Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Agente de Microsoft Entra ID introduce un modelo administrativo que separa la administración técnica de la responsabilidad empresarial, lo que garantiza el control operativo y la supervisión sin permisos excesivos. En este documento se explican las relaciones administrativas para los tipos de identidad de Agente de Microsoft Entra ID. Esta guía se aplica a las identidades del agente, los planos de identidad del agente, los principales de los planos de identidad del agente y las cuentas de usuario de los agentes. En el artículo se tratan los propietarios, patrocinadores y administradores y su importancia en el mantenimiento de operaciones seguras.
Las relaciones administrativas disponibles en el identificador del agente incluyen:
- Propietarios: administradores técnicos responsables de la gestión operativa de los planos de identidad del agente y las identidades de agente, incluida la preparación, la configuración y la administración de credenciales.
- Patrocinadores: representantes empresariales responsables de las decisiones de propósito y ciclo de vida del agente, incluidas las revisiones de acceso y la retención del agente, sin acceso administrativo técnico. Se requiere al menos un patrocinador para cada identidad de agente y plantilla de identidad de agente.
- Gerentes: usuario responsable del agente dentro de la jerarquía de la organización, capaz de solicitar paquetes de acceso para sus agentes que reportan.
Estas relaciones administrativas deben configurarse para cada objeto de ID de agente y son independientes de los derechos administrativos otorgados por las funciones de Control de acceso basado en roles (RBAC) de Microsoft Entra, como Administrador de ID de agente.
Propietarios
Los propietarios suelen servir como administradores técnicos para agentes, control de aspectos operativos y de configuración. Los usuarios individuales (incluidos los usuarios invitados) y las entidades de servicio se pueden asignar como propietarios. No se admiten grupos como propietarios. Las entidades de servicio como propietarios permiten la administración automatizada de las identidades de agente. Los propietarios son opcionales para todos los objetos de identidad del agente.
Responsabilidades del propietario
Los propietarios pueden modificar propiedades que el patrocinador no puede, como las propiedades de autenticación. Los propietarios también pueden añadir o actualizar otros propietarios y patrocinadores para las identidades de agente. Al igual que los patrocinadores, pueden deshabilitar y eliminar identidades de agente que ya no son necesarias. A diferencia de los patrocinadores, los propietarios pueden volver a habilitar una identidad de agente deshabilitada, restaurar identidades eliminadas temporalmente o eliminar permanentemente identidades.
Acceso y permisos de propietario
Los propietarios disponen de privilegios administrativos limitados al modelo de identidad de agente o a la identidad de agente que se les haya asignado. Pueden editar la configuración, administrar credenciales, cambiar configuraciones y asignar más propietarios.
Los propietarios de un modelo de identidad de agente o de un responsable de modelo de identidad de agente también pueden crear identidades de agente a partir de ese modelo utilizando permisos delegados, sin necesidad de tener el rol de administrador de ID de agente ni el de desarrollador de ID de agente. A la aplicación que llama se le debe conceder uno de los siguientes permisos delegados: AgentIdentity.Create.All, AgentIdentity.ReadWrite.Allo AgentIdentity.ReadWrite.ManagedBy.
Personas típicas del propietario
Los propietarios suelen ser desarrolladores o profesionales de TI con conocimientos técnicos para administrar identidades de aplicación. Pueden ser creadores de agentes, propietarios de aplicaciones técnicas o administradores de TI para agentes críticos. Se pueden asignar varios propietarios para la cobertura de copia de seguridad.
Las entidades de servicio también se pueden establecer como propietarios cuando algún otro servicio de administración necesita la capacidad de modificar o eliminar identidades de agente específicas sin intervención del usuario.
Patrocinadores
Los patrocinadores proporcionan responsabilidad empresarial a los agentes, tomando decisiones del ciclo de vida sin acceso administrativo técnico. Comprenden el propósito empresarial del agente y pueden determinar si un agente sigue siendo necesario o requiere acceso. Se requieren patrocinadores para los modelos de identidad de agente y las identidades de agente, lo que garantiza que cada agente tenga un responsable empresarial designado.
El patrocinio debe mantenerse para garantizar la sucesión cuando un empleado que es un patrocinador se mueve o sale. Los usuarios (incluidos los usuarios invitados) y los grupos se pueden asignar como patrocinadores. Cuando se asigna un grupo, todos los miembros del grupo tienen derechos de patrocinador sobre el objeto de ID de agente. No todos los tipos de grupo se admiten como patrocinadores. Se permiten los siguientes tipos de grupo:
- Grupos de pertenencia dinámica (seguridad o Microsoft 365)
- Grupos de pertenencia asignados (Microsoft 365)
No se permiten los siguientes tipos de grupo como patrocinadores:
- Grupos que se pueden asignar a roles (de seguridad o de Microsoft 365)
- Grupos de pertenencia asignados (seguridad)
Responsabilidades del patrocinador
Los patrocinadores toman decisiones sobre el ciclo de vida del agente, incluida la renovación, la extensión o la eliminación en función de las necesidades empresariales. Solicitan paquetes de acceso en nombre de los agentes y proporcionan justificación comercial para las solicitudes de acceso. Durante los incidentes de seguridad, los patrocinadores pueden determinar si se espera el comportamiento del agente y autorizar las respuestas adecuadas, incluidos los ajustes de suspensión o permisos.
Acceso y permisos de patrocinador
Los patrocinadores operan con privilegios mínimos con permisos administrativos limitados. No pueden modificar la configuración de la aplicación en los modelos de agente ni en las identidades de agente. El acceso se limita a operaciones no destructivas relacionadas con el ciclo de vida: activar y desactivar identidades de agentes, modificar los patrocinadores de una identidad o realizar una eliminación provisional.
Patrocinar personas típicas
Los patrocinadores suelen ser propietarios de negocios, administradores de productos, responsables del equipo o partes interesadas que comprendan el propósito del agente. En el caso de los agentes no publicados, los creadores suelen servir como patrocinadores. En el caso de los agentes publicados, los patrocinadores suelen proceder de equipos que usan el agente.
Patrocinadores de la identidad del agente frente a patrocinadores de la cuenta de usuario del agente
En el ID de Microsoft Agent, los agentes pueden tener una cuenta de usuario del agente creada para acceder a los servicios orientados al usuario. La cuenta de usuario y la identidad del agente, el modelo y el responsable del modelo pueden tener patrocinadores asociados. Existen diferencias entre los patrocinadores de la cuenta de usuario y los patrocinadores de la identidad del agente, el modelo o el responsable del modelo.
Los patrocinadores de la cuenta de usuario del agente son los mismos que los patrocinadores de usuario normales. No están autorizados a realizar cambios en sus usuarios patrocinados, pero pueden solicitar acceso en nombre del usuario y pueden estar implicados en flujos de aprobación. Por el contrario, los patrocinadores de identidades de agente, modelos y responsables de modelos tienen acceso limitado para administrar directamente esas identidades y también pueden solicitar acceso o dar aprobaciones en los flujos de trabajo del ciclo de vida.
| Patrocinadores de la cuenta de usuario del agente | Identidad del agente, esquema, principales patrocinadores del esquema | |
|---|---|---|
| Tipos permitidos | Usuarios (incluidos invitados), grupos (cualquiera) | Usuarios (incluidos invitados), seleccione grupos (pertenencia dinámica, Microsoft 365). No se admiten grupos con asignación de roles. |
| Limits | Máximo 5 patrocinadores | Máximo de 100 patrocinadores, sin más de 5 grupos |
| Autorización | No hay autorización directa para modificar usuarios de patrocinadores | Elimine o deshabilite la identidad del agente y modifique sus patrocinadores. |
| Requerido | No es necesario | Requerido al crear identidades de agente y plantillas de agente |
Cuando un agente está representado por un objeto de identidad del agente y una cuenta de usuario del agente, se recomienda mantener el patrocinador de identidad del agente como el usuario principal o grupo responsable del agente.
Es posible que distintos escenarios requieran distintos tipos de acceso o autorización para una identidad del agente y su cuenta de usuario asociada. Los patrocinadores de cada objeto pueden solicitar paquetes de acceso en nombre de la identidad que patrocinan. En la mayoría de los casos, el mismo usuario o grupo debe establecerse como patrocinador en ambos objetos para asegurarse de que pueden solicitar el acceso adecuado tanto para la identidad del agente como para la cuenta de usuario del agente según sea necesario.
Administradores
Los administradores son usuarios individuales responsables de una identidad de agente dentro de la jerarquía organizativa. En el caso de los agentes que están activos en escenarios de usuario, considere la posibilidad de establecer un administrador en la cuenta de usuario del agente. Los administradores pueden solicitar paquetes de acceso para las cuentas de usuario de sus agentes y verán a los agentes designados como subordinados en el centro de administración de Microsoft Entra. Los administradores no tienen autorización para modificar o eliminar agentes; los propietarios, patrocinadores o administradores deben realizar esas acciones.
Requisitos y restricciones
El modelo administrativo aplica requisitos y restricciones específicos para garantizar una supervisión y responsabilidad eficaces.
Requisitos de creación
Se requiere un patrocinador al crear una identidad de agente o un plan del agente. Los responsables de la plantilla de identidad del agente están exentos del requisito de patrocinador durante la creación. Los propietarios y administradores siempre son opcionales.
Directivas de asignación
Para las solicitudes de creación delegadas en las que existe una aplicación y un contexto de usuario, el usuario que realiza la llamada se convierte automáticamente en el patrocinador si no se especifica explícitamente ningún patrocinador. Sin embargo, si se designan uno o más patrocinadores durante la creación, el usuario que realiza la llamada no se añade automáticamente. Los usuarios con roles de administrador de ID de agente no se convierten automáticamente en patrocinadores durante la creación. Esto evita sobrecargar involuntariamente a los administradores con responsabilidad directa sobre los agentes individuales.
Para las solicitudes de creación solamente de aplicación, el servicio creador debe establecer uno o varios usuarios o grupos admitidos como patrocinadores.