Appregistrering, agentidentiteter och autentisering för Copilot Studio

Den här artikeln beskriver appregistrering, agentidentiteter och autentisering för Copilot Studio agenter.

Förstå agentidentiteter

Hur identifierar Copilot Studio agenter för autentisering?

Copilot Studio tilldelar varje agent en unik identifierare så att den kan kommunicera med kanaler (Teams, Omnichannel osv.) och tjänster. Copilot Studio skapar och hanterar dessa identiteter automatiskt.

Det finns två typer av agentidentiteter:

• Entra Agent-ID: Microsoft Entra tjänstens huvudnamn med undertypen "Agent". När du aktiverar Entra Agent Identity för en miljö tar nya agenter automatiskt emot Entra Agent-ID:n.

• App registrations (äldre): Befintliga agenter som du skapade innan du aktiverade Entra Agent Identity fortsätter att använda traditionella app registrations.

Viktigt: Agent-ID:n är tjänsthuvudprinciper med undertypen "Agent". Det underliggande OAuth-baserade autentiseringsflödet förblir detsamma. Agent-ID:er ger förbättrad styrningssynlighet och hanteringsfunktioner jämfört med traditionella appregistreringar.

Varför har min agent en identitet i Microsoft Entra ID?

Med agentidentiteter kan din agent autentiseras säkert när den kommunicerar med kanaler (Teams, Omnichannel med mera) och tjänster. Copilot Studio skapar och hanterar automatiskt dessa identiteter enligt Nulová dôvera (Zero Trust) säkerhetsprinciper.

Vad är skillnaden mellan Copilot Studio agenter och Agent Builder-agenter?

• Copilot Studio agenter: Ta emot Entra-agent-ID:er (eller appregistreringar för äldre agenter) för autentisering med kanaler och tjänster. Du kan aktivera Entra-agentidentitet på miljönivå i administrationscentret för Power Platform.

• Agent Builder-agenter: För närvarande använder eller kräver inte appregistrerings-ID:t eller agent-ID:t. Mer information finns i Agent Builder i Microsoft 365 Copilot.

Arbeta med agentidentiteter

Behöver jag skapa eller konfigurera en agentidentitet manuellt?

No. Copilot Studio hanterar agentidentiteter automatiskt:

• Nya agenter (när Entra-agentidentitet är aktiverad): Hämta automatiskt Entra-agent-ID:n
• Befintliga agenter: Fortsätt använda appregistreringar

Microsoft säkerhets- och efterlevnadsstandarder vägleder automatisk hantering av alla autentiseringsuppgifter. Du har fullständig synlighet och kontroll i Microsoft Entra administrationscenter, där du kan övervaka autentiseringsaktiviteten och hantera agentidentitetens livscykel.

Hur hittar jag vilken appregistrering eller agent-ID som tillhör min agent?

1. I Copilot Studio går du till Settings>Avancerad>Metadata.
2. Visa Entra agent-ID (GUID) för agenter med Entra-identiteter.
3. För äldre agenter med appregistreringar visas program-ID:t i samma avsnitt.
4. Använd detta GUID för att hitta identiteten i Microsoft Entra administrationscenter.

Kan jag ta med mitt eget agent-ID eller appregistrering?

No. För att säkerställa säkerhet, efterlevnad och integrering med kanaler och tjänster kräver Copilot Studio automatisk hantering.

Varför lägger Copilot Studio till agentägaren i agentidentiteten?

Copilot Studio lägger till agentägaren för att tillhandahålla:

• Styrningsspårning för varje agent
• Ansvar för agentens livscykel
• Anpassning till principer för organisationsägarskap

För Entra-agent-ID:er: Agentägaren läggs till som en sponsor med begränsad behörighet jämfört med fullständiga ägare, vilket minskar säkerhetsproblemen kring behörighetsändringar. Vissa befintliga agenter kanske inte har sponsorer ännu.

För äldre appregistreringar: Agentägaren läggs till som ägare av appregistreringen. Kontakta supporten för att välja bort att lägga till agentägaren.

Säkerhet och behörigheter

Vem kan generera token med hjälp av agentidentiteten?

För Entra-agent-ID:t

Ett Microsoft-ägt blueprint-huvud skapar och hanterar agentidentiteter med hjälp av federerade identitetsautentiseringsuppgifter. Ingen i din klientorganisation , inklusive klientadministratörer, kan generera token med hjälp av agentidentiteten. Microsoft har full kontroll över ritnings- och autentiseringsmekanismen.

För äldre appregistreringar

Användare med roller som global administratör, programadministratör eller molnprogramadministratör kan skapa klienthemligheter eller certifikat för alla appregistreringar i klientorganisationen utan att behöva ägarskap. Användare utan dessa roller måste beviljas ägarskap för den specifika appregistreringen för att skapa autentiseringsuppgifter som krävs för tokengenerering. Copilot Studio lägger inte till några API-omfång eller behörigheter till dessa appregistreringar, så token som genereras från dessa identiteter har ingen åtkomst till kunddata eller resurser.

Vilka behörigheter är kopplade till min agents Entra agent-ID?

När du publicerar en agent kopplar Copilot Studio API-behörigheter till agentens Entra agent-ID som representerar de Power Platform-anslutningsappar som agenten är konfigurerad att använda. De här behörighetsomfången beskriver endast åtkomst till anslutningsprogram. De är inte råa resursbehörigheter som Mail.Read eller Files.Read.All.

Hur omfången visas i Microsoft Entra ID

Varje anslutning har sitt eget tjänstens huvudnamn i din klientorganisation, till exempel Work IQ Calendar MCP Connector. Beroende på hur tillverkaren konfigurerar agenten beviljar anslutningsappens tjänsthuvudnamn en eller flera av följande behörigheter till agentens Entra agent-ID:

• Operations.Execute.All beviljas när agenten är konfigurerad att använda anslutningen på agentens nivå (verktygsnivå). Agenten kan anropa alla åtgärder som anslutningsappen exponerar.
• Enskilda åtgärdsomfång beviljas när tillverkaren har lagt till specifika anslutningsåtgärder i stället för hela anslutningsappen. Endast de åtgärder som agenten faktiskt använder är tillåtna.
• Azure API Connections Runtime.All används som en generisk reservlösning för anslutningar som inte definierar detaljerade behörighetsomfång.

Du kan granska dessa behörigheter för agentidentitetens tjänsthuvudnamn i Microsoft Entra administrationscenter under API-behörigheter.

Den här modellen ger Microsoft Entra ID och Microsoft 365 administratörer insyn i vad en agent kan göra. Administratörer behöver inte öppna administrationscentret för Power Platform, och den principstyrda anslutningsmodellen som leddes av tillverkaren finns kvar:

• Användare fortsätter att skapa anslutningar med anslutningsprogram som har godkänts i förväg enligt klientorganisationens Avancerade principer för anslutningsprogram (ACP) och principer för skydd mot dataförlust (DLP).
• Power Platform Connector-körningen respekterar endast dessa omfång. Vid körning verifierar anslutningsplattformen på nytt att agenten kan anropa anslutningsprogrammet enligt din klientorganisations ACP- och DLP-policyer. Om en angripare får en agents identitet kan angriparen inte använda dessa omfång för att anropa Microsoft Graph, Outlook eller något annat API direkt eftersom anslutningsplattformen förmedlar varje anrop och tillämpar dina styrningsprinciper.
• Eftersom scope-behörigheterna är inbyggda API-behörigheter i agentens Entra Agent-ID kan administratörer tillämpa Villkorsstyrd åtkomst i Microsoft Entra-principer på dem. Du kan till exempel kräva specifika nätverksplatser, enhetsefterlevnadstillstånd eller risknivåer innan token kan utfärdas för en viss anslutningsresurs på en agentidentitet. Villkorlig åtkomst framtvingas i dag endast när agenten körs i Microsoft Teams (se anteckningen i början av det här avsnittet).

Kort sagt beskriver behörighetsomfången vad en agent är konfigurerad för att göra, medan ACP och DLP avgör vad den får göra vid körningstillfället.

När behörighetsomfång läggs till eller tas bort

Omfång utvärderas och tillämpas när agenten publiceras. Om du lägger till eller tar bort en anslutning (eller en specifik anslutningsåtgärd) i agenten och publicerar agenten på nytt uppdateras omfången därefter.

Gäller detta för äldre appregistreringar?

No. Anslutningsomfång läggs endast till för Agent-ID:n i Entra. Äldre appregistreringar har fortfarande inga API-omfång kopplade, enligt beskrivningen i Vem kan generera token med agentidentiteten. Idag gäller det här beteendet för förstaparts- och certifierade Power Platform-anslutningsappar. anpassade anslutningsappar, MCP-servrar och REST API-verktyg som lagts till i agenter lägger inte till API-behörigheter i Entra agent-ID.

Entra-agentidentitet

Kan jag avanmäla mig från Entra-agentidentitet?

Ja, du kan för närvarande avregistrera dig på miljönivå i administrationscentret för Power Platform. Anvisningar finns i Skapa Entra-agentidentiteter automatiskt .

Vad händer med befintliga agenter när jag aktiverar Entra-agentidentitet?

Befintliga agenter som skapades innan Entra Agent Identity aktiverades fortsätter att använda appregistreringar. De kommer att migreras till agent-ID:er i framtiden.

Migreringsegenskaper:

• GUID-bevarande: Agentidentifierare förblir identiska (inga icke-bakåtkompatibla ändringar)
• Noll stilleståndstid: Agenter fortsätter att fungera under migreringen
• Automatisk: Ingen manuell åtgärd krävs
• Kanalkompatibilitet bibehålls: Teams, Omnichannel och funktioner fortsätter fungera

Ändrar aktivering av agent-ID hur min agent autentiseras?

No. Agent-ID:n är serviceprincipaler med en "Agent"-undertyp som använder samma OAuth-baserade autentiseringsflöden som traditionella appregistreringar. Förbättringen är styrningssynlighet – Agent-ID:t visas i Microsoft Entra administrationscenter med fler funktioner för livscykelhantering och övervakning.

Vad är ritningsprinciper?

När den första agentidentiteten skapas i en miljö lägger Copilot Studio till en Microsoft Copilot Studio agentidentitetsskiss till klientorganisationen. Det här skissobjektet har behörighet att skapa agentidentiteter och agentanvändare i klientorganisationen.

Detaljerad information, inklusive Blueprint-ID:n (produktion och test), finns i Understanding Blueprint Principals. Mer teknisk information finns i Hur skapas agentidentiteter?.

Varför kunde inte min agent skapas på grund av en Entra-kvot eller -gräns?

Varje Entra agent-ID som Copilot Studio skapar är ett katalogobjekt i klientorganisationen och räknas mot klientorganisationens resurskvot i Microsoft Entra ID. Agentidentiteten etableras när agenten skapas i Copilot Studio. Om klientorganisationen har nått sin kvot då kan Copilot Studio inte skapa Entra Agent-ID:t, och det går inte att skapa agenten.

De vanligaste gränserna att vara medveten om är:

• Klientresurskvot: 50 000 katalogobjekt som standard, eller 300 000 om klientorganisationen har en verifierad domän. Klienter som skapas via självbetjäningsregistrering ligger kvar på 50 000 även efter att en domän har verifierats. Agentidentiteter (tillsammans med alla andra Entra-resurser) kan inte använda mer än 95% av den här kvoten.
• Begränsning för ny klientorganisation: Under de första två dagarna efter att en klientorganisation har skapats begränsas kvoten tillfälligt till 600 katalogobjekt.

Taket på 250 agentidentiteter per plan gäller inte för Copilot Studio, eftersom planen för Copilot Studio ägs av Microsoft.

Den fullständiga listan över gränser och hur kvoten beräknas finns i Microsoft Entra tjänstbegränsningar och begränsningar. Om du vill höja resurskvoten för din klientorganisation följer du riktlinjerna i den artikeln.

Agentlivscykel

Vad händer med agentidentiteten när du tar bort en agent?

När du tar bort en agent från Copilot Studio tas det associerade agent-ID:t (eller appregistreringen) bort från Microsoft Entra ID.

Mer information finns i Ta bort agenter.

Relaterade artiklar

• Konfigurera användarautentisering med Microsoft Entra ID
• Skapa entra-agentidentiteter automatiskt (förhandsversion)
• Ta bort agenter
• Nätverksisolering och brandväggskonfiguration