Identidad del Agente 365

Importante

Debe formar parte del programa de versión preliminar Frontier para obtener acceso anticipado a Microsoft Agent 365. Frontier le conecta directamente con las innovaciones de inteligencia artificial más recientes de Microsoft. Las versiones preliminares de Frontier están sujetas a los términos de vista previa existentes en tus acuerdos con clientes. Dado que estas características siguen en desarrollo, su disponibilidad y funcionalidades pueden cambiar con el tiempo.

La identidad del agente es un concepto fundamental en el SDK de Microsoft Agent 365. Cada agente obtiene su propia identidad empresarial única y persistente, independiente de los usuarios humanos o los registros de aplicaciones genéricos. Esta identidad equipa al agente con privilegios, autenticación, roles y funcionalidades de cumplimiento similares a los empleados humanos.

Descripción de los componentes de identidad del agente

Al registrar un agente con Microsoft Agent 365, tres componentes clave funcionan conjuntamente para proporcionar al agente su identidad:

Plano técnico del agente (aplicación de agente)
Instancia de aplicación agéntica
Usuario agente

Plano técnico del agente (aplicación de agente)

El plano técnico del agente define los requisitos de identidad, permisos e infraestructura del agente. Actúa como plantilla para crear instancias de agente e incluye:

registro de aplicaciones de Microsoft Entra
Permisos de API requeridos (ámbitos de alcance de Microsoft Graph)
Configuración de autenticación
Definiciones de recursos (plan de App Service, aplicación web)

Instancia de aplicación agéntica

Una instancia de aplicación de agente representa una implementación específica del plano técnico del agente. Cada instancia tiene:

Identificador de aplicación agente único (Microsoft Entra ID)
Principal de servicio para la autenticación
Configuración específica de la instancia
Credenciales de identidad federada para la integración con Microsoft Teams

Usuario agente

Un usuario agente es la identidad en tiempo de ejecución que aparece dentro de tu organización. Los usuarios agentes son un subtipo especializado de identidad de usuario diseñado específicamente para agentes. Los conceptos clave que debe comprender sobre los usuarios de agente son sus características de identidad, la integración de la organización, el modelo de relación y el ciclo de vida.

Características de identidad

Los usuarios de agente tienen propiedades de identidad distintivas que las diferencian de las cuentas de usuario tradicionales:

Marcado como agente en el directorio
Recibe tokens con (tipo de identidad de usuario)
Tiene un id. de usuario único (id. de objeto) independiente de la instancia del agente primario
No se pueden tener credenciales tradicionales (contraseñas, claves de acceso, factores de autenticación múltiple)
Debe crearse a través de una llamada API explícita desde la instancia del agente primario
Tiene un vínculo inmutable a su instancia de agente primario (no se puede volver a establecer como elemento primario)

Integración organizativa

Los usuarios agente funcionan como miembros completos de la organización de Microsoft 365 con las siguientes funcionalidades:

Se sincronizan con el directorio del inquilino de Microsoft 365
Se pueden asignar licencias (Microsoft 365 E5, Teams Enterprise, Copilot)
Tener su propio buzón y almacenamiento de OneDrive (en función de las licencias)
Aparecer en el organigrama y en las tarjetas de personas
Puede ser @mentioned en Teams, documentos y otras aplicaciones de Microsoft 365
Tener su propio nombre principal único (por ejemplo, )

Modelo de relación

La conexión entre instancias de agente y los usuarios de agente sigue un patrón estricto de padre-hijo.

Cada instancia de agente puede tener como máximo un hijo de usuario del agente
El usuario de agente almacena una referencia a su instancia de agente primario
La instancia de agente primario mantiene una referencia a su usuario de agente secundario (si existe uno)
Esta relación bidireccional permite la administración y la auditoría del ciclo de vida adecuadas

Lifecycle

Usuarios agenticos están diseñados para una disponibilidad inmediata con depuración automática cuando ya no se necesiten.

Soporte para la funcionalidad de encendido instantáneo y puede utilizarse inmediatamente después de la creación

Nota:

El aprovisionamiento de recursos para usuarios agente (buzón, OneDrive) puede tardar hasta 24 horas después de la asignación de licencias, aunque normalmente se completa en un plazo de 10 a 15 minutos.
Si se elimina la instancia de agente primario, también se elimina el usuario de agente secundario
La relación entre la instancia de agente y el usuario agente es inmutable y no se puede cambiar.

Importante

Los usuarios agente requieren licencias de Microsoft 365 adecuadas para acceder a servicios como Teams, Correo electrónico, Calendario, SharePoint y OneDrive. Entre las licencias comunes se incluyen Microsoft 365 E5, Teams Enterprise y Microsoft 365 Copilot. Después de asignar licencias, el aprovisionamiento de recursos (buzón, OneDrive) normalmente se completa en un plazo de 10 a 15 minutos, pero puede tardar hasta 24 horas en algunos casos.

Control de acceso y permisos

Los permisos de agente se administran en varios niveles para proporcionar un control pormenorizado sobre los derechos de acceso y las funcionalidades.

Permisos predeterminados

Los usuarios de agente tienen características de permisos específicas:

Se pueden administrar mediante directivas de acceso condicional
Exentos de los requisitos de MFA (ya que no pueden tener factores de autenticación tradicionales)
Puede añadirse a grupos de Entra ID, incluido el grupo "Todos los usuarios Agentic"
El acceso a los recursos se controla a través de las licencias y concesiones de permisos explícitas

Administración de permisos

Los permisos se pueden establecer en diferentes niveles:

Nivel de plano técnico de agente: define los permisos base para todas las instancias
Nivel de instancia del agente: permisos específicos para la identidad del agente
Nivel de usuario agente: permisos y derechos de acceso específicos de usuario

Sugerencia

En el caso de los agentes con identidades de usuario agenticas, use principalmente dicha identidad para acceder a los recursos. Esta práctica proporciona un comportamiento coherente del usuario en los servicios de Microsoft 365.

Flujos de autenticación

Microsoft Agent 365 admite dos flujos de autenticación para agentes, con tecnología de Microsoft Entra Agent ID.

Autenticación de identidad de agente

Permite que un agente actúe con su propia identidad.

En este flujo:

El agente se autentica mediante sus credenciales propias (credenciales de plantilla del agente)
El agente funciona de forma independiente con sus propios permisos asignados
El agente tiene su propia identidad, independiente de cualquier usuario
Este flujo es ideal para las operaciones de agente autónomo que no requieren contexto de usuario

Casos de uso:

Operaciones del agente autónomo (tareas programadas, supervisión)
Envío de correos electrónicos o creación de reuniones desde el buzón del agente
Creación y administración de recursos propiedad del agente
Procesamiento en segundo plano sin interacción del usuario

Más información sobre el registro y la creación de agentes

Flujo En nombre de (OBO)

Permite que un agente actúe en nombre de un usuario.