Foire aux questions sur Identifiant d’assistant Microsoft Entra

Microsoft Graph API qui prennent en charge les relations impliquant des identités d'agent telles que /ownedObjects, /deletedItems et /owners ne prennent pas en charge le filtrage par type d'entité. Utilisez les API existantes et filtrez les résultats côté client à l’aide de la odata.type propriété pour identifier les objets d’identité de l’agent dans la réponse.

Lorsqu'un blueprint d'identité d'agent ou un identifiant d'agent est supprimé, les comptes utilisateurs des agents associés restent dans le locataire. Ils ne sont pas affichés comme désactivés ou supprimés, même s’ils ne peuvent pas s’authentifier. Supprimez manuellement les comptes d'utilisateurs des agents orphelins à l'aide de Microsoft API Graph ou Microsoft Entra PowerShell.

Lors de la création d’objets d’identité d’agent en succession rapide à l’aide d’API Microsoft Graph, les requêtes peuvent échouer avec des erreurs telles que 400 Bad Request: Object with id {id} not found. Les séquences courantes qui déclenchent ce comportement sont les suivantes :

• Créer un blueprint d’identité d’agent, puis créer immédiatement un blueprint principal.
• Création d’un modèle principal, puis en utilisant immédiatement ce modèle pour créer une identité d’agent.
• Création d’une identité d’agent, puis création immédiate du compte d’utilisateur d’un agent.

Ces échecs sont plus courants lors de l’utilisation des autorisations d’application uniquement. Utilisez les autorisations déléguées si possible et ajoutez une logique de reprise avec une temporisation exponentielle à vos demandes.

Les limites suivantes s’appliquent aux modèles d’identité d’agent :

• Les plateformes de gestion non Microsoft utilisant des autorisations d’application uniquement sont limitées à 250 identités d’agent par blueprint. Les appels délégués et les plateformes appartenant à Microsoft (Foundry, Copilot Studio) ne sont pas soumis à cette limite.
• Les utilisateurs non administrateurs sont soumis à la limite préexistante de 250 objets appartenant à Microsoft Entra ID, qui s’applique à tous les types de ressources Microsoft Entra.
• Les plans ne peuvent pas représenter plus de 95 % du quota total de ressources du locataire. Pour plus d’informations, consultez la ligne Resources dans Microsoft Entra limites et restrictions de service.

Il n’existe aucun mécanisme de notification intégré pour l’approbation du blueprint d’identité de l’agent. Lorsqu'un administrateur client crée ou approuve un blueprint d'identité d'agent pour votre agent, vous n'êtes pas averti par Microsoft Entra ou Microsoft Graph.

Pour vérifier si votre blueprint a été approuvé dans un locataire spécifique, interrogez microsoft API Graph pour les objets principaux de blueprint associés à votre application. Si un administrateur n’a pas encore approuvé le blueprint, la requête ne retourne aucun résultat pour ce locataire.

Les définitions de rôle personnalisées ne prennent pas en charge les actions de gestion des identités d’agent. Utilisez les rôles d’administrateur d’ID d’agent et de développeur d’ID d’agent intégrés pour la gestion des identités de l’agent.

Les identités d'agent, les plans d'identité d'agent et les principaux principes des plans d'identité d'agent ne peuvent pas être ajoutés aux unités administratives. Utilisez la owners propriété des identités d’agent pour limiter les utilisateurs pouvant gérer des objets spécifiques.

Le rôle Administrateur d’ID d’agent n’est pas autorisé à mettre à jour des photos pour le compte d’utilisateur d’un agent. Utilisez le rôle Administrateur d’utilisateur pour cette tâche.

Les règles d’appartenance de groupe dynamique ne prennent pas en charge le ciblage du compte d’utilisateur d’un agent. Utilisez des groupes affectés pour gérer les appartenances de groupe d’un agent dans le compte d’utilisateur.

Les identités d'agent ne peuvent pas se connecter aux pages de connexion de Microsoft Entra ID, ce qui signifie qu'elles ne peuvent pas utiliser la connexion unique avec les protocoles OpenID Connect ou SAML. Utilisez les API web disponibles pour intégrer les agents avec les applications et services du lieu de travail.

Le workflow de consentement administrateur Microsoft Entra D ne fonctionne pas correctement pour les autorisations demandées par les identités des agents. Les utilisateurs doivent contacter leur administrateur client Microsoft Entra pour demander que les autorisations soient accordées directement à l’identité de l’agent.

Une montée en puissance basée sur le risque est appliquée pour les flux de consentement d’identité de l’agent. Si le consentement d’un utilisateur est bloqué, il n’existe aucune solution de contournement. L'utilisateur doit résoudre le risque indiqué avant que le consentement puisse être donné.

Les journaux d'audit ne distinguent pas les identités d'agent des autres types d'identités Microsoft Entra par défaut :

• Les opérations sur les identités d’agent, les modèles et les gestionnaires de modèles sont enregistrées dans la catégorie ApplicationManagement.
• Les opérations sur les comptes d’utilisateur des agents sont journalisées dans la catégorie Gestion des utilisateurs .
• Les opérations initiées par les identités des agents apparaissent comme des principaux de service.
• Les opérations lancées par les comptes d’utilisateur des agents apparaissent en tant qu’utilisateurs.

Pour identifier l’activité liée à l’ID de l’agent, utilisez les ID d’objet des journaux d’audit pour interroger Microsoft Graph et déterminer le type d’entité. Vous pouvez également utiliser l’ID de corrélation des journaux de connexion pour localiser l’identité de l’acteur ou du sujet impliqué dans l’activité.

Les journaux d'activité de Microsoft Graph ne séparent actuellement pas les identités d'agent des autres types d'identités.

• Les requêtes provenant des identités d’agent sont enregistrées comme des applications, avec l’identité de l’agent incluse dans la colonne appID .
• Les demandes des comptes d’utilisateur des agents sont enregistrées en tant qu’utilisateurs, avec l’ID d’utilisateur de l’agent dans la colonne UserID .

Rejoignez-vous avec les journaux de connexion Microsoft Entra pour déterminer le type d’entité.

Le Kit de développement logiciel (SDK) que vous utilisez dépend de votre scénario :

Microsoft l’interface CLI et le Kit de développement logiciel (SDK) Agent 365 sont les points de départ recommandés pour la plupart des développeurs. L’interface CLI gère l’approvisionnement des identités de l’agent, la création de blueprint et le câblage des autorisations dans une seule commande. Le Kit de développement logiciel (SDK) gère l’acquisition de jetons au moment de l’exécution. Pour plus d’informations, consultez Microsoft Entra Documentation du Kit de développement logiciel (SDK) Agent 365.

Microsoft. Identity.Web fournit des API de niveau supérieur pour acquérir des jetons pour les identités d’agent dans .NET applications. Utilisez le package Microsoft.Identity.Web.AgentIdentities pour simplifier la gestion des identités d’agents.

Le conteneur Microsoft Entra SDK enveloppe Microsoft.Identity.Web en tant que service web déployé en tant que conteneur sidecar. Utilisez cette option lorsque votre agent s'exécute sur Kubernetes et/ou n'est pas intégré à .NET. Pour plus d’informations, consultez Microsoft Entra SDK pour l’ID d’agent.

Microsoft Graph API fournissent la gestion des identités de l'agent lorsque les autres options ne correspondent pas à votre scénario. Pour plus d’informations, consultez Microsoft API Graph pour les blueprints d’identité d’agent.