Rate this post

Microsoft Entra Agent ID предназначен для предоставления возможностей идентификации специально для AI-агентов в рамках Microsoft Entra ID. По своей сути он вводит учетные записи идентичности, которые позволяют однозначно идентифицировать и аутентифицировать AI-агентов в экосистеме Microsoft.

Эти идентичности агентов формируют основу для безопасного и масштабируемого развертывания AI-агентов. Они помогают решать растущие проблемы безопасности и эксплуатации, связанные с использованием AI-агентов, обеспечивая каждому агенту корректную идентичность, соответствующий уровень доступа и управляемость.

Зачем нужен Microsoft Entra Agent ID

По мере того как организации создают и внедряют AI-агентов, особенно в больших масштабах, возникают новые вызовы. Когда один агент разворачивается в нескольких экземплярах, становится критически важно отличать действия AI-агентов от действий пользователей, рабочих нагрузок или клиентов.

Microsoft Entra Agent ID создан именно для решения этой задачи. Он предотвращает ситуацию, при которой AI-агенты случайно получают повышенные привилегии или доступ к чувствительным системам, к которым они не должны иметь доступа. Это особенно важно в средах, где агенты быстро создаются и удаляются.

Идентичности агентов также обеспечивают масштабируемое управление учетными записями. Большое количество AI-агентов может быть создано и уничтожено без ущерба для безопасности или операционной прозрачности. Каждый агент получает доступ, строго соответствующий его назначению.

Возможности, которые дают идентичности агентов

Идентичности агентов могут использоваться для:

  • безопасного доступа к веб-сервисам;

  • аутентификации входящих сообщений;

  • поддержки автономных и делегированных сценариев доступа;

  • обеспечения четкого разделения между AI-агентами и человеческими учетными записями.

Назначая агентам собственные идентичности, организации получают видимость, контроль и средства управления тем, как агенты взаимодействуют с системами и сервисами.

Понятие агентных blueprint’ов

Идентичности агентов создаются на основе blueprint’ов. Blueprint — это родительский шаблон, который лежит в основе агентных идентичностей в рамках тенанта. Каждый созданный агент имеет агентную идентичность, а сама идентичность формируется из blueprint’а.

Blueprint’ы определяют, каким образом создаются и управляются идентичности агентов. Несколько агентов могут быть связаны с одним blueprint’ом, что позволяет обеспечить единообразное поведение идентичностей для однотипных агентов. Использование blueprint’ов не является обязательным для всех агентов, но они дают дополнительную структуру и контроль при масштабировании.

Управление идентичностями агентов в Microsoft Entra

В административной среде Microsoft Entra доступна отдельная функция Agent ID, которая предоставляет полную видимость всех агентных идентичностей в тенанте. В этом интерфейсе администраторы могут просматривать:

  • все идентичности агентов;

  • статус агентов (активен или неактивен);

  • Object ID и связь с blueprint’ами;

  • владельцев и спонсоров;

  • информацию о том, использует ли агент идентичность.

Централизованный обзор позволяет применять политики управления, защищать агентов по умолчанию и управлять полным жизненным циклом идентичностей с помощью встроенных механизмов Entra.

Контроль blueprint’ов и управление жизненным циклом

Для каждого blueprint’а отображается количество связанных агентных идентичностей, дата создания и уровень предоставленного доступа. Администраторы могут:

  • отключить blueprint, чтобы запретить создание новых агентных идентичностей;

  • сохранить работоспособность уже существующих идентичностей;

  • просмотреть разрешения администраторского и пользовательского согласия;

  • назначить владельцев и спонсоров;

  • изучить журналы аудита и входов в систему.

Отключение blueprint’а не отключает существующих агентов, а лишь предотвращает создание новых идентичностей на его основе.

Коллекции агентов и управление

Идентичности агентов также могут быть организованы в коллекции, которые могут быть как преднастроенными, так и пользовательскими. Примеры таких коллекций:

  • глобальная коллекция, доступная всем идентичностям в тенанте;

  • карантинная коллекция для изолированных или ограниченных агентов.

Коллекции усиливают управление, позволяя группировать агентов по назначению, уровню доверия или операционному состоянию.

Интеграция с платформами Microsoft

Microsoft Entra Agent ID тесно интегрирован с такими платформами, как:

  • Microsoft Copilot Studio;

  • Power Platform Admin Center;

  • Microsoft 365 Admin Center;

  • Azure AI Foundry.

Copilot Studio ориентирован на создание и настройку агентов, в то время как детали, связанные с идентичностью — такие как Agent ID, привязка к blueprint’ам и параметры управления — обрабатываются через административные центры. Такое разделение обеспечивает четкое разграничение между функциональностью агента и управлением его идентичностью.

Итог

Microsoft Entra Agent ID — это учетная запись идентичности в Microsoft Entra ID, которая предоставляет AI-агентам уникальные возможности идентификации и аутентификации. Он играет ключевую роль в обеспечении безопасности, масштабируемости и управляемости AI-агентов в экосистеме Microsoft.

Используя идентичности агентов и blueprint’ы, организации могут безопасно разворачивать AI-агентов с контролируемым доступом, прозрачной ответственностью и корпоративным уровнем защиты. Помимо безопасности, агентные идентичности обеспечивают аутентифицированное взаимодействие, делегированный доступ и интеграцию с веб-сервисами, что делает их фундаментальным элементом современной архитектуры AI-агентов.