에이전트 ID 청사진은 에이전트 ID를 만들고 해당 에이전트 ID를 사용하여 토큰을 요청하는 데 사용됩니다. 에이전트 ID 청사진을 만드는 프로세스 중에 해당 청사진의 소유자 및 스폰서 를 설정하여 책임 및 관리 관계를 설정합니다. 또한 식별자 URI를 구성하고 에이전트가 다른 에이전트 및 사용자로부터 들어오는 요청을 받도록 설계된 경우 이 청사진에서 만든 에이전트에 대한 범위를 정의합니다.
다음 두 가지 방법으로 에이전트 ID 청사진을 만들 수 있습니다.
- Microsoft Entra 관리 센터 - 청사진 및 그 주체를 신속하게 설정하기 위해 마법사를 사용하였습니다.
- Microsoft Graph API 또는 PowerShell — 단일 워크플로에서 자격 증명, 식별자 URI, 범위 및 청사진에 속하는 주체를 포함하여 코드로 청사진을 만들고 완전히 구성합니다.
사전 요구 사항
에이전트 ID 청사진을 만들려면 다음이 필요합니다.
- 사용자 역할 관리자 역할은 Microsoft Graph 애플리케이션 권한을 부여하는 데 필요한 최소 권한 역할입니다.
- Microsoft Graph 위임된 권한을 부여하려면 Cloud 애플리케이션 관리자 또는 애플리케이션 관리자가 필요합니다.
-
에이전트 ID 개발자 및 에이전트 ID 관리자 역할은 모두 에이전트 ID 청사진과 청사진 원칙을 생성할 수 있습니다.
- 에이전트 ID 개발자는 에이전트 ID 청사진에서 페더레이션 아이덴티티 자격 증명을 구성할 수 있습니다.
- 에이전트 ID 관리자는 에이전트 ID 청사진에서 페더레이션 ID 자격 증명을 구성할 수 있으며 비밀 또는 인증서 자격 증명을 추가해야 합니다.
- PowerShell을 사용하는 경우 버전 7이 필요합니다.
메모
에이전트 ID 청사진이나 에이전트 ID 청사진 주체를 소유한 사람은 Microsoft Entra 에이전트 ID 역할 없이 해당 청사진에 대한 에이전트 ID를 생성할 수 있습니다. 에이전트 ID 청사진 작성자는 청사진과 해당 에이전트 ID 청사진의 보안 주체의 소유자로 자동으로 설정됩니다.
환경 준비
프로세스를 간소화하려면 환경을 올바른 권한으로 설정하는 데 몇 분 정도 걸릴 수 있습니다.
에이전트 ID 청사진을 만들도록 클라이언트에 권한 부여
이 문서에서는 Microsoft Graph PowerShell 또는 다른 클라이언트를 사용하여 에이전트 ID 청사진을 만듭니다. 클라이언트에게 에이전트 신원 청사진을 만들고 구성할 권한과 에이전트 신원 청사진 주체를 만들 권한을 부여해야 합니다. 클라이언트에는 다음 Microsoft Graph 권한이 필요합니다.
- AgentIdentityBlueprint. 위임된 권한 만들기
- AgentIdentityBlueprint.AddRemoveCreds.모든 위임된 권한
- AgentIdentityBlueprint.UpdateAuthProperties.All 위임 권한
- AgentIdentityBlueprintPrincipal.Create 위임된 권한
이 가이드의 단계에서는 위임된 모든 권한을 사용하지만 필요한 시나리오에 애플리케이션 권한을 사용할 수 있습니다.
Microsoft Graph PowerShell에 필요한 모든 범위에 연결하려면 다음 명령을 실행합니다.
Connect-MgGraph -Scopes "AgentIdentityBlueprint.Create", "AgentIdentityBlueprint.AddRemoveCreds.All", "AgentIdentityBlueprint.UpdateAuthProperties.All", "AgentIdentityBlueprintPrincipal.Create", "User.Read" -TenantId <your-tenant-id>
에이전트 정체성 청사진 만들기
에이전트 ID 청사진에는 에이전트에 대한 책임이 있는 사용자 또는 지원되는 그룹 인 스폰서가 있어야 합니다. 에이전트 ID 청사진을 변경할 수 있는 사용자 또는 서비스 주체인 소유자가 권장됩니다. 자세한 내용은 Microsoft Entra 에이전트 ID의 관리 관계를 참조하세요.
Microsoft Entra 관리 센터 사용
Microsoft Entra 관리 센터에서 에이전트 ID의 설계도를 직접 만들 수 있습니다. 관리 센터 마법사는 에이전트 정체 청사진과 해당 청사진 주체를 자동으로 만듭니다.
메모
관리 센터 마법사는 청사진 이름을 설정하고 소유자와 스폰서를 할당합니다. 자격 증명, 식별자 URI, 범위 또는 권한을 구성하려면 Microsoft Graph API 또는 PowerShell을 사용하거나 관리 센터에서 청사진의 세부 정보 페이지를 통해 만든 후 구성합니다.
Entra ID>Agents>Agent 청사진으로 이동하세요.
새 에이전트 청사진(미리 보기)을 선택합니다.
기본 사항 탭에서 에이전트 청사진 이름 필드에 이름을 입력하고 다음을 선택합니다.
소유자 및 스폰서 탭에서 필요에 따라 청사진에 대한 소유자 및 스폰서를 변경하거나 추가합니다.
- 소유자 필드 옆에 있는 연필 아이콘을 선택하여 청사진을 관리할 수 있는 사용자를 변경하거나 추가합니다.
- 스폰서 필드 옆에 있는 연필 아이콘을 선택하여 청사진을 후원할 수 있는 사용자를 변경하거나 추가합니다.
메모
스폰서는 사용자, 동적 멤버 자격 그룹 또는 Microsoft 365 그룹일 수 있습니다. 보안 그룹 및 역할 할당 가능 그룹은 스폰서로 지원되지 않습니다.
다음을 선택합니다.
설정을 검토한 다음 만들기를 선택합니다.
완료를 선택하여 마법사를 종료하거나 에이전트 청사진으로 이동하여 청사진의 세부 정보 페이지를 보거나 더 많은 설정을 구성합니다.
에이전트 ID 청사진 관리에 대한 자세한 내용은 에이전트 ID 청사진 관리를 참조하세요.
프로그래밍 방식으로 만들기
코드를 사용하여 에이전트 ID 청사진을 만들려면 Microsoft Graph API 또는 PowerShell을 사용합니다.
이 단계에서는 에이전트 ID 청사진을 만들고 소유자 및 스폰서를 할당하며 다음 세부 정보가 필요합니다.
-
AgentIdentityBlueprint.Create사용 권한입니다. - OData-Version 헤더는 4.0으로 설정해야 합니다.
- 예제 요청 본문의 소유자 및 스폰서 필드에 대한 사용자 ID입니다. 스폰서가 필요하지만 소유자는 선택 사항입니다.
POST https://graph.microsoft.com/v1.0/applications/
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"@odata.type": "Microsoft.Graph.AgentIdentityBlueprint",
"displayName": "My Agent Identity Blueprint",
"sponsors@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>",
],
"owners@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>"
],
}
에이전트 ID 청사진을 만든 후 다음 단계의 appId 값을 기록합니다.
에이전트 아이덴티티 청사진에 대한 자격 증명 구성
에이전트 ID 설계도를 사용하여 액세스 토큰을 요청하려면 클라이언트 자격 증명을 추가해야 합니다. 프로덕션 배포를 위해 관리 ID 를 페더레이션 ID 자격 증명(FIC)으로 사용하는 것이 좋습니다. 관리 ID를 사용하면 자격 증명을 관리할 필요 없이 Microsoft Entra 토큰을 가져올 수 있습니다. 자세한 내용은 Azure 리소스에 대한 관리 ID 참조하세요.
앱 자격 증명에는 keyCredentials 및 passwordCredentials와 같은 다른 종류도 지원되지만, 프로덕션에는 권장되지 않습니다. 로컬 개발 및 테스트 또는 관리 ID가 작동하지 않는 위치에 편리할 수 있지만 이러한 옵션은 보안 모범 사례와 일치하지 않습니다. 자세한 내용은 애플리케이션 속성에 대한 보안 모범 사례를 참조하세요.
관리 ID를 사용하려면 가상 머신 또는 Azure App Service 같은 Azure 서비스에서 코드를 실행해야 합니다. 로컬 개발 및 테스트의 경우 클라이언트 암호 또는 인증서를 사용합니다.
이 요청을 보내려면 다음을 수행합니다.
-
AgentIdentityBlueprint.AddRemoveCreds.All권한이 필요합니다. -
<agent-blueprint-id>자리 표시자를 에이전트 아이디 청사진의appId로 바꿉니다. -
<managed-identity-principal-id>자리 표시자를 관리 ID의 ID로 바꿉니다.
다음 요청을 사용하여 관리 ID를 자격 증명으로 추가합니다.
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/federatedIdentityCredentials
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"name": "my-managed-identity",
"issuer": "https://login.microsoftonline.com/<your-tenant-id>/v2.0",
"subject": "<managed-identity-principal-id>",
"audiences": [
"api://AzureADTokenExchange"
]
}
기타 앱 자격 증명
관리 ID가 작동하지 않거나 테스트를 위해 청사진을 로컬로 만드는 시나리오의 경우 다음 단계를 사용하여 자격 증명을 추가합니다.
이 요청을 보내려면 먼저 위임된 권한으로 액세스 토큰을 가져와야 합니다. AgentIdentityBlueprint.AddRemoveCreds.All
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/addPassword
Content-Type: application/json
Authorization: Bearer <token>
{
"passwordCredential": {
"displayName": "My Secret",
"endDateTime": "2026-08-05T23:59:59Z"
}
}
메모
테넌트에는 클라이언트 비밀의 최대 수명을 제한하는 자격 증명 수명 주기 정책이 있을 수 있습니다. 자격 증명 수명에 대한 오류가 표시되면 조직의 정책에 맞게 endDateTime 값을 줄이십시오.
생성된 passwordCredential 값을 안전하게 저장해야 합니다. 초기 생성 후에는 볼 수 없습니다. 클라이언트 인증서를 자격 증명으로 사용할 수도 있습니다. 인증서 자격 증명 추가를 참조하세요.
청사진을 사용하여 만든 에이전트가 사용자를 대신하여 에이전트가 작동하는 대화형 에이전트를 지원하는 경우, 에이전트 프런트 엔드가 에이전트 백 엔드에 액세스 토큰을 전달할 수 있도록 청사진이 범위를 노출해야 합니다. 그런 다음 에이전트 백 엔드에서 이 토큰을 사용하여 사용자를 대신하여 작업할 액세스 토큰을 가져올 수 있습니다.
식별자 URI 및 범위 구성
사용자 및 웹 API와 같은 다른 에이전트로부터 들어오는 요청을 받으려면 에이전트 ID 청사진에 대한 식별자 URI 및 OAuth 범위를 정의해야 합니다.
이 요청을 보내려면 다음을 수행합니다.
- 사용 권한이
AgentIdentityBlueprint.UpdateAuthProperties.All필요합니다. -
<agent-blueprint-id>자리 표시자를 에이전트 아이디 청사진의appId로 바꿉니다. - GUID(Globally Unique Identifier)가 필요합니다. PowerShell에서
[guid]::NewGuid()을 실행하거나 온라인 GUID 생성기를 사용합니다. 생성된 GUID를 복사하여<generate-a-guid>자리 표시자를 대체하는 데 사용하십시오.
PATCH https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"identifierUris": ["api://<agent-blueprint-id>"],
"api": {
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the application to access the agent on behalf of the signed-in user.",
"adminConsentDisplayName": "Access agent",
"id": "<generate-a-guid>",
"isEnabled": true,
"type": "User",
"value": "access_agent"
}
]
}
}
호출이 성공하면 204 응답이 생성됩니다.
에이전트 블루프린트 주요 요소 만들기
이 단계에서는 에이전트 ID 구조에 대한 주체를 생성합니다. 자세한 내용은 에이전트 ID, 서비스 주체 및 애플리케이션을 참조하세요.
<agent-blueprint-app-id> 자리 표시자를 이전 단계의 결과에서 복사한 개체 틀로 appId 바꿉다.
POST https://graph.microsoft.com/v1.0/serviceprincipals/microsoft.graph.agentIdentityBlueprintPrincipal
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"appId": "<agent-blueprint-app-id>"
}
이제 에이전트 청사진이 준비되었으며 Microsoft Entra 관리 센터 표시됩니다. 다음 단계에서는 이 청사진을 사용하여 에이전트 ID를 만듭니다.
에이전트 365 레지스트리에 에이전트 등록
에이전트 ID 청사진을 만든 후 관리자가 Microsoft 365 관리 센터 에이전트를 검색, 관리 및 관리할 수 있도록 Agent 365 레지스트리에 등록합니다. 또한 이 섹션에서는 에이전트 365 레지스트리에 현재 표시되지 않을 수 있는 기존 에이전트 ID 청사진을 추가하는 지침을 제공합니다.
Microsoft 365 에이전트 SDK 사용(권장)
이제 Microsoft 365 에이전트 SDK 일반 공급되며 에이전트를 빌드하고 프로비전하는 권장 방법입니다. SDK SDK는 에이전트 365 레지스트리에서 에이전트 ID 생성 및 등록을 처리하므로 에이전트 ID는 추가 코드 없이 자동으로 표시됩니다. 새 에이전트 프로젝트를 시작하거나 기존 코드를 마이그레이션할 수 있는 유연성이 있는 경우 SDK를 사용합니다. 가장 간단하고 내구성이 뛰어난 경로이며 여러 API 호출을 직접 조정할 필요가 없습니다.
에이전트 365 CLI 사용
에이전트 365 CLI는 에이전트 등록을 포함하여 설치를 처리하는 또 다른 옵션입니다. 권장 실행 순서를 사용하여 설정 지침을 따릅니다. 다음 명령을 사용합니다.
a365 setup all
등록에 실패하면 전체 프로세스를 거치지 않고도 등록 단계만 다시 실행할 수 있습니다. 다음 명령을 사용합니다.
a365 setup all --agent-registration-only
에이전트 레지스트리 API를 직접 호출합니다.
Microsoft Graph API 사용하여 프로그래밍 방식으로 에이전트 ID 청사진을 만들어야 하는 경우(예: 즉시 변경할 수 없는 기존 ID 발급 워크플로가 있기 때문에) 에이전트 레지스트리 API 이후에 에이전트 ID 청사진을 만들어 해당 에이전트 카드를 게시하는 명시적 호출을 추가해야 합니다. 이 단계에서는 에이전트 카드를 에이전트 365 레지스트리에 등록하여 관리자에게 표시됩니다.
- 이전 섹션과 같이 Microsoft Graph API 사용하여 에이전트 ID 청사진을 만듭니다.
- 에이전트 레지스트리 API를 즉시 호출하여 관리자가 관리하는 데 필요한 메타데이터를 포함하여 해당 에이전트 카드를 게시합니다.
- 두 호출 패턴을 재시도로 안전하게 처리하여, 두 호출 중 어느 하나의 일시적인 오류가 발생해도 환경이 복구 가능한 상태로 유지되도록 합니다.
요청 및 응답 스키마, 필요한 권한 및 코드 샘플은 에이전트 레지스트리 API 참조를 참조하세요.
Tip
에이전트 365 레지스트리에 표시되지 않는 기존 에이전트 ID 청사진이 있는 경우 에이전트 레지스트리 API를 사용하여 등록합니다. 에이전트 ID 청사진의 경우 일괄 처리 엔드포인트를 사용합니다. 자세한 내용은 Agent Registry convergence with Microsoft Agent 365 참조하세요.
에이전트 365 레지스트리에 없는 기존 에이전트 ID 청사진
이전에 Microsoft Entra 에이전트 ID Graph API 사용하여 만들었지만 현재 에이전트 365 레지스트리에 표시되지 않는 에이전트 ID 청사진의 경우 에이전트 레지스트리 API를 사용하여 등록할 수 있습니다. 이 단계에서는 에이전트 365 레지스트리에 표시되도록 합니다.
에이전트 식별 청사진 삭제
에이전트가 서비스 해제되면 연결된 에이전트 식별 청사진을 삭제합니다. 청사진을 삭제하면 모든 자식 에이전트 ID 및 에이전트의 사용자 계정이 자동으로 정리됩니다. 단계별 삭제 및 복원 지침은 에이전트 ID 개체 삭제 및 복원을 참조하세요.