Appregistrering, agentidentiteter og godkendelse for Copilot Studio

I denne artikel forklares appregistrering, agentidentiteter og godkendelse for Copilot Studio agenter.

Om agentidentiteter

Hvordan identificerer Copilot Studio agenter til godkendelse?

Copilot Studio tildeler hver agent et entydigt id, så den kan kommunikere med kanaler (Teams, Omnichannel osv.) og tjenester. Copilot Studio opretter og administrerer automatisk disse identiteter.

Der er to typer agentidentiteter:

• Entra Agent-id'er: Microsoft Entra tjenesteprincipaler med undertypen "Agent". Når du aktiverer Entra Agent Identity for et miljø, modtager nye agenter automatisk Entra Agent-id'er.

• App registrations (ældre): Eksisterende agenter, som du oprettede før aktivering af Entra Agent Identity, fortsætter med at bruge traditionelle app registrations.

Vigtigt! Agent-id'er er tjenesteprincipaler med undertypen "Agent". Det underliggende OAuth-baserede godkendelsesflow forbliver det samme. Agent-id'er giver forbedret styringssynlighed og administrationsfunktioner sammenlignet med traditionelle appregistreringer.

Hvorfor har min agent en identitet i Microsoft Entra ID?

Agentidentiteter gør det muligt for din agent at godkende sikkert, når du kommunikerer med kanaler (Teams, Omnichannel og meget mere) og tjenester. Copilot Studio opretter og administrerer automatisk disse identiteter efter Zero Trust sikkerhedsprincipper.

Hvad er forskellen mellem Copilot Studio agenter og Agent Builder-agenter?

• Copilot Studio agenter: Modtag Entra Agent-id'er (eller appregistreringer for ældre agenter) til godkendelse med kanaler og tjenester. Du kan aktivere Entra Agent Identity på miljøniveau i Power Platform Administration.

• Agent Builder-agenter: I øjeblikket bruger eller kræver det ikke id'er for appregistrering eller agent-id'er. Du kan få flere oplysninger under Agent Builder i Microsoft 365 Copilot.

Arbejde med agentidentiteter

Skal jeg oprette eller konfigurere en agentidentitet manuelt?

Nej. Copilot Studio administrerer automatisk agentidentiteter:

• Nye agenter (når Entra Agent Identity er aktiveret): Hent automatisk Entra Agent-id'er
• Eksisterende agenter: Fortsæt med at bruge appregistreringer

Microsoft sikkerheds- og overholdelsesstandarder er en vejledning i automatisk administration af alle legitimationsoplysninger. Du har fuld synlighed og kontrol i Microsoft Entra-administrationscenter, hvor du kan overvåge godkendelsesaktivitet og administrere agentens identitetslivscyklus.

Hvordan finder jeg ud af, hvilken appregistrering eller hvilket agent-id der tilhører min agent?

1. I Copilot Studio skal du gå til Indstillinger>Flere>Metadata.
2. Få vist Entra-agent-id (GUID) for agenter med Entra-identiteter.
3. For ældre agenter med appregistreringer vises program-id'et i det samme afsnit.
4. Brug dette GUID til at finde identiteten i Microsoft Entra-administrationscenter.

Kan jeg medbringe mit eget agent-id eller appregistrering?

Nej. For at sikre sikkerhed, overholdelse af angivne standarder og integration med kanaler og tjenester kræver Copilot Studio automatisk administration.

Hvorfor føjer Copilot Studio agentejeren til agentens identitet?

Copilot Studio tilføjer agentejeren for at angive:

• Styringssporing for hver agent
• Ansvar for agentens livscyklus
• Tilpasning til politikker for organisationsejerskab

For Entra Agent-id'er: Agentejeren tilføjes som sponsor med begrænsede tilladelser sammenlignet med fulde ejere, hvilket reducerer sikkerhedsbekymringer omkring ændringer af tilladelser. Nogle eksisterende agenter har måske endnu ikke sponsorer.

For ældre appregistreringer: Agentejeren tilføjes som ejer af appregistreringen. Hvis du vil fravælge tilføjelsen af agentejeren, skal du kontakte support.

Sikkerhed og tilladelser

Hvem kan generere tokens ved hjælp af agent-id'et?

Til Entra Agent-id'er

En Microsoft-ejet blueprint-principiel opretter og administrerer agentidentiteter ved hjælp af federerede identitetslegitimationsoplysninger. Ingen i din lejer – herunder lejeradministratorer – kan generere tokens ved hjælp af agent-id'et. Microsoft styrer fuldt ud kursusplanen og godkendelsesmekanismen.

Til ældre appregistreringer

Brugere med rollerne Global administrator, Programadministrator eller Cloud Application Administrator kan oprette klienthemmeligheder eller certifikater til enhver appregistrering i lejeren uden at skulle eje dem. Brugere uden disse roller skal have ejerskab over den specifikke appregistrering for at oprette legitimationsoplysninger, der er nødvendige for generering af token. Copilot Studio ikke føjer NOGEN API-områder eller -tilladelser til disse appregistreringer, så tokens, der genereres ud fra disse identiteter, har ingen adgang til kundedata eller -ressourcer.

Hvilke områder er knyttet til min agents Entra-agent-id?

Når du publicerer en agent, føjer Copilot Studio API-tilladelser til agentens Entra-agent-id, der repræsenterer de Power Platform-connectors, som agenten er konfigureret til at bruge. Disse områder beskriver kun connectoradgang. De er ikke rå ressourcetilladelser, f.eks Mail.Read . eller Files.Read.All.

Så vises områderne i Microsoft Entra ID

Hver connector har sin egen serviceprincipal i din tenant, f.eks. Work IQ Calendar MCP Connector. Afhængigt af hvordan opretteren konfigurerer agenten, tildeler connectorens tjenesteprincipal en eller flere af følgende tilladelser til agentens Entra-agent-id:

• Operations.Execute.All tildeles, når agenten er konfigureret til at bruge connectoren på agentniveau (værktøj). Agenten kan aktivere enhver handling, som connectoren viser.
• Individuelle handlingsområder tildeles, når opretteren har tilføjet specifikke connectorhandlinger i stedet for hele connectoren. Kun de handlinger, som agenten faktisk bruger, er tilladt.
• Azure API Connections Runtime.All bruges som et generisk tilbagefald for connectorer, der ikke definerer detaljerede scopes.

Du kan gennemse disse tilladelser for agentidentitetens tjenesteprincipal i Microsoft Entra-administrationscenter under API-tilladelser.

Denne model giver Microsoft Entra ID og Microsoft 365 administratorer indblik i, hvad en agent kan gøre. Administratorer behøver ikke at åbne Power Platform Administration, og den udviklerledede, politikstyrede connectormodel forbliver på plads:

• Oprettere fortsætter med at tilføje forbindelser ved hjælp af connectors, der er forhåndsgodkendt af din lejers ACP-politikker (Advanced Connector Policies) og DLP-politikker (Forebyggelse af datatab).
• Kørselsmiljøet for Power Platform-connectoren respekterer kun disse omfang. På kørselstidspunktet validerer connectorplatformen igen, at agenten kan kalde connectoren under din lejers ACP- og DLP-politikker. Hvis en hacker får en agents identitet, kan hackeren ikke bruge disse områder til at kalde Microsoft Graph, Outlook eller en anden API direkte, fordi connectorplatformen formidler alle kald og anvender dine politikker for styring.
• Da områderne er førsteklasses API-tilladelser til agentens Entra-agent-id, kan administratorer målrette dem med Microsoft Entra Betinget adgang politikker. Du kan f.eks. kræve specifikke netværksplaceringer, enhedens overholdelsestilstand eller risikoniveauer, før der kan udstedes tokens for en bestemt connectorressource på en agentidentitet. Betinget adgang gennemtvinges kun i dag, når agenten kører i Microsoft Teams (se noten i starten af dette afsnit).

Kort sagt beskriver områderne, hvad en agent er konfigureret til at gøre , mens ACP og DLP beslutter , hvad det er tilladt at gøre på udførelsestidspunktet.

Når områder tilføjes eller fjernes

Områder evalueres og anvendes, når agenten publiceres. Hvis du tilføjer eller fjerner en connector (eller en bestemt connectorhandling) på agenten og publicerer agenten igen, opdateres områderne i overensstemmelse hermed.

Gælder dette for ældre appregistreringer?

Nej. Connectoromfang tilføjes kun til Entra Agent-id'er. Ældre appregistreringer har fortsat ingen API-områder tilknyttet, som beskrevet i Hvem kan generere tokens ved hjælp af agent-id'et. I dag gælder denne funktionsmåde for førsteparts- og certificerede Power Platform-connectors. brugerdefinerede connectors, MCP-servere og REST API-værktøjer, der er føjet til agenter, føjer ikke API-tilladelser til Entra-agent-id.

Entra Agent-identitet

Kan jeg fravælge Entra Agent Identity?

Ja, du kan i øjeblikket fravælge på miljøniveau i Power Platform Administration. Se Opret entra agent-identiteter automatisk for at få instruktioner.

Hvad sker der med eksisterende agenter, når jeg aktiverer Entra Agent Identity?

Eksisterende agenter, der blev oprettet, før Entra Agent Identity blev aktiveret, fortsætter med at bruge appregistreringer. De overføres til agent-id'er i fremtiden.

Migreringsegenskaber:

• GUID-bevarelse: Agent-id'er forbliver identiske (ingen afbrydelsesændringer)
• Nul nedetid: Agenter fortsætter med at fungere under migrering
• Automatisk: Der kræves ingen manuel handling
• Kanalkompatibilitet vedligeholdes: Teams, Omnichannel og færdigheder fortsætter med at arbejde

Ændrer aktivering af Agent-id, hvordan min agent godkendes?

Nej. Agent-id'er er tjenesteprincipaler med en undertype af typen "Agent", der bruger de samme OAuth-baserede godkendelsesflow som traditionelle appregistreringer. Forbedringen er styringssynlighed – Agent-id'er vises i Microsoft Entra-administrationscenter med flere funktioner til administration af livscyklus og overvågning.

Hvad er Blueprint Principals?

Når den første agentidentitet oprettes i et miljø, føjer Copilot Studio en Microsoft Copilot Studio agentidentitetstegning til din lejer. Denne blueprint-principal har rettigheder til at oprette agentidentiteter og agentbrugere i tenanten.

Du kan finde detaljerede oplysninger, herunder Blueprint-id'er (produktion og test), under Om blueprintprincipaler. Du kan finde flere tekniske oplysninger under Hvordan oprettes agentidentiteter?.

Hvorfor blev min agent ikke oprettet på grund af en Entra-kvote eller -grænse?

Hver Entra-agent-id, Copilot Studio opretter, er et mappeobjekt i din lejer og tæller med i din lejers ressourcekvote i Microsoft Entra ID. Agent-id'et klargøres, når agenten er oprettet i Copilot Studio. Hvis lejeren har nået sin kvote på det pågældende tidspunkt, kan Copilot Studio ikke oprette Entra-agent-id, og agenten kan ikke oprettes.

De mest almindelige grænser, du skal være opmærksom på, er:

• Kvote for lejerressourcer: 50.000 katalogobjekter som standard eller 300.000, hvis din lejer har et bekræftet domæne. Lejere, der oprettes via tilmelding via selvbetjening, forbliver på 50.000, selv efter at et domæne er bekræftet. Agentidentiteter (sammen med alle andre Entra-ressourcer) kan ikke bruge mere end 95% af denne kvote.
• Begrænsning for ny lejer: I de første to dage, efter at en lejer er oprettet, er kvoten midlertidigt begrænset til 600 katalogobjekter.

Loftet på 250 agentidentiteter pr. blueprint gælder ikke for Copilot Studio, fordi Copilot Studios blueprint er ejet af Microsoft.

Du kan se en komplet liste over grænser, og hvordan kvoten beregnes, under Microsoft Entra tjenestegrænser og -begrænsninger. Hvis du vil hæve ressourcekvoten for din lejer, skal du følge vejledningen i denne artikel.

Agentlivscyklus

Hvad sker der med agentidentiteten, når du sletter en agent?

Når du sletter en agent fra Copilot Studio, fjerner processen det tilknyttede agent-id (eller appregistrering) fra Microsoft Entra ID.

Du kan få flere oplysninger under Slet agenter.

Relaterede artikler

• Konfigurer brugergodkendelse med Microsoft Entra ID
• Opret automatisk Entra agent-identiteter (prøveversion)
• Slet agenter
• Netværksisolation og firewallkonfiguration