테넌트에서 에이전트 ID 비활성화

테넌트에서 에이전트 ID를 감독하는 IT 관리자로서 문제를 조사하거나 에이전트 사용량을 검토하기 위해 에이전트 활동을 일시적으로 중지해야 할 수 있습니다. 필요에 따라 테넌트에서 에이전트 ID 및 에이전트 ID 청사진을 사용하지 않도록 설정할 수 있습니다. 두 작업 모두 계속하기 전에 이해해야 하는 의미가 있습니다.

조직에서 테넌트에서 에이전트 ID를 만들거나 사용하지 못하도록 제한해야 하는 경우 조건부 액세스 정책을 구성하고 에이전트 만들기 권한을 제거할 수도 있습니다. 이러한 프로세스는 에이전트 ID를 사용하지 않도록 설정하는 다른 방법으로 사용될 수 있습니다. 이 문서에서는 에이전트 ID를 사용하지 않도록 설정하는 시나리오에 대해 설명합니다.

AI 에이전트에서 사용하는 ID 유형

Microsoft Entra 테넌트에는 Microsoft Entra 에이전트 ID가 있거나 없는 AI 에이전트가 포함될 수 있습니다.

• 에이전트 ID가 있는 에이전트: Microsoft Entra 에이전트 ID로 만들거나 Microsoft Copilot Studio, Azure AI Foundry 및 Security Copilot과 같은 시스템의 최신 버전의 반복을 사용하여 만든 에이전트는 에이전트 ID로 생성됩니다. 에이전트 ID에는 명확한 분류, 풍부한 메타데이터 및 AI 에이전트의 고유한 보안 문제를 해결하도록 설계된 기능이 있습니다.

• 에이전트 ID가 없는 에이전트: 이전 버전의 Copilot Studio 및 Azure AI Foundry 만든 에이전트는 테넌트에서 클래식 애플리케이션/서비스 주체로 만들어졌을 수 있습니다. 이러한 애플리케이션/서비스 주체에는 AI 에이전트로 나타내는 태그 값이 있을 수 있지만 Microsoft Entra 에이전트 ID는 없습니다. 테넌트의 다른 모든 애플리케이션/서비스 주체와 동일한 정책, 거버넌스 및 프로세스가 적용됩니다.

에이전트 신원 고려 사항 비활성화

테넌트에서 에이전트 ID를 사용하지 않도록 설정하면 단순히 새 AI 에이전트가 생성되거나 사용되지 않도록 중지하는 것보다 더 광범위한 결과가 발생할 수 있습니다. 계속하기 전에 다음 고려 사항을 평가합니다.

• 조직에서 실행 중인 기존 에이전트가 오류를 발생시키기 시작할 수 있습니다.
• 에이전트 ID 가용성(예: Copilot Studio 에이전트, 보안 Copilot 시나리오 에이전트, Microsoft Entra 조건부 액세스 최적화 에이전트)을 가정하는 Microsoft 제품 환경은 덜 투명한 애플리케이션 또는 서비스 주체 패턴으로 실패하거나 저하될 수 있습니다.
• 지원 또는 문제 해결: 에이전트 ID 누락으로 인해 기능이 조용히 실패하는 경우 기술 지원팀 및 SOC 팀은 티켓 증가를 받을 수 있습니다.
• 에이전트 ID를 차단하면 팀이 일반 애플리케이션 또는 서비스 주체 ID를 사용하여 에이전트를 빌드하도록 푸시하여 가시성을 줄이고 에이전트를 다른 소프트웨어 프로젝트와 구분하기가 더 어려워질 수 있습니다.

에이전트 ID 만들기 및 활동 모니터링

에이전트 ID 또는 에이전트 ID 청사진을 사용하지 않도록 설정하기 전에 해당 ID와 연결된 활동의 종류를 알고 있어야 합니다. 에이전트 ID 활동은 원래의 기본 ID 형식 아래에 기록됩니다. 예를 들어 에이전트 ID를 만들면 *서비스 주체 추가"로 표시되고 에이전트 ID 청사진을 추가하면 감사 로그에 애플리케이션 추가 로 표시됩니다.

감사 이벤트에 에이전트 ID가 포함되는지 확인하려면, initiatedBy 및 targetResources 필드의 agentType 속성을 점검하세요. notAgentic 값이 아닌 모든 값은 에이전트 참여를 나타냅니다.

리소스 유형 agentSignIn은 로그인 이벤트를 식별하고 주체적 성격으로 분류하는 설명 정보를 제공합니다. 이 값을 사용하면 에이전트 ID가 인증 이벤트에 관련된 ID의 하위 형식인 시기를 확인할 수 있습니다.

자세한 내용은 에이전트 로그인 로그를 참조하세요.

에이전트 ID를 사용하지 않도록 설정하는 방법

에이전트 활동을 검토한 후 시나리오와 일치하는 방법을 선택합니다. Microsoft Entra 관리 센터 에이전트를 사용하지 않도록 설정하면 개체 수준에서 적용되며, 다른 항목에 영향을 주지 않으면서 특정 청사진이나 에이전트를 대상으로 합니다. 조건부 액세스 정책은 에이전트 ID 또는 청사진을 수정하지 않고 광범위한 ID 범주에 대한 토큰 발급을 차단하는 테넌트 전체 적용입니다. 두 가지 방법을 결합할 수 있습니다. 테넌트에서 조건부 액세스 정책을 적용하려면 Microsoft Entra ID P1 라이선스가 필요합니다.

조건부 액세스 정책은 에이전트 ID의 인증 및 토큰 발급을 차단할 수 있습니다. 정책을 적용하면 기존 및 새 에이전트 ID가 인증되지 않지만 테넌트에서 에이전트 ID가 생성되는 것을 방지하지는 않습니다.

이러한 정책을 적용하기 전에 보고서 전용 모드 로 실행하여 영향을 이해하는 것이 좋습니다.

에이전트를 비활성화해야 하는 경우 Microsoft Entra 관리 센터에서 설정하세요.

• 에이전트 ID가 토큰을 수신하고 인증하지 못하도록 하려면 에이전트 ID와 해당 메타데이터를 테넌트에 유지해야 합니다.

다음과 같은 경우 조건부 액세스 정책을 사용합니다.

• 개별 개체를 수정하지 않고도 만들지 않은 ID를 포함하여 테넌트의 모든 에이전트 ID가 인증되지 않도록 방지하려고 합니다.
  • 정책 1: 에이전트 ID 인증을 차단합니다.
• 사용자를 대신하여 작동하는 에이전트가 에이전트 ID 개체 자체를 비활성화하지 않고 토큰(예: 위임된 작업을 수행하는 에이전트)을 수신하지 못하도록 방지하려고 합니다.
  • 정책 2: 에이전트의 사용자 계정 인증을 차단합니다.
• 에이전트 간의 상호작용 및 자율 흐름에는 영향을 주지 않으면서, 인간 사용자가 에이전트에 로그인하거나 에이전트 작업을 수행하지 못하도록 방지하려고 합니다.
  • 정책 3: 에이전트에 로그인하는 사용자를 차단합니다.
• 규정 준수 또는 인시던트 대응을 위해 모든 에이전트 인증에 대해 일시적, 되돌릴 수 있는 테넌트 차원의 보류를 적용하고, 먼저 보고서 전용 모드에서 세 가지 정책을 모두 적용한 다음, 적용해야 합니다.

Microsoft Entra 관리자 센터에서 에이전트 ID와 에이전트 ID 설계도를 비활성화하십시오.

에이전트 ID를 사용하지 않도록 설정하려면 다음을 수행합니다.

1. Microsoft Entra 관리 센터에 적어도 Agent ID 관리자로서 로그인하십시오.
2. Entra ID>Agents>Agent ID로 찾습니다.
3. 사용하지 않도록 설정할 에이전트 ID를 선택한 다음, 사용 안 함을 선택합니다.

에이전트 ID 청사진을 사용하지 않도록 설정하려면 다음을 수행합니다.

1. Microsoft Entra 관리 센터에 최소한 Agent ID 관리자로 로그인합니다.
2. Entra ID>Agents>Agent 청사진으로 이동하세요.
3. 비활성화하려는 에이전트 ID 청사진을 선택하고 나서 사용 안 함을 선택합니다.

에이전트 활동을 사용하지 않도록 설정하는 조건부 액세스 정책 만들기

토큰 발급을 차단하거나 사용자가 에이전트에 로그인하지 못하도록 하는 데 사용할 수 있는 세 가지 정책 템플릿이 있습니다. 이러한 정책은 Microsoft Entra 관리 센터 또는 Microsoft Graph API 통해 만들 수 있습니다. 이러한 정책을 적용하기 전에 먼저 보고서 전용 모드로 적용하여 영향을 이해하는 것이 좋습니다.

• 조건부 액세스 > 정책 1을 사용하여 에이전트 ID에 대한 토큰 발급 차단: 에이전트 ID 인증 차단
• 조건부 액세스 > 정책 2를 사용하여 에이전트의 사용자 계정에 대한 토큰 발급 차단: 에이전트의 사용자 계정 인증 차단
• 조건부 액세스 > 정책 3을 사용하여 에이전트에 로그인하는 사용자 차단: 에이전트에 로그인하는 사용자 차단

정책 1: 에이전트 ID 인증 차단

다음 단계는 에이전트 ID를 사용하여 요청된 액세스 토큰의 발급을 차단하는 조건부 액세스 정책을 만드는 데 도움이 됩니다.

POST https://graph.microsoft.com/beta/identity/conditionalAccess/policies
Content-type: application/json

{
    "displayName": "Block all agent identities from accessing resources",
    "conditions": {
        "clientApplications": {
            "includeAgentIdServicePrincipals": [
                "All"
            ],
            "excludeAgentIdServicePrincipals": [],
            "agentIdServicePrincipalFilter": null
        },
        "applications": {
            "includeApplications": [
                "All"
            ],
            "excludeApplications": []
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "block"
        ]
    },
    "state": "enabledForReportingButNotEnforced"
}

정책 2: 에이전트의 사용자 계정 인증 차단

다음 단계는 에이전트의 사용자 계정을 사용하여 요청된 액세스 토큰의 발급을 차단하는 조건부 액세스 정책을 만드는 데 도움이 됩니다.

POST https://graph.microsoft.com/beta/identity/conditionalAccess/policies
Content-type: application/json

{
    "displayName": "Block all agent users from accessing resources",
    "conditions": {
        "users": {
            "includeUsers": [
                "AllAgentIdUsers"
            ]
        },
        "applications": {
            "includeApplications": [
                "All"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "block"
        ]
    },
    "state": "enabledForReportingButNotEnforced"
}

정책 3: 에이전트에 로그인하는 사용자 차단

다음 단계는 사용자 요청 시 에이전트 리소스에 대한 액세스 토큰 발급을 차단하는 조건부 액세스 정책을 만드는 데 도움이 됩니다. 이 기능은 인간 사용자가 에이전트에 로그인하거나 에이전트가 인간 사용자를 대신하여 작업을 수행하는 것을 차단합니다.

POST https://graph.microsoft.com/beta/identity/conditionalAccess/policies
Content-type: application/json

{
    "displayName": "Block all users from accessing agent resources",
    "conditions": {
        "users": {
            "includeUsers": [
                "All"
            ]
        },
        "applications": {
            "includeApplications": [
                "AllAgentIdResources"
            ],
            "excludeApplications": []
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "block"
        ]
    },
    "state": "enabledForReportingButNotEnforced"
}

(선택 사항) 에이전트 ID 만들기 차단

조건부 액세스 정책은 새로 만든 에이전트 ID를 포함하여 테넌트에서 에이전트 ID의 모든 사용을 방지하기에 충분합니다. 테넌트에서 에이전트 ID가 생성되지 않도록 하려면 이 섹션의 단계를 수행합니다.

에이전트 신원은 다양한 경로를 통해 테넌트에 들어갈 수 있습니다. 자세한 내용은 에이전트 ID 만들기 채널을 참조하세요. 다음 메서드를 통해 에이전트 ID 생성을 차단할 수 있습니다.

• Microsoft Entra 관리 센터 및 기타 Microsoft Entra 환경에서 에이전트 ID 생성을 차단합니다.
• ISV(Independent Software Vendors)에서 에이전트 ID 획득을 차단합니다.
• Microsoft 제품 및 서비스에서 에이전트 신원 생성을 차단합니다.

Microsoft Entra ID 에이전트 ID 만들기 차단

사용자가 Microsoft Entra 관리 센터 및 기타 Microsoft Entra 환경에서 에이전트 ID를 만들지 못하도록 하려면 다음을 수행합니다.

1. 에이전트 ID 관리자 또는 에이전트 ID 개발자 기본 제공 역할에 대한 모든 적격 또는 활성 할당을 제거합니다.
2. 에이전트 ID를 만들 수 있도록 허용하는 서비스 주체에 부여된 oauth2PermissionGrants 또는 appRoleAssignments 를 제거합니다. 특정 사용 권한은 다음 표를 참조하세요.

이러한 사용 권한에 대한 자세한 내용은 Microsoft Graph 권한 참조 를 참조하세요.

ISV에서 에이전트 ID 획득 차단

ISV 에이전트 ID 청사진에 대한 동의를 부여하여 사용자가 에이전트 ID를 만들지 못하도록 하려면 Microsoft Entra 세팅을 사용하여 애플리케이션에 대한 사용자 동의 기능을 사용하지 않도록 설정합니다. 애플리케이션에 대한 동의를 부여하는 기능에도 영향을 주지 않고 사용자가 에이전트 ID에 동의를 부여하지 못하도록 하는 방법은 없습니다. 사용자 동의를 사용하지 않도록 설정하는 것은 광범위하며 사용자 동의 흐름에 종속된 합법적인 비 에이전트 SaaS 앱의 온보딩 및 기존 비 에이전트 앱에 대한 권한 부여를 차단합니다.

이 영향이 너무 높은 경우 사용자 동의를 사용하도록 설정하고 대신 조건부 액세스 블록 정책을 사용하여 승인되지 않은 ISV 에이전트 ID에 대한 토큰을 방지합니다.

Microsoft 제품 및 서비스에 의해 에이전트 ID 생성 차단

Microsoft 제품 및 서비스가 테넌트에서 에이전트 ID를 만들지 못하도록 차단하려면 각 Microsoft 제품에서 사용할 수 있는 설정을 사용해야 합니다.

Security Copilot

Security Copilot 에이전트 ID 생성을 사용하지 않도록 설정하려면 모든 SCU(Security Compute Unit) 용량을 삭제하여 Security Copilot 차단합니다. 이렇게 하면 에이전트와 보안 부조종사 자체가 모두 차단됩니다. 자세한 내용은 보안 부조종사 설명서를 참조하세요. 다음 역할이 있는 사용자는 SCU 용량을 만들어 Security Copilot를 다시 설정할 수 있습니다.

• 대금 청구 관리자
• Microsoft Entra 준수 관리자
• 글로벌 관리자
• Intune 관리자
• 보안 관리자
• Purview 준수 관리자
• Purview 데이터 거버넌스 관리자
• Purview 조직 관리.

보안 코필로트를 사용하지만 에이전트 생성을 차단하려면 차단하려는 에이전트 유형에 따라 다음 메서드를 사용할 수 있습니다.

• Microsoft 에이전트(예: Microsoft Entra 조건부 액세스 에이전트)를 차단하려면 관련 역할이 있는 사용자에게 각 에이전트를 사용하도록 설정하지 않도록 요청합니다. 현재 에이전트를 사용하도록 설정할 수 있는 역할에는 다음이 포함됩니다.
  • 보안 관리자
  • 아이덴티티 거버넌스 관리자
  • 수명 주기 워크플로 관리자
  • Security Copilot 기여자
• 타사 에이전트(Microsoft가 소유하지 않은 에이전트)를 차단하려면 보안 공동 작업 영역의 소유자/기여자 역할에서 모든 사용자를 제거합니다.

Copilot Studio

Copilot Studio 사용 및 에이전트 ID 생성을 사용하지 않도록 설정하려면 라이선스, RBAC 또는 데이터 정책을 통해 에이전트 만들기를 제한할 수 있습니다.

• 라이센스:
  • 사용자가 Copilot Studio 무료 평가판에 등록하지 못하도록 합니다.
  • 사용자에게 Copilot Studio 라이선스를 할당하지 마세요.
• RBAC:
  • 사용자가 평가판에 등록하지 못하게 하여 평가판 환경의 생성을 방지합니다.
  • Copilot Studio 환경을 만들려면 Power Platform 관리자 역할이 필요합니다. 환경에 대한 액세스 및 새 환경을 만드는 기능을 제거합니다.
• 데이터 정책:
  • 에이전트가 게시되지 않도록 하는 정책을 적용하여 아무도 에이전트와 채팅할 수 없도록 합니다. 에이전트 생성을 차단 하지 는 않습니다.

데이터 정책을 사용하는 것이 좋습니다. 자세한 내용은 Copilot Studio 설명서를 참조하세요.

Azure AI Foundry (에이아이 파운드리)

에이전트 ID 생성을 사용하지 않도록 설정하고 사용자가 Azure AI Foundry 프로젝트 및 에이전트를 만들지 못하도록 하려면 무료 평가판 또는 종량제로 Azure 구독을 만드는 사용자 기능을 해제할 수 있습니다. 이렇게 하면 다음 설정이 적용됩니다.

• 청구 관리자 또는 계정 관리자 역할만 구독을 만들 수 있습니다.
• 구독 내에서 Azure AI 계정 소유자 역할만 Foundry 프로젝트를 만들 수 있습니다.
• 프로젝트 내에서 사용자는 에이전트를 만들 Azure AI 사용자 역할이 있어야 합니다.

사용자에게 이러한 역할을 할당하지 않으면 사용자는 에이전트 또는 에이전트 ID를 만들 수 없습니다.

자세한 내용은 여기에서 Azure AI Foundry 설명서를 참조하세요.

Microsoft 팀

Microsoft Teams 통해 에이전트 ID 생성을 사용하지 않도록 설정하려면 Teams 관리 센터의 설정을 사용합니다.

• 사용자가 Teams에 앱/에이전트를 추가하지 못하도록 합니다.
• Microsoft 앱, 타사 앱 또는 사용자 지정 앱으로 피벗합니다.
• 필요에 따라 특정 사용자/그룹에 대해 특정 앱/에이전트를 사용하도록 설정합니다.

자세한 내용은 Teams 관리 센터 설명서를 참조하세요.

관련 콘텐츠

• 에이전트 ID 삭제
• 에이전트 ID 만들기 및 삭제
• 에이전트 로그인 및 감사 로그
• 에이전트 ID 만들기 채널