Identidad del Agente 365

La identidad del agente es un concepto fundamental en el SDK de Microsoft Agent 365. Cada agente tiene su propia identidad empresarial única y persistente, independiente de los usuarios humanos o los registros de aplicaciones genéricos. Esta identidad proporciona a los agentes privilegios, autenticación, roles y funcionalidades de cumplimiento similares a los empleados humanos.

Descripción de los componentes de identidad del agente

Al registrar un agente con Microsoft Agent 365, tres componentes clave funcionan conjuntamente para proporcionar al agente su identidad:

Plano técnico del agente (aplicación de agente)

El plano técnico del agente define los requisitos de identidad, permisos e infraestructura del agente. Actúa como plantilla para crear instancias de agente e incluye:

  • registro de aplicaciones de Microsoft Entra
  • Permisos de API requeridos (ámbitos de alcance de Microsoft Graph)
  • Configuración de autenticación
  • Definiciones de recursos (plan de App Service, aplicación web)

Instancia del agente

Una instancia de un agente representa una implementación específica del esquema del agente. Cada instancia tiene:

  • Identificador único de agente de Microsoft Entra ID
  • Principal de servicio para la autenticación
  • Configuración específica de la instancia
  • Credenciales de identidad federada para la integración con Microsoft Teams

Usuario del agente

Un usuario agente es la identidad en tiempo de ejecución que aparece en tu organización. Los usuarios del agente son un subtipo especializado de identidad de usuario diseñada específicamente para agentes. Los conceptos clave que debe comprender sobre los usuarios del agente son sus características de identidad, integración de la organización, modelo de relación y ciclo de vida.

Características de identidad

Los usuarios del agente tienen propiedades de identidad distintivas que las diferencian de las cuentas de usuario tradicionales:

  • Marcado como agente en el directorio
  • Recibe tokens con idtyp=user (tipo de identidad de usuario)
  • Tiene un identificador de usuario de agente único (id. de objeto) independiente de la instancia del agente principal.
  • No se necesitan credenciales tradicionales como contraseñas, claves de acceso, y factores de autenticación multifactor (AMF)
  • Debe crearse a través de una llamada API explícita desde la instancia del agente primario
  • Tiene un vínculo inmutable con su instancia de agente padre (no se puede reasignar a otro progenitor)

Integración organizativa

Los usuarios del agente funcionan como miembros completos de la organización de Microsoft 365 con las siguientes funcionalidades:

  • Se sincronizan con el directorio del inquilino de Microsoft 365
  • Se pueden asignar licencias (Microsoft 365 E5, Teams Enterprise, Copilot)
  • Tener su propio buzón y almacenamiento de OneDrive (en función de las licencias)
  • Aparecer en el organigrama y en las tarjetas de personas
  • Puede ser @mentioned en Teams, documentos y otras aplicaciones de Microsoft 365
  • Tener su propio nombre principal único (por ejemplo, agent@yourtenant.onmicrosoft.com)

Modelo de relación

La conexión entre las instancias del agente y los usuarios del agente sigue un patrón estricto de elementos primarios y secundarios:

  • Cada instancia del agente puede tener como máximo un hijo usuario del agente
  • El usuario del agente almacena una referencia a su instancia de agente padre.
  • La instancia del agente principal mantiene una referencia a su usuario del agente secundario (si existe).
  • Esta relación bidireccional permite la administración y la auditoría del ciclo de vida adecuadas

Lifecycle

Los usuarios agentes están diseñados para estar disponibles inmediatamente, con limpieza automática cuando ya no sean necesarios.

  • Compatibilidad con la funcionalidad instantánea y se puede usar inmediatamente después de la creación

    Nota:

    El aprovisionamiento de recursos para los usuarios del agente (buzón, OneDrive) puede tardar hasta 24 horas después de la asignación de licencias, aunque normalmente se completa en un plazo de 10 a 15 minutos.

  • Si se elimina la instancia del agente principal, también se elimina el usuario del agente secundario.

  • La relación entre la instancia del agente y el usuario del agente es inmutable y no se puede cambiar.

Importante

Los usuarios del agente requieren licencias de Microsoft 365 adecuadas para acceder a servicios como Teams, Correo electrónico, Calendario, SharePoint y OneDrive. Entre las licencias comunes se incluyen Microsoft 365 E5, Teams Enterprise y Microsoft 365 Copilot. Después de asignar licencias, el aprovisionamiento de recursos (buzón, OneDrive) normalmente se completa en un plazo de 10 a 15 minutos, pero puede tardar hasta 24 horas en algunos casos.

Control de acceso y permisos

Administrar permisos de agente en varios niveles para proporcionar un control granular sobre los derechos de acceso y las funcionalidades.

Permisos predeterminados

Los usuarios del agente tienen características de permisos específicas:

  • Administrar mediante directivas de acceso condicional
  • Exento de los requisitos de MFA (ya que no pueden tener factores de autenticación tradicionales)
  • Agregue a grupos de Entra ID, incluido el grupo Todos los usuarios del agente
  • Control del acceso a los recursos a través de concesiones de permisos explícitas y licencias

Administración de permisos

Establecer permisos en distintos niveles:

  • Nivel de plano técnico de agente: define los permisos base para todas las instancias
  • Nivel de instancia del agente: permisos específicos para la identidad del agente
  • Nivel de usuario del agente : permisos y derechos de acceso específicos del usuario

Sugerencia

En el caso de los agentes con identidades de usuario del agente, use la identidad de usuario del agente principalmente para el acceso a recursos. Esta práctica proporciona un comportamiento coherente del usuario en los servicios de Microsoft 365.

Flujos de autenticación

Microsoft Agent 365 admite dos flujos de autenticación para agentes, impulsados por Agente de Microsoft Entra ID.

Autenticación de identidad de agente

Permite que un agente actúe con su propia identidad.

En este flujo:

  • El agente se autentica mediante sus propias credenciales (credenciales de plantilla del agente).
  • El agente funciona de forma independiente con sus propios permisos asignados.
  • El agente tiene su propia identidad, independiente de cualquier usuario.
  • Este flujo es ideal para las operaciones de agente autónomo que no requieren contexto de usuario.

Casos de uso:

  • Operaciones de agente autónomo (tareas programadas, supervisión).
  • Enviar correos electrónicos o crear reuniones desde el buzón del agente.
  • Creación y administración de recursos propiedad del agente.
  • Procesamiento en segundo plano sin interacción del usuario.

Obtenga más información sobre el registro y la creación de agentes.

Flujo "En nombre de" (OBO)

Permite que un agente actúe en nombre de un usuario.

En este flujo:

  • El agente recibe el token delegado de un usuario.
  • El agente intercambia este token para realizar acciones como si el usuario los estuviera realizando.
  • El agente funciona con los permisos y el contexto del usuario.
  • Este flujo es ideal para escenarios en los que el agente necesita acceder a los recursos con permisos específicos del usuario.
  • Proporciona una auditoría sólida cuando se usa la identidad del agente en flujos reactivos.

Casos de uso:

  • Acceso a datos específicos del usuario (correos electrónicos, calendario, archivos).
  • Realizar acciones que requieran consentimiento del usuario.
  • Escenarios en los que se requieren permisos y contexto de usuario.
  • Last updated on