Compartilhar via

Identidade do Agente 365

Importante

Você precisa fazer parte do programa de prévia Frontier para obter acesso antecipado ao Microsoft Agent 365. A Frontier conecta você diretamente às mais recentes inovações de IA da Microsoft. Prévias da Frontier estão sujeitas aos termos de visualização prévia existentes dos seus contratos com clientes. Como esses recursos ainda estão em desenvolvimento, sua disponibilidade e capacidades podem mudar ao longo do tempo.

Identidade de agente é um conceito fundamental no Microsoft Agent 365 SDK. Cada agente ganha sua própria identidade empresarial única e persistente, separada dos registros de usuários humanos ou de aplicativos genéricos. Essa identidade equipa o agente com privilégios, autenticação, funções e capacidades de conformidade semelhantes às de um funcionário humano.

Entendendo componentes de identidade do agente

Quando você registra um agente com o Microsoft Agent 365, três componentes-chave trabalham juntos para fornecer sua identidade ao seu agente:

Plano do agente (Aplicação agêncica)

O blueprint do agente define a identidade, permissões e requisitos de infraestrutura do agente. Ele serve como modelo para criar instâncias de agentes e inclui:

  • Microsoft Entra registro de aplicativo
  • Permissões de API necessárias (escopos de Microsoft Graph)
  • Configuração de autenticação
  • Definições de recursos (Plano de Serviços de Aplicativos, Aplicativo Web)

Instância de aplicativo agente

Uma instância de aplicativo agente representa uma implantação específica do seu modelo de agente. Cada caso tem:

  • ID de aplicativo agente exclusivo (Microsoft Entra ID)
  • Entidade de serviço para autenticação
  • Configuração específica de instância
  • Credenciais de identidade federada para integração com o Teams

Usuário agente

Um usuário agente é a identidade em tempo de execução que aparece na sua organização. Usuários agênticos são um subtipo especializado de identidade de usuário projetado especificamente para agentes. Conceitos-chave que você precisa entender sobre usuários agentes são suas características de identidade, integração organizacional, modelo de relacionamento e ciclo de vida.

Características de identidade

Usuários agentes possuem propriedades de identidade distintas que os diferenciam das contas tradicionais de usuário:

  • Marcado como agente no diretório
  • Recebe tokens com idtyp=user (tipo de identidade de usuário)
  • Possui um ID de usuário único (ID de objeto) separado da instância do agente pai
  • Não pode ter credenciais tradicionais (senhas, chaves de acesso, fatores MFA)
  • Deve ser criado por meio de uma chamada de API explícita a partir da instância do agente pai
  • Tem um link imutável para sua instância agente pai (não pode ser re-parentada)

integração de grupos organizacionais

Os usuários agente funcionam como membros completos de sua organização Microsoft 365 com os seguintes recursos:

  • São sincronizados com o diretório do cliente Microsoft 365
  • Podem ser atribuídas licenças (Microsoft 365 E5, Teams Enterprise, Copilot)
  • Ter suas próprias caixas de correio e armazenamento do OneDrive (com base em licenças)
  • Apareça no organograma e nos cartões de pessoas
  • Pode ser @mentioned no Teams, nos documentos e em outros aplicativos Microsoft 365
  • Ter seu próprio nome principal único (por exemplo, agent@yourtenant.onmicrosoft.com)

Modelo de relacionamento

A conexão entre instâncias agenticas e usuários agenticos segue um padrão estrito de pai e filho:

  • Cada instância agentica pode ter no máximo um filho de usuário agentico
  • O usuário agente armazena uma referência à sua instância agente pai
  • A instância do agente pai mantém uma referência ao seu usuário agente filho (se existir)
  • Essa relação bidirecional permite uma gestão adequada do ciclo de vida e auditoria

Lifecycle

Usuários agenticos são projetados para disponibilidade imediata com limpeza automática quando não forem mais necessários.

  • Suporta funcionalidade instantânea e pode ser usada imediatamente após a criação

    Observação

    O provisionamento de recursos para usuários agente (caixa de correio, OneDrive) pode levar até 24 horas após a atribuição de licença, embora normalmente seja concluído dentro de 10 a 15 minutos.

  • Se a instância do agente pai for excluída, o usuário agente filho também é excluído

  • A relação entre a instância agente e o usuário agente é imutável e não pode ser alterada

Importante

Os usuários agentes exigem licenças de Microsoft 365 apropriadas para acessar serviços como Teams, Email, Calendário, SharePoint e OneDrive. As licenças comuns incluem Microsoft 365 E5, Teams Enterprise e Microsoft 365 Copilot. Depois de atribuir licenças, o provisionamento de recursos (caixa de correio, OneDrive) normalmente é concluído dentro de 10 a 15 minutos, mas pode levar até 24 horas em alguns casos.

Permissões e controle de acesso

Permissões de agentes são gerenciadas em múltiplos níveis para fornecer controle granular sobre direitos e capacidades de acesso.

Permissões padrão

Usuários agentes possuem características específicas de permissão:

  • Pode ser gerenciado por meio de políticas de acesso condicional
  • Isentos dos requisitos do MFA (já que não podem ter fatores tradicionais de autenticação)
  • Pode ser adicionado aos grupos do Entra ID, incluindo o grupo "Todos os Usuários Agentes"
  • O acesso a recursos é controlado por meio de concessões explícitas de permissões e licenças

Gerenciamento de permissões

As permissões podem ser definidas em diferentes níveis:

  • Modelo de agente - Define as permissões básicas para todas as instâncias
  • Nível de instância do agente - Permissões específicas para a identidade do agente
  • Nível de usuário agente - Permissões e direitos de acesso específicos de usuários

Dica

Para agentes com identidades de usuário agente, use a identidade de usuário agente principalmente para acesso a recursos. Essa prática fornece um comportamento consistente semelhante ao do usuário em serviços de Microsoft 365.

Fluxos de autenticação

O Microsoft Agent 365 dá suporte a dois fluxos de autenticação para agentes, alimentados pela ID do agente Microsoft Entra.

Autenticação de identidade do agente

Permite que um agente aja com sua própria identidade.

Neste fluxo:

  • O agente autentica usando suas próprias credenciais (credenciais do modelo do agente)
  • O agente opera de forma independente com suas próprias permissões atribuídas
  • O agente tem sua própria identidade, separada de qualquer usuário
  • Esse fluxo é ideal para operações autônomas de agentes que não exigem contexto do usuário

Casos de uso:

  • Operações de agentes autônomos (tarefas agendadas, monitoramento)
  • Enviando e-mails ou criando reuniões a partir da caixa de correio do agente
  • Criação e gestão de recursos de propriedade de agentes
  • Processamento em segundo plano sem interação do usuário

Saiba mais sobre como registrar e criar agentes

Fluxo On-Behalf-Of (OBO)

Permite que um agente atue em nome de um usuário.

Neste fluxo:

  • O agente recebe o token delegado pelo usuário
  • O agente troca esse token para realizar ações como se o usuário as estivesse realizando
  • O agente opera com as permissões e o contexto do usuário
  • Esse fluxo é ideal para cenários em que o agente precisa acessar recursos com permissões específicas de cada usuário
  • Proporciona auditoria robusta quando a identidade agencial é usada em fluxos reativos

Casos de uso:

  • Acessando dados específicos do usuário (e-mails, calendário, arquivos)
  • Realizar ações que exigem consentimento do usuário
  • Cenários em que contexto do usuário e permissões são necessários
  • Last updated on