Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Um blueprint de identidade de agente é usado para criar identidades de agentes e tokens de requisição usando essas identidades. Durante o processo de criação de um plano de identidade para agente, define o proprietário e o patrocinador desse projeto, para estabelecer responsabilidade e relações administrativas. Também configura um URI de identificador e define um âmbito para agentes criados a partir deste blueprint, se o agente for projetado para receber pedidos de entrada de outros agentes e utilizadores.
Pode criar um blueprint de identidade de agente de duas formas:
- centro de administração Microsoft Entra — Usa o assistente para uma configuração rápida que cria o blueprint e o seu princípio.
- Microsoft Graph API ou PowerShell — Criar e configurar totalmente o blueprint de forma programática, incluindo credenciais, URIs de identificadores, scopes e o principal do blueprint num único fluxo de trabalho.
Pré-requisitos
Para criar um plano de identidade de agente, precisa de:
- Administrador de Funções Privilegiadas é a função de menor privilégio exigida para conceder permissões de Aplicação do Microsoft Graph.
- Cloud Application Administrator ou Application Administrator é obrigado a conceder permissões Microsoft Graph delegadas.
- Tanto os papéis de Desenvolvedor de ID de Agente como de Administrador de ID de Agente podem criar modelos de identidade de agente e principais de modelo de identidade de agente.
- O Agent ID Developer pode configurar credenciais de identidade federadas num blueprint de identidade de agente.
- O Administrador de ID de Agente pode configurar credenciais de identidade federadas num blueprint de identidade de agente e é obrigado a adicionar uma credencial secreta ou de certificado.
- Se usar PowerShell, é necessária a versão 7.
Observação
Os proprietários de um blueprint de identidade de agente ou um principal de blueprint de identidade de agente podem criar identidades de agente para esse blueprint sem uma função de ID de Agente do Microsoft Entra. Os criadores de blueprints de identidade de agente são automaticamente definidos como proprietários tanto do blueprint como da entidade principal associada ao blueprint de identidade do agente.
Prepare seu ambiente
Para simplificar o processo, reserve alguns minutos para configurar o seu ambiente para as permissões corretas.
Autorizar um cliente a criar esquemas de identidade de agente
Neste artigo, utiliza o Microsoft Graph PowerShell ou outro cliente para criar o seu blueprint de identidade de agente. Deve autorizar este cliente a criar e configurar um modelo de identidade de agente e criar um principal de modelo de identidade de agente. O cliente requer as seguintes permissões Microsoft Graph:
- AgentIdentityBlueprint.Create permissão delegada
- AgentIdentityBlueprint.AddRemoveCreds.All autorização delegada
- AgentIdentityBlueprint.UpdateAuthProperties.All permissão delegada
- AgentIdentityBlueprintPrincipal.Create permissão delegada
Os passos deste guia usam todas as permissões delegadas, mas pode usar permissões de aplicação para os cenários que as exigem.
Para se ligar a todos os escopos necessários para o Microsoft Graph PowerShell, execute o seguinte comando:
Connect-MgGraph -Scopes "AgentIdentityBlueprint.Create", "AgentIdentityBlueprint.AddRemoveCreds.All", "AgentIdentityBlueprint.UpdateAuthProperties.All", "AgentIdentityBlueprintPrincipal.Create", "User.Read" -TenantId <your-tenant-id>
Crie um plano de identidade de agente
Os esquemas de identidade do agente devem ter um patrocinador, sendo o utilizador ou grupo suportado que assume a responsabilidade pelo agente. Recomenda-se um proprietário, que é o utilizador ou a entidade de serviço que pode fazer alterações ao modelo de identidade do agente. Para informações, consulte Relações administrativas em ID do Agente Microsoft Entra.
Utilize o centro de administração do Microsoft Entra
Pode criar um blueprint de identidade de agente diretamente no centro de administração Microsoft Entra. O assistente do centro de administração cria automaticamente tanto o blueprint de identidade do agente como o elemento principal do blueprint.
Observação
O assistente do centro de administração define o nome do plano e atribui proprietários e patrocinadores. Para configurar credenciais, URIs de identificação, scopes ou permissões, utilize a Microsoft Graph API ou PowerShell, ou configure-os após a criação através das páginas de detalhe do blueprint no centro de administração.
Aceda a Entra ID>Agentes>Modelos de agentes.
Selecionar plano do novo agente (Pré-visualização).
No separador Básicos, introduza um nome no campo Nome do blueprint do agente e selecione Seguinte.
No separador Proprietários & Patrocinadores , opcionalmente altere ou adicione proprietários e patrocinadores para o blueprint:
- Selecione o ícone de lápis ao lado do campo Proprietários para alterar ou adicionar utilizadores que possam gerir o blueprint.
- Selecione o ícone do lápis ao lado do campo Patrocinadores para alterar ou adicionar utilizadores que possam patrocinar o blueprint.
Observação
Os patrocinadores podem ser utilizadores, grupos dinâmicos de membros ou grupos Microsoft 365. Grupos de segurança e grupos atribuídos a funções não são apoiados como patrocinadores.
Selecione Seguinte.
Revise as suas definições e depois selecione Criar.
Selecione Feito para sair do assistente ou Vá ao plano do agente para ver a página detalhada do projeto ou configurar mais definições.
Para mais informações sobre gestão de blueprints de identidade de agente, consulte Gerenciar blueprints de identidade de agente.
Criar programaticamente
Para criar um blueprint de identidade de agente usando código, use a Microsoft Graph API ou o PowerShell.
Esta etapa cria o plano de identidade do agente, atribui um proprietário e um patrocinador, e requer os seguintes detalhes:
- A
AgentIdentityBlueprint.Createpermissão. - O cabeçalho OData-Version deve ser definido para 4.0.
- Um ID de utilizador para os campos proprietário e patrocinador no corpo do pedido de exemplo. É necessário um patrocinador, mas um proprietário é opcional.
POST https://graph.microsoft.com/v1.0/applications/
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"@odata.type": "Microsoft.Graph.AgentIdentityBlueprint",
"displayName": "My Agent Identity Blueprint",
"sponsors@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>",
],
"owners@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>"
],
}
Depois de criar o esquema de identidade do agente, registe o valor do appId para o passo seguinte.
Configurar credenciais para o plano de identidade do agente
Para solicitar tokens de acesso usando o plano de identidade do agente, deve adicionar uma credencial de cliente. Recomendamos o uso de uma identidade gerida como credencial federada de identidade (FIC) para implementações em produção. As identidades geridas permitem-lhe obter tokens Microsoft Entra sem ter de gerir quaisquer credenciais. Para mais informações, consulte Identidades geridas para recursos Azure.
Outros tipos de credenciais de aplicação, incluindo keyCredentials e passwordCredentials são suportados, mas não recomendados para produção. Podem ser convenientes para desenvolvimento e testes locais ou onde identidades geridas não funcionam, mas estas opções não estão alinhadas com as melhores práticas de segurança. Para mais informações, consulte as melhores práticas de segurança para propriedades de aplicação.
Tenha em mente que, para usar uma identidade gerida, deve executar o seu código num serviço Azure, como uma máquina virtual ou Serviço de Aplicações do Azure. Para desenvolvimento e testes locais, utilize um client secret ou certificado.
Para enviar este pedido:
- Precisa da permissão
AgentIdentityBlueprint.AddRemoveCreds.All. - Substitua o
<agent-blueprint-id>marcador peloappIddo blueprint de identidade do agente. - Substitua o
<managed-identity-principal-id>marcador pelo ID da sua identidade gerida.
Adicione uma identidade gerida como credencial usando o seguinte pedido:
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/federatedIdentityCredentials
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"name": "my-managed-identity",
"issuer": "https://login.microsoftonline.com/<your-tenant-id>/v2.0",
"subject": "<managed-identity-principal-id>",
"audiences": [
"api://AzureADTokenExchange"
]
}
Outras credenciais da aplicação
Para cenários em que as identidades geridas não funcionam ou se estiver a criar um blueprint localmente para testes, use os seguintes passos para adicionar as credenciais.
Para enviar este pedido, primeiro precisa de obter um token de acesso com a permissão delegada AgentIdentityBlueprint.AddRemoveCreds.All
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/addPassword
Content-Type: application/json
Authorization: Bearer <token>
{
"passwordCredential": {
"displayName": "My Secret",
"endDateTime": "2026-08-05T23:59:59Z"
}
}
Observação
O seu inquilino pode ter políticas de ciclo de vida das credenciais que limitam a vida máxima dos segredos dos clientes. Se receber um erro sobre a duração da credencial, reduza o endDateTime valor para alinhar com a política da sua organização.
Certifique-se de armazenar de forma segura os passwordCredential valores gerados. Não pode ser visualizado após a criação inicial. Também pode usar certificados de cliente como credenciais; ver Adicionar uma credencial de certificado.
Se os agentes criados com o modelo suportarem agentes interativos, onde o agente atua em nome de um utilizador, o seu modelo deve expor um escopo para que o front-end do agente possa passar um token de acesso ao back-end do agente. Este token pode então ser utilizado pelo sistema de backend do agente para obter um token de acesso que permita agir em nome do utilizador.
Configurar identificador, URI e âmbito
Para receber pedidos recebidos de utilizadores e outros agentes, como em qualquer API web, é necessário definir um URI de identificador e um âmbito OAuth para o blueprint de identidade do seu agente:
Para enviar este pedido:
- Precisas da permissão
AgentIdentityBlueprint.UpdateAuthProperties.All. - Substitua o
<agent-blueprint-id>marcador peloappIddo blueprint de identidade do agente. - Precisa de um Identificador Globalmente Único (GUID). No PowerShell, executa
[guid]::NewGuid()ou usa um gerador GUID online. Copia o GUID gerado e usa-o para substituir o<generate-a-guid>marcador de posição.
PATCH https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"identifierUris": ["api://<agent-blueprint-id>"],
"api": {
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the application to access the agent on behalf of the signed-in user.",
"adminConsentDisplayName": "Access agent",
"id": "<generate-a-guid>",
"isEnabled": true,
"type": "User",
"value": "access_agent"
}
]
}
}
Uma chamada bem-sucedida gera uma resposta 204.
Crie um blueprint principal de agente
Neste passo, cria uma entidade principal para o plano de identidade do agente. Para mais informações, consulte Identidades de agentes, princípios de serviço e aplicações.
Substitua o <agent-blueprint-app-id> marcador pelo appId que copiou dos resultados do passo anterior.
POST https://graph.microsoft.com/v1.0/serviceprincipals/microsoft.graph.agentIdentityBlueprintPrincipal
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"appId": "<agent-blueprint-app-id>"
}
O seu plano do agente está agora pronto e visível no centro de administração Microsoft Entra. No passo seguinte, vais usar este blueprint para criar as identidades dos agentes.
Eliminar um blueprint de identidade de agente
Quando um agente é desativado, elimine o modelo de identidade associado ao agente. Eliminar o modelo aciona a limpeza automática de todas as identidades dos agentes subordinados e das contas de utilizador dos agentes. Para instruções de eliminação e restauração passo a passo, veja Eliminar e restaurar objetos identidade do agente.