Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Identifiant d’assistant Microsoft Entra API dans Microsoft Graph vous aident à créer, sécuriser et gérer des identités d’agent IA opérant dans votre organization. Vous pouvez créer par programmation des identités d’agent, contrôler leur accès aux ressources et surveiller leurs activités via une plateforme centralisée.
Dans cet article, vous allez découvrir les concepts clés et les API de gestion des identités d’agent dans Microsoft Graph, notamment les composants qui composent une identité d’agent, comment appliquer des stratégies de sécurité et de gouvernance aux agents et les autorisations requises pour gérer les agents par programmation.
Pour en savoir plus sur les Identifiant d’assistant Microsoft Entra, consultez Qu’est-ce que Identifiant d’assistant Microsoft Entra ?
Blocs de construction des identités d’agent
Les composants de base suivants comprennent l’architecture de Identifiant d’assistant Microsoft Entra :
| Composant | Objectif | Ressource Microsoft Graph |
|---|---|---|
| Blueprint | Modèle définissant le type d’identité de l’agent, y compris les autorisations dont les identités d’agent sont préautorisé pour hériter automatiquement | agentIdentityBlueprint |
| Principal de blueprint | Enregistrement de l’ajout d’un blueprint à un locataire | agentIdentityBlueprintPrincipal |
| Identité de l’agent | Identité principale pour l’authentification | agentIdentity |
| Utilisateur de l’agent | Compte facultatif pour les scénarios nécessitant un compte d’utilisateur | agentUser |
| Registre de l’agent (déconseillé) | Référentiel centralisé pour la gestion des agents qui sert de plateforme pour la gestion des manifestes carte des agents, des instances d’agent et des collections d’agents. |
Importante
Modification à venir des API du Registre de l’agent
À compter de mai 2026, les API du Registre de l’agent dans Microsoft Graph seront remplacées par les API du Registre d’agents alimentées par Microsoft Agent 365. Cette modification consolide les expériences de gestion des agents pour faciliter l’observation, la gouvernance et la sécurisation de tous les agents de votre locataire. Nous vous recommandons de planifier la migration vers les nouvelles API Agent 365 lorsqu’elles seront publiées. En savoir plus sur la convergence du registre d’agents avec Microsoft Agent 365.
En savoir plus sur l’architecture d’identité de l’agent dans Identifiant d’assistant Microsoft Entra concepts clés.
API associées pour la sécurité et la gouvernance des agents
Identifiant d’assistant Microsoft Entra étend les fonctionnalités complètes de sécurité et de gouvernance de Microsoft Entra aux agents IA, notamment l’accès conditionnel, la protection des identités, la gouvernance et les journaux d’audit.
Propriété et responsabilité
Chaque identité d’agent doit avoir une partie désignée responsable des actions de l’agent, des autorisations d’accès et de la posture de sécurité globale pour garantir la responsabilité et la gouvernance appropriée. Les API Microsoft Graph vous permettent d’attribuer et de gérer les métadonnées suivantes pour les identités d’agent, afin de prendre en charge ce principe.
| Métadonnées | S’applique à |
|---|---|
| owner | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity |
| Sponsor | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity, agentUser |
| manager | agentUser |
Pour plus d’informations, consultez Relations administratives dans Identifiant d’assistant Microsoft Entra (propriétaires, sponsors et responsables).
Accès conditionnel
Vous pouvez appliquer par programmation des stratégies d’accès conditionnel pour appliquer des stratégies d’accès aux agents IA, en fonction de l’identité de l’agent, du risque et d’autres facteurs contextuels.
- Utilisez l’API d’évaluation What If pour simuler la façon dont les stratégies d’accès conditionnel affectent les identités d’agent qui tentent d’accéder aux ressources.
- Utilisez les API de stratégie d’accès conditionnel pour appliquer ou gérer des stratégies d’accès conditionnel pour les agents IA qui accèdent aux ressources de l’organisation. Vous pouvez appliquer ces stratégies en fonction du niveau de risque de l’agent ou des attributs de sécurité personnalisés attribués aux agents.
Protection de l’identité
Protection Microsoft Entra ID évalue en permanence le risque de l’agent en fonction de différents signaux et du Machine Learning. Vous pouvez utiliser les types de ressources agentRiskDetection et riskyAgent pour identifier et gérer les risques d’agent dans votre organization, y compris ignorer ou confirmer les risques détectés. Les risques confirmés peuvent déclencher des actions de correction automatisées telles que l’application de la stratégie d’accès conditionnel.
Gouvernance
Gouvernance Microsoft Entra ID s’étend aux agents IA, ce qui vous permet de gérer le cycle de vie d’accès des identités d’agent de la même façon que les autres identités. Une fois la gouvernance appliquée aux identités d’agent, vous pouvez vous assurer que les agents disposent d’une personne responsable qui assure la supervision tout au long du cycle de vie de l’agent, et que l’accès à l’agent ne persiste pas plus longtemps que nécessaire.
- Utilisez des packages d’accès via les API de gestion des droits d’utilisation pour attribuer aux identités d’agent l’accès aux groupes de sécurité, aux autorisations OAuth d’application (y compris les autorisations Microsoft Graph) et aux rôles Microsoft Entra. L’identité de l’agent elle-même, son propriétaire, son sponsor ou un administrateur peut demander des packages d’accès au nom de l’agent.
- Affectez des sponsors à des identités d’agent et des utilisateurs d’agent pour désigner des utilisateurs humains responsables de prendre des décisions concernant le cycle de vie et l’accès de l’agent. Les sponsors reçoivent des notifications lorsque les attributions de package d’accès approchent de l’expiration et peuvent approuver les renouvellements ou autoriser l’expiration de l’accès.
- Utilisez les révisions d’accès pour vérifier régulièrement que les identités d’agent ont toujours besoin de l’accès dont elles disposent.
- Utilisez des flux de travail de cycle de vie pour automatiser les tâches de cycle de vie du sponsor d’identité de l’agent pour une gouvernance et une conformité efficaces, telles que le déclenchement de notifications lorsque le sponsor d’identité de l’agent change ou le transfert des responsabilités de parrainage d’un utilisateur à son responsable.
Pour obtenir une vue d’ensemble complète des fonctionnalités de gouvernance des identités d’agent, consultez Gouvernance Microsoft Entra ID pour les identités d’agent.
Surveillance de l’activité
Microsoft Entra les rapports de connexion et les journaux d’audit capturent les activités effectuées par les identités d’agent, offrant ainsi une visibilité sur les opérations de l’agent pour la surveillance de la conformité et de la sécurité, de la création d’identités d’agent aux modifications de configuration sur les agents, y compris les attributions de rôles et d’autorisations.
Autorisations pour la gestion des identités d’agent
Microsoft Graph fournit des autorisations précises pour gérer les identités d’agent et leurs composants associés. Les autorisations suivent les modèles suivants et sont publiées dans la référence des autorisations Microsoft Graph.
Autorisations pour la gestion du registre de l’agent :
- AgentCardManifest.Read*
- AgentCollection.Read*
- AgentInstance.Read*
Autorisations pour la gestion des identités et des blueprints d’identité de l’agent :
- AgentIdentity*
Autorisations pour la gestion des utilisateurs de l’agent :
- AgentIdUser.Read*
La gestion des stratégies d’accès conditionnel, Identity Protection et l’affichage des journaux d’audit pour les agents nécessitent les mêmes autorisations que la gestion de ces fonctionnalités pour d’autres types d’identité dans Microsoft Entra. Pour plus d’informations, consultez les articles d’API correspondants pour chaque fonctionnalité.
Autorisations Microsoft Graph bloquées pour les agents
Les identités d’agent utilisent le même modèle d’autorisation Microsoft Graph que les autres identités. Par conséquent, ils peuvent se voir accorder des autorisations déléguées ou d’application pour accéder aux API Microsoft Graph.
Toutefois, en raison de la nature autonome des agents et des risques potentiels qu’ils posent, les autorisations microsoft API Graph à haut risque suivantes sont explicitement bloquées pour les agents afin d’empêcher toute utilisation incorrecte ou tout accès involontaire à données sensibles. Ces autorisations ne peuvent pas être accordées aux identités d’agent via Microsoft Graph ou centre d’administration Microsoft Entra.
Légende :
- ❌ indique que l’autorisation est bloquée dans cette catégorie
- ➖ indique que l’autorisation n’est pas applicable/bloquée dans cette catégorie