Copilot Studio的应用注册、代理标识和身份验证

本文介绍Copilot Studio代理的应用注册、代理标识和身份验证。

了解代理身份

Copilot Studio如何识别代理进行身份验证?

Copilot Studio为每个代理分配唯一标识符,以便它可以与频道(Teams、Omnichannel 等)和服务通信。 Copilot Studio自动创建和管理这些标识。

有两种类型的代理标识:

  • Entra 代理 ID:Microsoft Entra 服务主体,具有“代理”子类型。 为环境启用 Entra 代理标识时,新代理会自动接收 Entra 代理 ID。

  • 应用注册(旧版):在启用 Entra Agent Identity 之前创建的现有代理将继续使用传统应用注册。

重要说明:代理 ID 是具有“代理”子类型的服务主体。 基于 OAuth 的基础身份验证流保持不变。 与传统应用注册相比,代理 ID 提供增强的治理可见性和管理功能。

为什么我的代理在Microsoft Entra ID中具有标识?

代理标识使代理能够在与频道(Teams、Omnichannel 等)和服务通信时安全地进行身份验证。 Copilot Studio 根据 零信任 安全原则自动创建和管理这些标识。

Copilot Studio代理和代理生成器代理之间的区别是什么?

  • Copilot Studio 智能体:获取 Entra 智能体 ID(或传统智能体的应用注册信息),用于与通道和服务进行身份验证。 可以在 Power Platform 管理中心的环境级别启用 Entra 代理标识。

  • 代理生成器代理:当前不使用或要求应用注册 ID 或代理 ID。 有关详细信息,请参阅 智能 Microsoft 365 Copilot 副驾驶® 中的 Agent Builder

使用代理标识

是否需要手动创建或配置代理标识?

否。 Copilot Studio自动管理代理标识:

  • 新代理 (启用 Entra 代理标识时):自动获取 Entra 代理 ID
  • 现有代理:继续使用应用注册

Microsoft的安全和符合性标准指导所有凭据的自动管理。 可在Microsoft Entra 管理中心中完全查看和控制,可在其中监视身份验证活动并管理代理标识生命周期。

如何查找哪些应用注册或代理 ID 属于我的代理?

  1. 在 Copilot Studio 中,转到 Settings>Advanced>Metadata
  2. 查看具有 Entra 身份的智能体的 Entra 智能体 ID (GUID)。
  3. 对于具有应用注册的旧代理,应用程序 ID 将显示在同一部分中。
  4. 使用此 GUID 在 Microsoft Entra 管理中心中查找身份。

是否可以自带代理 ID 或应用注册?

否。 为了确保安全、符合性和与通道和服务集成,Copilot Studio需要自动管理。

为什么 Copilot Studio 会将智能体所有者添加到智能体身份中?

Copilot Studio添加代理所有者以提供:

  • 每个代理的治理可跟踪性
  • 代理生命周期的问责
  • 与组织所有权策略保持一致

对于 Entra 智能体 ID:智能体所有者将作为赞助者添加,其权限相较于完全所有者更为有限,从而降低了与权限修改相关的安全风险。 一些已有的代理可能还没有赞助商。

对于旧版应用注册:代理所有者将添加为应用注册的所有者。 若要选择退出添加代理所有者,请联系支持人员。

安全性和权限

谁可以使用代理标识生成令牌?

对于 Entra 代理 ID

Microsoft拥有的 blueprint 主体使用联合标识凭据创建和管理代理标识。 租户中没有人(包括租户管理员)可以使用代理标识生成令牌。 Microsoft完全控制蓝图和身份验证机制。

对于旧版应用注册

具有 全局管理员应用程序管理员云应用程序管理员 角色的用户可以为租户中的任何应用注册创建客户端机密或证书,而无需所有权。 没有这些角色的用户必须被授予特定应用注册的所有权,才能创建令牌生成所需的凭据。 Copilot Studio不会向这些应用注册添加任何 API 范围或权限,因此从这些标识生成的令牌无权访问客户数据或资源。

Important

为Copilot Studio代理创建的应用注册仅供代理使用。 请勿修改或删除这些应用注册的凭据。 不要将其用于任何其他目的。

哪些作用域关联到我的代理的 Entra 智能体 ID?

发布代理时,Copilot Studio 会将 API 权限附加到该代理的 Entra 智能体 ID,这些权限对应于 该代理配置为使用的 Power Platform 连接器。 这些范围仅描述连接器访问,它们不是原始资源权限,例如 Mail.ReadFiles.Read.All

注释

在 Microsoft Entra ID 中,范围可见性适用于所有代理,与渠道无关。 在运行时实施作用域强制措施(包括对代理标识应用的Microsoft Entra 条件访问)目前仅在代理于 Microsoft Teams 中运行时适用,因为目前只有 Teams 这一渠道使用 Entra 智能体 ID 令牌执行端到端身份验证。 其他通道仍通过现有的 Power Platform 连接器身份验证流程来调用连接器,因此管理员可以看到权限范围,但对于这些调用,尚不会评估代理身份上的条件访问。

作用域在 Microsoft Entra ID 中的显示方式

每个连接器在你的租户中都有自己的服务主体,例如 Work IQ Calendar MCP Connector。 取决于创建者如何配置该代理,连接器的服务主体会向代理的 Entra 智能体 ID 授予以下一项或多项权限:

  • Operations.Execute.All 当代理配置为在代理(工具)级别使用连接器时,将授予此权限。 代理可以调用连接器公开的任何操作。
  • 当创建者添加特定连接器操作而不是整个连接器时,将授予单个操作范围。 仅允许代理实际使用的操作。
  • 对于未定义细粒度作用域的连接器,Azure API Connections Runtime.All用作通用后备项。

可以在 API 权限下的 Microsoft Entra 管理中心 中查看代理标识的服务主体的这些权限。

此模型使Microsoft Entra ID和Microsoft 365管理员能够了解代理可以执行的操作。 管理员无需打开 Power Platform 管理中心,由制造商领导的策略管理的连接器模型保持不变:

  • 创建者继续使用已获租户的 高级连接器策略 (ACP)数据丢失防护 (DLP) 策略预先批准的连接器来添加连接。
  • Power Platform 连接器运行时仅遵循这些范围。 在运行时,连接器平台会重新评估代理可以在租户的 ACP 和 DLP 策略下调用连接器。 如果攻击者获取代理的标识,则攻击者无法使用这些范围直接调用Microsoft Graph、Outlook或任何其他 API,因为连接器平台会调解每个调用并应用治理策略。
  • 由于这些作用域是该代理的 Entra 智能体 ID 上的一级 API 权限,因此,管理员可以对其应用 Microsoft Entra 条件访问策略。 例如,可以要求特定的网络位置、设备符合性状态或风险级别,然后才能为代理标识上的特定连接器资源颁发令牌。 仅当代理在 Microsoft Teams 中运行时(请参阅本节开头的注释)时才强制实施条件访问。

简言之,范围描述了 代理配置为执行的操作 ,而 ACP 和 DLP 决定在执行时 允许执行的操作

添加或删除范围时

当代理被发布时,会对作用域进行评估并应用。 在代理上添加或删除连接器(或特定连接器操作),并重新发布代理会相应地更新范围。

这是否适用于旧版应用注册?

否。 连接器作用域仅会添加到 Entra 代理 ID。 旧版应用注册仍未附加任何 API 作用域,如 谁可以使用代理标识生成令牌 中所述。 目前,此行为适用于第一方和认证的 Power Platform 连接器;添加到代理的自定义连接器、MCP 服务器和 REST API 工具不会向Entra 智能体 ID添加 API 权限。

Entra代理身份

是否可以选择退出 Entra Agent 身份?

是的,你当前可以在 Power Platform 管理中心的环境级别选择退出。 有关说明,请参阅 自动创建 Entra 代理标识

Important

选择退出 Entra 代理标识的功能是临时的。 对于将来的所有新代理,Entra Agent Identity 将变为必需项。

启用 Entra Agent Identity 时,现有代理会发生什么情况?

启用 Entra 代理标识之前创建的现有代理继续使用应用注册。 将来它们会迁移到代理身份标识符。

迁移特征

  • GUID 保留:代理标识符保持不变,无重大更改。
  • 零停机:代理在迁移期间继续运行
  • 自动:无需手动操作
  • 维护频道兼容性:Teams、全渠道和技能继续工作

是否启用代理 ID 会更改代理的身份验证方式?

否。 代理 ID 是具有与传统应用注册相同的基于 OAuth 的身份验证流的“代理”子类型的服务主体。 增强功能是治理的可见性 - 代理 ID 显示在 Microsoft Entra 管理中心中,其中具有更多的生命周期管理和监视功能。

什么是蓝图原则?

在环境中创建第一个代理标识时,Copilot Studio向租户添加Microsoft Copilot Studio代理标识蓝图。 此蓝图主体有权在租户中创建代理标识和代理用户。

有关包括蓝图 ID(生产和测试)的详细信息,请参阅 了解蓝图原则。 有关更多技术详细信息,请参阅如何创建代理标识?

为什么由于 Entra 配额或限制,我的代理无法创建?

Copilot Studio创建的每个Entra 智能体 ID都是租户中的目录对象,根据Microsoft Entra ID中租户的资源配额进行计数。 当代理在 Copilot Studio 中创建时,将预配代理标识。 如果租户当时已达到其配额,则Copilot Studio无法创建Entra 智能体 ID,无法创建代理。

要注意的最常见限制包括:

  • 租户资源配额:默认情况下为 50,000 个目录对象,如果租户具有已验证的域,则为 300,000 个。 即使在验证域后,通过自助注册创建的租户数量仍保持在 50,000。 代理标识(与所有其他 Entra 资源一样)的使用量不得超过此配额的 95%。
  • 新租户限制:在创建租户后的前两天,配额暂时限制在 600 个目录对象上。

每个蓝图最多 250 个代理标识的上限适用于 Copilot Studio,因为 Copilot Studio 的蓝图由 Microsoft 拥有。

有关限制的完整列表以及如何计算配额,请参阅Microsoft Entra服务限制和限制。 若要提高租户的资源配额,请按照本文中的指南进行操作。

代理生命周期

删除智能体时,智能体身份会发生什么变化?

从Copilot Studio中删除代理时,该过程将从Microsoft Entra ID中删除关联的代理 ID(或应用注册)。

有关详细信息,请参阅 “删除代理”。

  • Last updated on