Domande frequenti su Microsoft Entra Agent ID

Microsoft Graph API che supportano relazioni che coinvolgono identità dell'agente, ad esempio /ownedObjects, /deletedItems e /owners non supportano il filtro in base al tipo di entità. Usare le API esistenti e filtrare i risultati sul lato client usando la odata.type proprietà per identificare gli oggetti identity dell'agente nella risposta.

Quando un progetto di identità agente o un'identità agente viene eliminata, gli account utente degli agenti associati rimangono nel tenant. Non vengono mostrati come disabilitati o cancellati, anche se non possono autenticarsi. Eliminare manualmente gli account utente degli agenti orfani usando Microsoft API Graph o Microsoft Entra PowerShell.

Quando si creano oggetti Identity agente in rapida successione usando API di Microsoft Graph, le richieste potrebbero non riuscire con errori come 400 Bad Request: Object with id {id} not found. Le sequenze comuni che attivano questo comportamento includono:

• Creazione di un blueprint di identità dell'agente, quindi creazione immediata di un principale del blueprint.
• Creazione di un modello principale, quindi uso immediato del modello per creare un'identità agente.
• Creazione di un'identità agente, quindi creazione immediata dell'account utente di un agente.

Questi errori sono più comuni quando si usano autorizzazioni solo app. Usare le autorizzazioni delegate, dove possibile, e aggiungere logica di ripetizione dei tentativi con backoff esponenziale alle richieste.

I limiti seguenti si applicano ai progetti di identità dell'agente:

• Le piattaforme di gestione non Microsoft che usano autorizzazioni solo app sono limitate a 250 identità dell'agente per ogni progetto. Le chiamate delegate e le piattaforme di proprietà di Microsoft (Foundry, Copilot Studio) non sono soggette a questo limite.
• Gli utenti non amministratori sono soggetti al limite preesistente di 250 oggetti di proprietà in Microsoft Entra ID, che si applica a tutti i tipi di risorse Microsoft Entra.
• I progetti possono richiedere non più di 95% della quota complessiva delle risorse del tenant. Per altre informazioni, vedere la riga Resources in Microsoft Entra limiti e restrizioni del servizio.

Non esistono meccanismi di notifica predefiniti per l'approvazione del progetto di identità dell'agente. Quando un amministratore del tenant crea o approva un modello di identità agente per il tuo agente, non ricevi una notifica tramite Microsoft Entra o Microsoft Graph.

Per verificare se il progetto è stato approvato in un tenant specifico, eseguire una query sul API Graph Microsoft per individuare gli oggetti principale del progetto associati all'applicazione. Se un amministratore non ha ancora approvato il progetto, la query non restituisce risultati per tale tenant.

Le definizioni di ruolo personalizzate non supportano le azioni per la gestione delle identità dell'agente. Usare i ruoli predefiniti Amministratore ID agente e Sviluppatore ID agente per tutta la gestione delle identità dell'agente.

Le identità dell'agente, i blueprint delle identità dell'agente e i principali dei blueprint delle identità dell'agente non possono essere aggiunti alle unità amministrative. Usare la proprietà delle identità dell'agente owners per limitare gli utenti che possono gestire oggetti specifici.

Il ruolo Amministratore ID agente non dispone dell'autorizzazione per aggiornare le foto per l'account utente di un agente. Usare il ruolo Amministratore utenti per questa attività.

Le regole di appartenenza dinamica ai gruppi non supportano la destinazione dell'account utente di un agente. Usare i gruppi assegnati per gestire le appartenenze ai gruppi di un account utente di un agente.

Le identità dell'agente non possono accedere alle pagine di accesso Microsoft Entra ID, il che significa che non possono usare l'accesso Single Sign-On con i protocolli OpenID Connect o SAML. Utilizza le API web disponibili per integrare gli agenti con app e servizi aziendali.

Il flusso di lavoro del consenso amministrativo di Microsoft Entra ID admin non funziona correttamente per le autorizzazioni richieste dalle identità degli agenti. Gli utenti devono contattare l'amministratore del tenant Microsoft Entra per richiedere che le autorizzazioni vengano concesse direttamente all'identità dell'agente.

Per i flussi di consenso dell'identità dell'agente viene applicato un controllo step-up basato sul rischio. Se il consenso di un utente è bloccato, non esiste alcuna soluzione alternativa. L'utente deve risolvere il rischio contrassegnato prima che il consenso possa continuare.

I log di controllo non distinguono le identità dell'agente da altri tipi di identità Microsoft Entra per impostazione predefinita:

• Le operazioni sulle identità degli agenti, sui progetti modello e sui principali di progetto modello vengono registrate nella categoria ApplicationManagement.
• Le operazioni sugli account utente degli agenti vengono registrate nella categoria Gestione utenti .
• Le operazioni avviate dalle identità dell'agente vengono visualizzate come entità del servizio.
• Le operazioni avviate dagli account utente degli agenti vengono visualizzate come utenti.

Per identificare l'attività relativa all'ID agente, utilizzare gli ID oggetto dai registri di controllo per eseguire query su Microsoft Graph e determinare il tipo di entità. È anche possibile usare l'ID di correlazione dei log di accesso per individuare l'identità dell'attore o del soggetto coinvolto nell'attività.

Microsoft Graph non separa attualmente le identità degli agenti dagli altri tipi di identità nei registri di attività.

• Le richieste dalle identità degli agenti vengono registrate come applicazioni, con l'identità dell'agente inclusa nella colonna appID .
• Le richieste degli account utente degli agenti vengono registrate come utenti, con l'ID utente agente nella colonna UserID .

Effettuare un join con i log di accesso di Microsoft Entra per determinare il tipo di entità.

L'SDK usato dipende dallo scenario in uso:

Microsoft CLI e SDK di Agent 365 sono i punti di partenza consigliati per la maggior parte degli sviluppatori. L'interfaccia della riga di comando gestisce il provisioning delle identità dell'agente, la creazione di progetti e il collegamento delle autorizzazioni in un singolo comando. L'SDK gestisce l'acquisizione dei token in fase di esecuzione. Per altre informazioni, vedere la documentazione Microsoft Entra Agent 365 SDK.

Microsoft. Identity.Web offre API di livello superiore per l'acquisizione di token per le identità degli agenti nelle applicazioni .NET. Usare il Microsoft.Identity.Web.AgentIdentities per semplificare la gestione delle identità degli agenti.

Il contenitore Microsoft Entra SDK integra Microsoft.Identity.Web come servizio Web distribuito come contenitore sidecar. Usare questa opzione quando l'agente viene eseguito in Kubernetes e/o non è integrato in .NET. Per altre informazioni, vedere Microsoft Entra SDK per l'ID agente.

Microsoft Graph API forniscono la gestione delle identità degli agenti quando le altre opzioni non rientrano nello scenario in uso. Per ulteriori informazioni, vedere Microsoft API Graph per i modelli di identità dell'agente.