Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A conta de utilizador do agente é um tipo de identidade especializado concebido para colmatar a lacuna entre agentes e capacidades do utilizador humano. A conta de utilizador do agente permite que aplicações alimentadas por IA interajam com sistemas e serviços que requerem identidades de utilizador, mantendo ao mesmo tempo limites de segurança e controlos de gestão adequados. Permite às organizações gerir o acesso do agente utilizando capacidades semelhantes às que fazem para utilizadores humanos.
Exemplo de cenários de conta de utilizador de agentes
Por vezes, não basta que um agente realize tarefas em nome de um utilizador ou opere como uma aplicação autónoma. Em certos cenários, um agente tem de atuar como utilizador, funcionando essencialmente como um trabalhador digital. Seguem-se cenários exemplos em que a conta de utilizador do agente seria aplicável:
- A organização precisa de colaboradores digitais de longo prazo que funcionem como membros da equipa, com caixas de correio, acesso a chat e inclusão nos sistemas de RH.
- O agente precisa de aceder a APIs ou recursos que só estão disponíveis para identidades de utilizador
- O agente precisa de participar em fluxos de trabalho colaborativos como membro da equipa
Por estas razões, a conta de utilizador do agente é criada. A conta de utilizador do agente é opcional e só deve ser criada para interações em que o agente precisa de atuar como utilizador ou aceder a recursos restritos a contas de utilizador.
A conta de utilizador do agente
A conta de utilizador do agente representa um subtipo de identidade de utilizador dentro do Microsoft Entra. Estas identidades são concebidas para permitir que as aplicações agente realizem ações em contextos onde é necessária uma identidade de utilizador. Ao contrário dos princípios de serviço não agentes ou das identidades de aplicações, a conta de utilizador do agente recebe tokens com claim idtyp=user, permitindo-lhe aceder a APIs e serviços que especificamente requerem identidades de utilizador. Também mantém restrições de segurança necessárias para identidades não humanas.
A conta de utilizador de um agente não é criada automaticamente. Requer um processo de criação explícito que o conecte à identidade do agente progenitor. Esta relação entre pais e filhos é fundamental para compreender como a conta de utilizador do agente funciona e está protegida no Microsoft Entra. Uma vez estabelecida, esta relação é imutável e serve como pedra angular do modelo de segurança para a conta de utilizador do agente. A relação é um mapeamento um-para-um (1:1). Cada identidade de agente pode ter, no máximo, a conta de utilizador de um agente associado, e a conta de utilizador de cada agente está ligada a exatamente uma identidade de agente principal, que por sua vez está ligada a uma aplicação blueprint de identidade de agente.
A conta de utilizador do agente:
- Também é criado usando um modelo de identidade de agente.
- Está sempre associado a uma identidade de agente específica, especificada aquando da criação.
- Tem identificadores únicos distintos, separados da identidade do agente.
- Só é possível autenticar-se ao apresentar um token emitido para a identidade do agente associado.
Relação entre a conta de utilizador do agente e a identidade do agente
O modelo de identidade do agente não tem permissão por padrão para criar a conta de utilizador do agente, porque esta capacidade é opcional e nem sempre necessária. É uma permissão que deve ser explicitamente concedida ao modelo de identidade do agente.
A conta de utilizador do agente é criada usando o modelo de identidade do agente. Quando recebe as permissões adequadas, o modelo de identidade do agente pode criar a conta de utilizador do agente e estabelecer uma relação hierárquica com uma identidade específica do agente. A identidade do agente é considerada o pai da conta de utilizador do agente.
Os administradores gerem o ciclo de vida da conta de utilizador de um agente. Um utilizador administrador pode eliminar a conta do agente assim que as suas funcionalidades deixarem de ser necessárias.
Modelo de autenticação e segurança
O modelo de autenticação para a conta de utilizador do agente difere significativamente das contas humano-utilizador:
Credenciais de identidade federada: A autenticação ocorre através das credenciais atribuídas à conta de utilizador do agente. Em sistemas de produção, utiliza-se Credenciais de Identidade Federada (FIC). Estas credenciais são usadas para autenticar tanto o blueprint de identidade do agente como a identidade do agente. A credencial atribuída ao utilizador é usada para autenticação em todo o ecossistema do agente.
Modelo de credencial restrita: A conta de utilizador do agente não tem credenciais normais como palavras-passe. Em vez disso, está restrito a usar as credenciais fornecidas pela sua relação de origem. Esta restrição às credenciais, juntamente com restrições ao login interativo, garante que a conta de utilizador do agente não pode ser usada como uma conta de utilizador padrão.
Mecanismo de personificação: A identidade associada do agente pode fazer-se passar pela conta de utilizador do seu agente filho. Permite que a lógica de negócio do pai obtenha tokens e atue como conta de utilizador do agente quando necessário.
Capacidades da conta de utilizador do agente
A conta de utilizador do agente possui capacidades que lhe permitem funcionar eficazmente no Microsoft 365 e noutros ambientes:
A conta de utilizador de um agente pode ser adicionada a grupos Microsoft Entra, incluindo grupos dinâmicos, permitindo-lhe herdar permissões concedidas a esses grupos. No entanto, não pode ser adicionado a grupos que podem ser atribuídos a papéis.
A conta de utilizador do agente pode aceder a recursos e utilizar outras funcionalidades colaborativas normalmente reservadas a utilizadores humanos.
A conta de utilizador do agente pode ser adicionada a unidades administrativas, de forma semelhante aos utilizadores humanos.
A conta de utilizador do agente pode receber licenças, o que é frequentemente necessário para o provisionamento dos recursos do Microsoft 365.
Restrições de segurança
A conta de utilizador do agente opera sob restrições de segurança específicas para garantir o uso adequado:
Limitações de credenciais: A conta de utilizador do agente não pode ter credenciais como palavras-passe ou chaves de acesso. O único tipo de credencial que suporta é a referência de identidade do agente ao seu pai. Portanto, mesmo que a conta de utilizador do agente se comporte como um utilizador, as suas credenciais são credenciais confidenciais do cliente.
Restrições de funções administrativas: A conta de utilizador do agente não pode ser atribuída a funções de administrador privilegiado. Esta limitação constitui uma importante barreira de segurança, impedindo a possível elevação de privilégios.
Modelo de permissões: A conta de utilizador do agente tem normalmente permissões semelhantes às dos utilizadores convidados, com mais capacidades para enumerar utilizadores e grupos. A conta de utilizador do agente não pode ser atribuída a funções privilegiadas de administrador. Grupos atribuíveis a funções personalizadas e atribuições de funções personalizadas não estão disponíveis para a conta de utilizador do agente. Para mais informações, consulte a referência das permissões do Microsoft Graph