Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La plateforme d’identités d’agent Microsoft fournit des constructions d’identité spécialisées conçues spécifiquement pour les agents IA qui fonctionnent dans des environnements d’entreprise. Ces constructions d’identité permettent des modèles d’authentification et d’autorisation sécurisés qui diffèrent des identités d’utilisateur et d’application traditionnelles, répondant aux exigences uniques des systèmes IA autonomes.
Cet article explique les concepts fondamentaux qui constituent la base de la gestion des identités des agents : identités d’agent, blueprints d’identité d’agent et leurs composants de prise en charge. Comprendre ces concepts est essentiel pour les développeurs qui doivent implémenter des modèles d’authentification sécurisés et évolutifs pour les agents IA.
L’architecture d’identité de l’agent suit un modèle hiérarchique dans lequel les blueprints d’identité d’agent servent de modèles pour créer plusieurs instances d’agent, chacune avec des identités et des fonctionnalités distinctes. Cette approche permet la gestion centralisée tout en offrant la flexibilité nécessaire pour divers scénarios de déploiement d’agent IA.
Concepts fondamentaux de l’identité
Les concepts suivants constituent la base de Identifiant d’assistant Microsoft Entra et de la plateforme d’identité de l’agent Microsoft.
Identité de l’agent
Une identité d’agent est l’identité principale utilisée par un agent IA pour s’authentifier auprès des systèmes et accéder aux ressources. Contrairement aux comptes d’utilisateur, les identités d’agent n’ont pas d’informations d’identification propres. Ils s’authentifient à l’aide de jetons émis par leur modèle d’identité d’agent. Pour plus d’informations, consultez Identités de l’agent.
Blueprint d’identité de l’agent
Un blueprint d’identité d’agent est un objet dans Microsoft Entra ID qui sert de base de modèle et d’authentification pour une ou plusieurs identités d’agent. Le blueprint détient des identifiants et les utilise pour acquérir des jetons au nom de toutes les identités d’agents créées à partir de celui-ci. Les stratégies et les paramètres appliqués à un blueprint, tels que l’accès conditionnel, prennent effet pour toutes ses identités d’agent. Pour plus d’informations, consultez les blueprints d’identité de l’agent.
Blueprint principal d'identité de l'agent
Lorsqu'un plan est ajouté à un locataire, Microsoft Entra crée un objet principal correspondant. Un principal de blueprint d'identité d'agent est l'objet Microsoft Entra qui enregistre la présence d'un blueprint dans un locataire et lui permet d'acquérir des jetons et d'apparaître dans les journaux d'audit. Pour plus d’informations, consultez les principes de base de l'identité de l'agent.
Principal de service traditionnel (non recommandé pour les agents IA)
Les principaux de services traditionnels ont été conçus pour les charges de travail statiques et déterministes. Identifiant d’assistant Microsoft Entra existe parce que les responsables de service manquent de l’infrastructure de gouvernance dont les agents IA ont besoin. Il n'y a pas de sponsoring forcé, pas d'entrées d'audit conscientes de l'agent, et pas de cycle de vie géré par le blueprint. Pour plus d’informations, consultez Identités d’agent, principaux de service et applications.
Compte d’utilisateur standard (non recommandé pour les agents IA)
Les comptes d’utilisateur Microsoft Entra standard sont conçus pour les modèles de connexion humaine. L'affectation de ces agents à des agents IA provoque des défaillances dans chaque couche d'application de Confiance nulle : les stratégies d'accès conditionnel conçues pour les humains ne s'appliquent pas correctement aux agents, les détections de protection des ID sont détériorées et les processus de gouvernance des identités peuvent supprimer incorrectement l'accès de l'agent. Pour plus d’informations, consultez Planifier l’architecture d’identité de votre agent.
Modèles d’opération de l’agent
La plateforme d’identité de l’agent prend en charge les modèles suivants pour la façon dont les agents fonctionnent et s’authentifient, chacun servant différents cas d’usage et exigences de sécurité.
Agents d’assistance (interactifs)
Les agents d’assistance (également appelés agents interactifs) effectuent des tâches spécifiques à la demande pour le compte d’un utilisateur connecté, souvent via une interface de conversation. Les tâches incluent l’analyse des données client pour les recommandations de vente ou la réponse aux questions de support avec l’escalade aux représentants humains. Ces agents reçoivent Microsoft Entra autorisations déléguées qui leur permettent d’agir au nom des utilisateurs. Les scénarios courants incluent les assistants de support client, les assistants de recherche et les agents de collaboration en temps réel.
Agents autonomes
Les agents autonomes fonctionnent indépendamment à l’aide de leur propre identité, et non de l’identité d’un utilisateur humain. Ces agents s’exécutent en arrière-plan, prennent des décisions et prennent des mesures sans intervention humaine, telles que la surveillance des journaux réseau pour les opérations de sécurité, la gestion des déploiements d’infrastructure avec la mise à l’échelle automatique ou le traitement des tâches de maintenance planifiées. Les agents autonomes s’authentifient directement avec la plateforme Microsoft Entra ID à l’aide de leur identité d’agent et du flux d’informations d’identification du client.
Compte d’utilisateur de l’agent
Le compte d’utilisateur d’un agent est un compte facultatif qui correspond 1:1 avec une identité d’agent. Il fonctionne avec des caractéristiques utilisateur humaines, notamment des identités persistantes et un accès aux ressources organisationnelles telles que les boîtes aux lettres, les calendriers, les canaux Teams et les documents. Utilisez le compte d’utilisateur d’un agent uniquement lorsque l’agent doit accéder aux systèmes qui nécessitent un objet utilisateur. Le compte d’utilisateur d’un agent ne remplace pas l’identité de l’agent. Les deux doivent exister. Pour plus d’informations, consultez les comptes d’utilisateur de l’agent.
Propriétaires, commanditaires et gestionnaires d’agents
La plateforme d’identité de l’agent introduit un modèle d’administration qui sépare l’administration technique de la responsabilité de l’entreprise, garantissant ainsi le contrôle opérationnel et la surveillance de la conformité sans autorisations excessives. Les rôles administratifs de l’agent incluent les propriétaires, les gestionnaires et les commanditaires.
- Les propriétaires servent d'administrateurs techniques pour les agents, en charge des aspects opérationnels et de configuration.
- Les commanditaires fournissent une responsabilité d’entreprise aux agents, prenant des décisions de cycle de vie sans accès administratif technique.
- Les gestionnaires sont des utilisateurs humains désignés en tant que responsable d’embauche ou propriétaire opérationnel pour le compte d’utilisateur d’un agent.
Pour plus d’informations, consultez Relations administratives pour les identités d’agent (propriétaires, commanditaires et gestionnaires)
Microsoft Entra SDK pour l’ID d’agent
Le SDK Microsoft Entra pour l'ID d'agent est un service web conteneurisé qui gère l'acquisition de jeton, la validation, et les appels d'API sécurisés en aval pour les agents inscrits dans la Microsoft Identity Platform. Il s’exécute en tant que conteneur complémentaire en même temps que votre application, ce qui vous permet de décharger la logique d’identité sur un service dédié. Pour plus d’informations, consultez Microsoft Entra SDK pour l’ID d’agent.