细信息,请参阅 以代理身份申请访问包。
- 管理员可以 将代理标识或代理用户直接分配到访问包。
提交后,访问请求会根据访问包配置路由到指定的审批者。
当代理标识被分配了带有到期日期的访问包,并且在代理标识上设置了发起人时,随着到期日期的临近,发起人会收到关于即将过期的通知。 然后,发起方有两个选项:他们可以请求延长访问包(如果策略允许),也可以允许访问包分配过期。 如果发起人请求延期,此请求可以触发新的审批周期,其中审批者再次确认是否适合继续访问。 如果发起人不采取任何作,则访问包分配将在其结束日期自动过期,代理标识将失去对目标资源的访问权限。
有关为代理标识创建访问包的指南,请参阅: Microsoft Entra 智能体 ID 中的代理标识访问包。 有关将标识分配给现有访问包的指南,请参阅: 在权利管理中查看、添加和删除访问包的分配。
代理管理
创建代理标识后,代理的所有者和发起人可以通过“我的帐户”门户和“我的访问门户”手动为代理标识做出决策。
在 “我的帐户”门户中,发起人和所有者能够管理代理的标识生命周期,例如启用和禁用代理。 还可以查看其访问、活动和生命周期的相关信息。 有关管理代理的详细信息,请参阅 Microsoft Entra ID 中的“管理代理”。
从我的访问门户,智能体标识的主办方和所有者能够代表其智能体标识请求访问包。 有关请求访问包的指南,请参阅: 代表代理标识请求访问包。
智能体标识主办方管理
管控智能体标识最重要的部分之一是确保始终分配一个受委托的人类用户,以确保智能体标识对资源的访问是最新的。 如果主办方离开组织,智能体标识的主办方身份将自动转移给其经理。 通过主办方转移,始终有一个人类用户负责管理智能体标识的访问和生命周期。 Microsoft Entra ID 治理功能可帮助简化组织中的此过程。 生命周期工作流包括多项任务,用于通知联合主办方和主办方的经理即将发生的主办方变更。 有关为代理标识发起人设置工作流的指南,请参阅: 生命周期工作流中的代理标识发起者任务。
相关内容
- 管理组织中的代理标识 - 整个生命周期的代理标识管理概述。
- 生命周期工作流中的代理标识发起人任务 - 使用生命周期工作流自动执行发起人更改通知。
- 在最终用户体验中管理代理 - 发起人可以从“我的帐户”门户管理其代理。
- 什么是权利管理?
- 什么是Microsoft Entra ID 治理?