Identidade do Agente 365

Identidade de agente é um conceito fundamental no Microsoft Agent 365 SDK. Cada agente tem sua própria identidade empresarial exclusiva e persistente, separada de usuários humanos ou registros de aplicativos genéricos. Essa identidade fornece aos agentes privilégios, autenticação, funções e funcionalidades de conformidade semelhantes a um funcionário humano.

Entendendo componentes de identidade do agente

Quando você registra um agente com o Microsoft Agent 365, três componentes-chave trabalham juntos para fornecer sua identidade ao seu agente:

Plano do agente (Aplicação agêncica)

O blueprint do agente define a identidade, permissões e requisitos de infraestrutura do agente. Ele serve como modelo para criar instâncias de agentes e inclui:

  • Microsoft Entra registro de aplicativo
  • Permissões de API necessárias (escopos de Microsoft Graph)
  • Configuração de autenticação
  • Definições de recursos (Plano de Serviços de Aplicativos, Aplicativo Web)

Instância do agente

Uma instância de agente representa uma implantação específica do projeto do agente. Cada caso tem:

  • ID exclusiva do agente de Microsoft Entra ID
  • Entidade de serviço para autenticação
  • Configuração específica de instância
  • Credenciais de identidade federada para integração com o Teams

Usuário do agente

Um usuário de agente é a identidade de runtime que aparece em sua organização. Os usuários do agente são um subtipo especializado de identidade do usuário projetado especificamente para agentes. Os principais conceitos que você precisa entender sobre os usuários do agente são suas características de identidade, integração da organização, modelo de relacionamento e ciclo de vida.

Características de identidade

Os usuários do agente têm propriedades de identidade distintas que os diferenciam das contas de usuário tradicionais:

  • Marcado como agente no diretório
  • Recebe tokens com idtyp=user (tipo de identidade de usuário)
  • Tem uma ID de usuário de agente exclusiva (ID de objeto) separada da instância do agente pai
  • Não é possível ter credenciais tradicionais (senhas, chaves de acesso, fatores MFA)
  • Deve ser criado por meio de uma chamada de API explícita a partir da instância do agente pai
  • Tem um link imutável para sua instância de agente pai (não pode ser novamente pai)

integração de grupos organizacionais

Os usuários do agente funcionam como membros completos de sua organização Microsoft 365 com os seguintes recursos:

  • São sincronizados com o diretório do cliente Microsoft 365
  • Podem ser atribuídas licenças (Microsoft 365 E5, Teams Enterprise, Copilot)
  • Eles têm sua própria caixa de correio e armazenamento do OneDrive (com base em licenças)
  • Apareça no organograma e nos cartões de pessoas
  • Pode ser @mentioned no Teams, nos documentos e em outros aplicativos do Microsoft 365
  • Ter seu próprio nome principal exclusivo (por exemplo, agent@yourtenant.onmicrosoft.com)

Modelo de relacionamento

A conexão entre instâncias de agente e agentes usuários segue um padrão pai-filho estrito.

  • Cada instância de agente pode ter no máximo uma instância filha de usuário do agente
  • O usuário do agente armazena uma referência à instância do agente pai
  • A instância do agente pai mantém uma referência ao usuário do agente filho (se houver)
  • Essa relação bidirecional permite uma gestão adequada do ciclo de vida e auditoria

Ciclo de Vida

Os agentes são projetados para estarem disponíveis imediatamente, com limpeza automática quando já não forem necessários.

  • Suporta funcionalidade instantânea e pode ser usada imediatamente após a criação

    Note

    O provisionamento de recursos para usuários de agente (caixa de correio, OneDrive) pode levar até 24 horas após a atribuição de licença, embora normalmente seja concluído dentro de 10 a 15 minutos.

  • Se a instância do agente pai for excluída, o usuário do agente filho também será excluído

  • A relação entre a instância do agente e o usuário do agente é imutável e não pode ser alterada

Importante

Os usuários do agente exigem licenças Microsoft 365 apropriadas para acessar serviços como Teams, Email, Calendário, SharePoint e OneDrive. As licenças comuns incluem Microsoft 365 E5, Teams Enterprise e Microsoft 365 Copilot. Depois de atribuir licenças, o provisionamento de recursos (caixa de correio, OneDrive) normalmente é concluído dentro de 10 a 15 minutos, mas pode levar até 24 horas em alguns casos.

Permissões e controle de acesso

Gerencie permissões de agente em vários níveis para fornecer controle granular sobre os direitos de acesso e as funcionalidades.

Permissões padrão

Os usuários do agente têm características de permissão específicas:

  • Gerenciar por meio de políticas de acesso condicional
  • Isento dos requisitos de MFA (já que eles não podem ter fatores de autenticação tradicionais)
  • Adicione aos grupos do Entra ID, incluindo o grupo All Agent Users
  • Controlar o acesso a recursos por meio de concessões e licenças de permissão explícitas

Gerenciamento de permissões

Defina permissões em diferentes níveis:

  • Modelo de agente - Define as permissões básicas para todas as instâncias
  • Nível de instância do agente - Permissões específicas para a identidade do agente
  • Nível de usuário do agente – permissões específicas do usuário e direitos de acesso

Dica

Para agentes com identidade de usuário de agente, utilize essa identidade principalmente para o acesso a recursos. Essa prática fornece um comportamento consistente semelhante ao do usuário em serviços de Microsoft 365.

Fluxos de autenticação

O Microsoft Agent 365 dá suporte a dois fluxos de autenticação para agentes, alimentados pela ID do agente Microsoft Entra.

Autenticação de identidade do agente

Permite que um agente aja com sua própria identidade.

Neste fluxo:

  • O agente se autentica usando suas próprias credenciais (credenciais do blueprint do agente).
  • O agente opera de forma independente com suas próprias permissões atribuídas.
  • O agente tem sua própria identidade, separada de qualquer usuário.
  • Esse fluxo é ideal para operações de agente autônomo que não exigem o contexto do usuário.

Casos de uso:

  • Operações de agente autônomo (tarefas agendadas, monitoramento).
  • Enviar emails ou criar reuniões na caixa de correio do agente.
  • Criando e gerenciando recursos de propriedade do agente.
  • Processamento em segundo plano sem interação do usuário.

Saiba mais sobre como registrar e criar agentes.

Fluxo On-Behalf-Of (OBO)

Permite que um agente atue em nome de um usuário.

Neste fluxo:

  • O agente recebe o token delegado de um usuário.
  • O agente troca esse token para executar ações como se o usuário estivesse executando-as.
  • O agente opera com as permissões e o contexto do usuário.
  • Esse fluxo é ideal para cenários em que o agente precisa acessar recursos com permissões específicas do usuário.
  • Fornece auditoria sólida quando a identidade do agente é utilizada em fluxos reativos.

Casos de uso:

  • Acessando dados específicos do usuário (emails, calendário, arquivos).
  • Executando ações que exigem consentimento do usuário.
  • Cenários em que o contexto e as permissões do usuário são necessários.
  • Last updated on