【人工智能】宣布 Microsoft Entra Agent ID：安全地管理您的 AI 代理​

宣布 Microsoft Entra Agent ID：安全地管理您的 AI 代理​​

​
​​2025 年 5 月 20 日​​

对组织的 AI 代理的可见性是针对非人类实体的全面身份标识和访问管理解决方案的第一步。

大家好！

我们正在进入一个新时代，AI 代理不仅仅是工具，而且是实现更智能、更强大的工作方式的催化剂。许多人反馈，随着团队尝试构建和采用 AI 代理，追踪这些非人类参与者变得很有挑战性。这些代理之所以强大，在于它们能够自主处理复杂任务并像虚拟队友一样行动——但这也带来了担忧。因此，追踪代理的身份标识、管理其生命周期和权限，并谨慎地保护其对组织资源的访问权限至关重要。

我们的目标很简单：为您的新数字队友——AI 代理——提供您依赖并应用于员工身份标识的相同保护和管控措施。鉴于此，我非常激动地向大家分享今天在 Microsoft Build 大会上宣布的 Microsoft Entra Agent ID 公开预览版的更多信息。在此首个版本中，我们引入了一个统一的目录，汇集了跨 Microsoft Copilot Studio 和 Azure AI Foundry 创建的所有代理身份标识。这意味着，无论代理是由开发人员还是信息工作者构建的，您作为身份标识专业人员，都可以在 Microsoft Entra 管理中心查看并安全地管理该代理。

在未来六个月，我们将为 Microsoft Entra Agent ID 发布更多访问管理、安全性和身份标识治理功能，并增加对来自 Security Copilot、Microsoft 365 Copilot 以及第三方解决方案的代理的支持。

Microsoft Entra Agent ID 将为使用 Azure AI Foundry、Copilot Studio 创建（以及即将支持使用 Microsoft Security Copilot、Microsoft 365 Copilot 和第三方工具创建）的代理提供身份验证、授权、身份保护、访问治理和可见性功能。

​​如何试用​​
随着各组织采用 AI 解决方案，可见性变得至关重要——现在您可以清晰地查看哪些代理有权访问您的环境。从今天开始，您会在 Microsoft Entra 管理中心注意到一种新的应用程序类型，它使这些代理身份标识变得可见。“代理 ID”应用程序类型为您提供了一种快速盘点目录中所有代理身份标识的方法。

要开始试用，请登录 Microsoft Entra 管理中心并导航到“企业应用程序”。在列表视图顶部的筛选栏中，将“应用程序类型”下拉菜单设置为“代理 ID（预览版）”。瞬间，您的企业应用程序列表将缩小，仅显示在您的租户中注册的 AI 代理（通过 Copilot Studio 或 Azure AI Foundry 创建）。

[图片描述：代理身份标识可以在 Microsoft Entra 管理中心的“企业应用程序”区域查看，如图中 Microsoft Entra Agent ID 公开预览版的截图所示。]

从今天起，您组织中任何人在 Azure AI Foundry 和 Copilot Studio 中创建的每个代理，默认情况下都会显示在 Microsoft Entra 管理中心，无需您采取任何操作。

​​观看实际操作​​
观看展示 Azure AI Foundry 和 Microsoft Entra Agent ID 的演示：

[演示链接]
[图片描述：使用 Azure AI Foundry 创建的代理在 Microsoft Entra 租户中自动显示可见，如 Microsoft Entra Agent ID 公开预览版所示。]

观看展示 Copilot Studio 和 Microsoft Entra Agent ID 的演示：

[演示链接]
[图片描述：使用 Copilot Studio 创建的代理在 Microsoft Entra 租户中自动显示可见，如 Microsoft Entra Agent ID 公开预览版所示。]

​​Microsoft Entra Agent ID 的后续计划​​
当前可用的功能只是我们帮助您保护和治理 AI 代理身份标识之旅的第一步。我们知道您需要的不仅仅是可见性，我们正在努力开发下一组功能，以增强您对 AI 代理及其访问资源的控制力。

例如，我们计划扩展 Microsoft Entra Agent ID 的范围，不仅包括使用 Microsoft AI 平台构建的代理，还包括使用各种 AI 开发工具构建的代理。

在未来几个月，Microsoft Entra Agent ID 将推出令人兴奋的新功能，以加强您的零信任安全态势，并为开发人员和身份标识专业人员节省时间。

​​对于开发人员：​​

• ​​内置安全控制：​​ Microsoft Entra 中的代理身份标识将采用最小特权原则控制，仅根据需要请求实时的、范围限定明确的令牌来访问代理所需的资源（例如，访问特定文件或 Teams 频道）。
• ​​即时企业级集成：​​ 代理身份标识将成为 Microsoft Entra 中一个完整的全新身份标识，因此身份标识专业人员可以使用他们为应用和用户所用的相同工具来发现、审批和审核组织的代理。无需额外的安全审查，无需定制的 OAuth 流程。
• ​​可扩展性：​​ 注册一次，您的代理即可在其他 Microsoft Entra 租户中拥有身份标识（每个租户有其自己的策略），同时您只需维护一个代码库和遥测流。

​​对于身份标识专业人员：​​

• ​​更丰富的访问控制：​​ 您将能够设置精细的条件访问策略和详细的权限，基于实时信号和上下文帮助确保 AI 代理仅访问其需要的资源。
• ​​增强的生命周期管理：​​ 您将能够从一开始就实现最小特权访问的自动化，像管理用户和服务身份标识一样严格地管理 AI 代理身份标识，从创建到停用全程覆盖。
• ​​扩展的审计和监控：​​ 您将获得详细的日志和对代理活动的可见性，用于合规性和安全监控，从而追踪每个代理正在执行的操作。

​​携手共赢：与业界、合作伙伴和您协作！​​
我们一直相信安全是团队协作的结果，在保护 AI 代理及其身份标识方面尤其如此。这就是为什么我对我们整个行业共同取得的进展感到如此振奋。两周前，微软宣布支持 Agent2Agent (A2A) 协议，并且我们正在积极与行业协作，为该协议以及流行的 MCP 协议设计企业级的身份标识支持。

[演示链接]
[演示描述：首席工程经理 Nikhil Reddy Boreddy 讲述一个演示，展示一个代理使用 A2A 协议通过其他代理完成任务。]

今天，我还很激动地宣布我们正与 ServiceNow 和 Workday 建立合作伙伴关系。作为合作的一部分，我们将把 Microsoft Entra Agent ID 与 ServiceNow AI 平台和 Workday 代理记录系统集成。这将实现对与人类员工共同履行职责的代理身份标识的自动化配置。同时，我们正在努力分别将 ServiceNow 和 Workday 启用了代理的应用与 Microsoft Entra Agent ID 集成，使得在 ServiceNow 或 Workday 中创建的每个代理都有其自己的身份标识。

我们的愿景是提供全面的代理身份标识和访问管理，让您能够在 AI 成为组织工作流程不可或缺的一部分时高枕无忧。我们对 Microsoft Entra Agent ID 的未来发展感到无比兴奋，并且一如既往地希望您尝试这些新功能。请在下方评论区告诉我们您的想法。

让我们携手确保每一个身份标识——无论是人类还是代理——都得到妥善的管理和保护。