Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La cuenta de usuario del agente es un tipo de identidad especializado diseñado para salvar la brecha entre los agentes y las capacidades del usuario humano. La cuenta de usuario del agente permite a las aplicaciones con tecnología de inteligencia artificial interactuar con sistemas y servicios que requieren identidades de usuario, a la vez que mantiene los límites de seguridad y los controles de administración adecuados. Permite a las organizaciones administrar el acceso del agente mediante funcionalidades similares a las de los usuarios humanos.
Ejemplo de escenarios de cuenta de usuario del agente
A veces no es suficiente para que un agente realice tareas en nombre de un usuario o funcione como una aplicación autónoma. En determinados escenarios, un agente debe actuar como usuario, funcionando básicamente como un trabajador digital. A continuación se muestran escenarios de ejemplo en los que la cuenta de usuario del agente sería aplicable:
- La organización necesita empleados digitales a largo plazo que funcionen como miembros del equipo con buzones, acceso de chat e inclusión en sistemas de RR. HH.
- El agente debe acceder a las API o recursos que solo están disponibles para las identidades de usuario.
- El agente debe participar en flujos de trabajo de colaboración como miembro del equipo
Por estos motivos, se crea la cuenta de usuario del agente. La cuenta de usuario del agente es opcional y solo debe crearse para interacciones en las que el agente debe actuar como usuario o acceder a los recursos restringidos a las cuentas de usuario.
Cuenta de usuario del agente
La cuenta de usuario del agente representa un subtipo de identidad de usuario dentro de Microsoft Entra. Estas identidades están diseñadas para permitir que las aplicaciones del agente realicen acciones en contextos en los que se requiere una identidad de usuario. A diferencia de las principales de servicio no agentivas o las identidades de aplicación, la cuenta de usuario del agente recibe tokens con la reclamación idtyp=user, lo que le permite tener acceso a las API y los servicios que requieren específicamente identidades de usuario. También mantiene restricciones de seguridad necesarias para las identidades no humanas.
La cuenta de usuario de un agente no se crea automáticamente. Requiere un proceso de creación explícito que lo conecte a su identidad del agente principal. Esta relación padre-hijo es fundamental para comprender cómo funciona la cuenta de usuario del agente y está asegurada en Microsoft Entra. Una vez establecida, esta relación es inmutable y actúa como piedra angular del modelo de seguridad para la cuenta de usuario del agente. La relación es una asignación uno a uno (1:1). Cada identidad del agente puede tener como máximo una cuenta de usuario del agente asociada y la cuenta de usuario de cada agente está vinculada exactamente a una identidad de agente primaria, vinculada exactamente a una aplicación de plano técnico de identidad del agente.
Cuenta de usuario del agente:
- También se crea mediante un plano técnico de identidad del agente.
- Siempre está asociado a una identidad de agente específica, especificada tras la creación.
- Tiene identificadores únicos distintos, separados de la identidad del agente.
- Solo se puede autenticar mediante la presentación de un token emitido a la identidad del agente asociado.
Relación entre la cuenta de usuario del agente y su identidad como agente
El plano técnico de identidad del agente no tiene el permiso de forma predeterminada para crear la cuenta de usuario del agente porque esta funcionalidad es opcional y no siempre es necesaria. Es un permiso que se debe conceder explícitamente al diseño de identidad del agente.
La cuenta de usuario del agente se crea mediante el plano técnico de identidad del agente. Cuando se otorgan los permisos adecuados, el plano técnico de identidad del agente puede crear la cuenta de usuario de un agente y establecer una relación primaria con una identidad de agente específica. La identidad del agente se considera el elemento primario de la cuenta de usuario del agente.
Los administradores administran el ciclo de vida de la cuenta de usuario de un agente. Un usuario administrador puede eliminar la cuenta de usuario del agente una vez que ya no se necesitan sus funcionalidades.
Modelo de autenticación y seguridad
El modelo de autenticación de la cuenta de usuario del agente difiere significativamente de las cuentas de usuario humano:
Credenciales de identidad federada: la autenticación se realiza a través de las credenciales asignadas a la cuenta de usuario del agente. En los sistemas de producción, use Credenciales de identidad federada (FIC). Estas credenciales se usan para autenticar tanto el plano técnico de identidad del agente como la identidad del agente. La credencial asignada al usuario se usa para autenticarse en el ecosistema del agente.
Modelo de credenciales restringidas: la cuenta de usuario del agente no tiene credenciales normales como contraseñas. En su lugar, está restringido a usar las credenciales proporcionadas a través de su relación primaria. Esta restricción en las credenciales, junto con restricciones en el inicio de sesión interactivo, garantiza que la cuenta de usuario del agente no se pueda usar como una cuenta de usuario estándar.
Mecanismo de suplantación: la identidad del agente asociada puede suplantar la cuenta de usuario del agente hijo. Permite que la lógica de negocio del elemento primario obtenga tokens y actúe como la cuenta de usuario del agente cuando sea necesario.
Funcionalidades de la cuenta de usuario del agente
La cuenta de usuario del agente posee funcionalidades que le permiten funcionar eficazmente dentro de Microsoft 365 y otros entornos:
La cuenta de usuario de un agente se puede agregar a Microsoft Entra grupos, incluidos los grupos dinámicos, lo que le permite heredar permisos concedidos a esos grupos. Sin embargo, no se puede agregar a grupos a los que se pueden asignar roles.
La cuenta de usuario del agente puede acceder a los recursos y usar otras características de colaboración reservadas normalmente para los usuarios humanos.
La cuenta de usuario del agente se puede agregar a unidades administrativas, de forma similar a los usuarios humanos.
La cuenta de usuario del agente puede tener asignadas licencias, que a menudo son necesarias para el aprovisionamiento de recursos de Microsoft 365.
Restricciones de seguridad
La cuenta de usuario del agente funciona con restricciones de seguridad específicas para garantizar el uso adecuado:
Limitaciones de credenciales: la cuenta de usuario del agente no puede tener credenciales como contraseñas o claves de acceso. El único tipo de credencial que admite es la referencia de identidad del agente a su elemento primario. Por lo tanto, aunque la cuenta de usuario del agente se comporte como usuario, sus credenciales son credenciales de cliente confidenciales.
Restricciones de roles administrativos: no se pueden asignar roles de administrador con privilegios a la cuenta de usuario del agente. Esta limitación proporciona un límite de seguridad importante, lo que impide la elevación potencial de privilegios.
Modelo de permisos: la cuenta de usuario del agente suele tener permisos similares a los usuarios invitados, con más funcionalidades para enumerar usuarios y grupos. No se pueden asignar roles de administrador con privilegios a la cuenta de usuario del agente. La asignación de roles personalizada y los grupos asignables no están disponibles para la cuenta de usuario del agente. Para obtener más información, consulte referencia de permisos de Microsoft Graph
Aprovisionamiento de cuentas de usuario del agente para Microsoft 365
Para aprovisionar completamente la cuenta de usuario de un agente con funcionalidades de trabajo digital, como un buzón, la presencia de Teams o la integración del sistema de RR. HH., cree el agente a través de Microsoft Teams. El Agente 365 y el SDK del Agente 365 proporcionan la base para que las cuentas de usuario del agente participen plenamente en Microsoft 365.
Note
La creación de la cuenta de usuario de un agente directamente a través de Microsoft Graph API establece la identidad en Microsoft Entra, pero no aprovisiona funcionalidades de Microsoft 365. Use el enfoque de Graph API solo para escenarios que no requieran Microsoft 365 participación.
Para obtener más información, consulte la documentación de SDK de agentes de Microsoft 365.