Microsoft Entra 에이전트 ID 대한 질문과 대답

/ownedObjects, /deletedItems 및 /owners 같은 에이전트 ID와 관련된 관계를 지원하는 Microsoft Graph API는 엔터티 형식별 필터링을 지원하지 않습니다. 기존 API를 사용하고 odata.type 속성을 사용하여 클라이언트 쪽에서 결과를 필터링하여 응답에서 에이전트 식별 개체를 식별합니다.

에이전트 ID 청사진 또는 에이전트 ID가 삭제되면 연결된 에이전트의 사용자 계정이 테넌트에 유지됩니다. 비활성화되거나 삭제된 것으로 표시되지 않지만, 인증은 불가능합니다. Microsoft Graph API 또는 Microsoft Entra PowerShell을 사용하여 분리된 에이전트의 사용자 계정을 수동으로 삭제합니다.

Microsoft Graph API를 사용하여 에이전트 ID 개체를 빠르게 연속해서 만들 때 400 Bad Request: Object with id {id} not found 같은 오류로 요청이 실패할 수 있습니다. 이 동작을 트리거하는 일반적인 시퀀스는 다음과 같습니다.

• 에이전트 아이덴티티 청사진을 만든 다음, 청사진 주요 요소를 즉시 만듭니다.
• 청사진 주체를 만든 다음, 청사진을 즉시 사용하여 에이전트 식별자를 만듭니다.
• 에이전트 ID를 만든 다음 에이전트의 사용자 계정을 즉시 만듭니다.

이러한 오류는 앱 전용 권한을 사용할 때 더 일반적입니다. 가능한 경우 위임된 권한을 사용하고 요청에 지수 백오프를 사용하여 재시도 논리를 추가합니다.

에이전트 ID 블루프린트에는 다음과 같은 제한 사항이 적용됩니다.

• 앱 전용 권한을 사용하는 비 Microsoft 관리 플랫폼은 청사진당 250개의 에이전트 ID로 제한됩니다. 위임된 호출 및 Microsoft 소유 플랫폼(Foundry, Copilot Studio)은 이 한도의 적용을 받지 않습니다.
• 관리자가 아닌 사용자는 모든 Microsoft Entra 리소스 유형에 적용되는 Microsoft Entra ID 기존의 250개 소유 개체 제한이 적용됩니다.
• 청사진은 테넌트의 전체 리소스 할당량 중 95%를 초과할 수 없습니다. 자세한 내용은 리소스Microsoft Entra 서비스 제한 행을 참조하세요.

에이전트 신원 청사진 승인을 위한 기본 제공 알림 시스템은 없습니다. 테넌트 관리자가 에이전트에 대한 에이전트 ID 청사진을 만들거나 승인하는 경우 Microsoft Entra 또는 Microsoft Graph 통해 알림을 받지 않습니다.

청사진이 특정 테넌트에서 승인되었는지 확인하려면 Microsoft Graph API에서 애플리케이션에 연결된 청사진 주요 개체를 쿼리하십시오. 관리자가 청사진을 아직 승인하지 않은 경우 쿼리는 해당 테넌트에 대한 결과를 반환하지 않습니다.

사용자 지정 역할 정의는 에이전트 ID를 관리하기 위한 작업을 지원하지 않습니다. 모든 에이전트 ID 관리에 기본 제공 에이전트 ID 관리자 및 에이전트 ID 개발자 역할을 사용합니다.

에이전트 ID, 에이전트 ID 청사진 및 에이전트 ID 청사진 보안 주체는 관리 단위에 추가할 수 없습니다. owners 에이전트 ID의 속성을 사용하여 특정 개체를 관리할 수 있는 사용자를 제한합니다.

에이전트 ID 관리자 역할에는 에이전트의 사용자 계정에 대한 사진을 업데이트할 수 있는 권한이 없습니다. 이 작업에는 사용자 관리자 역할을 사용합니다.

동적 그룹 멤버 자격 규칙은 에이전트의 사용자 계정을 대상으로 지정하는 것을 지원하지 않습니다. 할당된 그룹을 사용하여 에이전트의 사용자 계정의 그룹 멤버 자격을 관리합니다.

에이전트 ID는 Microsoft Entra ID 로그인 페이지에 로그인할 수 없으므로 OpenID Connect 또는 SAML 프로토콜에서 Single Sign-On을 사용할 수 없습니다. 이용 가능한 웹 API를 활용해 에이전트를 직장 앱 및 서비스와 통합하세요.

Microsoft Entra ID admin 동의 워크플로 에이전트 ID에서 요청한 권한에 대해 제대로 작동하지 않습니다. 사용자는 Microsoft Entra 테넌트 관리자에게 문의하여 에이전트 ID에 직접 권한을 부여하도록 요청해야 합니다.

위험 기반 인증 단계 증가는 에이전트 신원 동의 절차에 강제 적용됩니다. 사용자의 동의가 차단되면 해결 방법이 없습니다. 동의를 진행하려면 먼저 플래그가 지정된 위험을 해결해야 합니다.

감사 로그는 기본적으로 다른 Microsoft Entra ID 유형과 에이전트 ID를 구분하지 않습니다.

• 에이전트 ID, 청사진 및 청사진 보안 주체에 대한 작업은 ApplicationManagement 범주에 기록됩니다.
• 에이전트의 사용자 계정에 대한 작업은 사용자 관리 범주에 기록됩니다.
• 에이전트 ID에 의해 시작된 작업은 서비스 주체로 표시됩니다.
• 에이전트의 사용자 계정에서 시작된 작업은 사용자로 표시됩니다.

에이전트 ID 관련 활동을 식별하려면 감사 로그의 개체 ID를 사용하여 Microsoft Graph 쿼리하고 엔터티 유형을 확인합니다. 로그인 로그 상관 관계 ID를 사용하여 활동과 관련된 행위자 또는 주체의 ID를 찾을 수도 있습니다.

Microsoft Graph 활동 로그는 현재 에이전트 ID를 다른 ID 형식과 분리하지 않습니다.

• 에이전트 신원으로부터의 요청은 애플리케이션으로 기록되며, 에이전트 신원은 appID 열에 포함됩니다.
• 에이전트 사용자 계정의 요청은 UserID 열에 에이전트 사용자 ID를 사용하여 사용자로 기록됩니다.

Microsoft Entra 로그인 로그와 조인하여 엔터티 유형을 확인합니다.

사용하는 SDK는 시나리오에 따라 달라집니다.

Microsoft 에이전트 365 CLI 및 SDK는 대부분의 개발자에게 권장되는 시작점입니다. CLI는 단일 명령에서 에이전트 ID 프로비저닝, 청사진 만들기 및 권한 배선을 처리합니다. SDK는 런타임에 토큰 획득을 처리합니다. 자세한 내용은 Microsoft Entra 에이전트 365 SDK 설명서 참조하세요.

Microsoft. Identity.Web은 .NET 애플리케이션에서 에이전트 ID에 대한 토큰을 획득하기 위한 더 높은 수준의 API를 제공합니다. Microsoft.Identity.Web.AgentIdentities 패키지를 사용하여 에이전트 ID 관리를 간소화합니다.

Microsoft Entra SDK 컨테이너는 Microsoft.Identity.Web을 사이드카 컨테이너로 배포된 웹 서비스로 래핑합니다. 에이전트가 Kubernetes에서 실행되거나 .NET 빌드되지 않은 경우 이 옵션을 사용합니다. 자세한 내용은 에이전트 ID에 대한 Microsoft Entra SDK 참조하세요.

Microsoft Graph API는 다른 옵션이 시나리오에 맞지 않는 경우 에이전트 ID 관리를 제공합니다. 자세한 내용은 에이전트 ID 청사진에 대한 Microsoft Graph API 참조하세요.