Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Namespace: microsoft.graph
Um esquema de identidade de agente serve como um modelo para criar identidades de agentes no ecossistema Microsoft Entra ID.
Herda da aplicação.
Este recurso é um tipo aberto que permite propriedades adicionais para além das documentadas aqui.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| List | agentIdentityBlueprint collection | Obtenha uma lista dos objetos agentIdentityBlueprint e respetivas propriedades. |
| Create | agentIdentityBlueprint | Crie (registe) um novo agentIdentityBlueprint. |
| Get | agentIdentityBlueprint | Leia as propriedades e relações do objeto agentIdentityBlueprint . |
| Atualizar | agentIdentityBlueprint | Atualize as propriedades de um objeto agentIdentityBlueprint. |
| Upsert | agentIdentityBlueprint | Crie um novo esquema de identidade do agente se este não existir ou atualize as propriedades de um esquema existente. |
| Delete | Nenhum | Eliminar um objeto agentIdentityBlueprint. |
| Credenciais | ||
| Adicionar senha | passwordCredential | Adicione uma palavra-passe segura ou um segredo a um esquema de identidade do agente. |
| Remover senha | passwordCredential | Remover uma palavra-passe ou segredo de um esquema de identidade do agente. |
| Adicionar chave | keyCredential | Adicione uma credencial de chave a um esquema de identidade do agente. |
| Remover chave | Nenhum(a) | Remover uma credencial de chave de um esquema de identidade do agente. |
| Listar credenciais de identidade federada | Coleção federatedIdentityCredential | Obtenha uma lista dos objetos federatedIdentityCredential e respetivas propriedades. |
| Criar credencial de identidade federada | federatedIdentityCredential | Crie um novo objeto federatedIdentityCredential . |
| Obter credencial de identidade federada | federatedIdentityCredential | Leia as propriedades e relações de um objeto federatedIdentityCredential . |
| Atualizar credencial de identidade federada | Nenhum | Atualize as propriedades de um objeto federatedIdentityCredential . |
| Upsert federated identity credential (Credencial de identidade federada upsert) | federatedIdentityCredential | Crie um novo federatedIdentityCredential se não existir ou atualize as propriedades de um objeto federatedIdentityCredential existente. |
| Eliminar credencial de identidade federada | Nenhum | Eliminar um objeto federadoIdentityCredential . |
| Itens excluídos | ||
| List | Coleção directoryObject | Obtenha uma lista de identidades de agentes eliminadas recentemente. |
| Get | directoryObject | Obtenha as propriedades de uma identidade de agente eliminada recentemente. |
| Restaurar | directoryObject | Restaurar uma identidade de agente eliminada recentemente. |
| Excluir permanentemente | Nenhum | Eliminar permanentemente uma identidade de agente. |
| Owners | ||
| Listar proprietários | Coleção directoryObject | Obtenha os proprietários deste principal de esquema de identidade do agente. |
| Adicionar proprietários | directoryObject | Atribua um proprietário a este principal de esquema de identidade do agente. |
| Remover proprietários | Nenhum | Remova um proprietário deste principal de esquema de identidade do agente. |
| Patrocinadores | ||
| Listar patrocinadores | Coleção directoryObject | Obtenha os patrocinadores para este esquema de identidade de agente. Os patrocinadores são utilizadores ou principais de serviço que podem autorizar e gerir o ciclo de vida das instâncias de identidade do agente. |
| Adicionar patrocinadores | directoryObject | Adicione patrocinadores publicando na coleção de patrocinadores. |
| Remover patrocinadores | Nenhum | Remover um objeto directoryObject . |
| Distribuidor verificado | ||
| Set | Nenhum | Definir o distribuidor verificado de um aplicativo. |
| Desmarcar | Nenhum | Desmarcar o distribuidor verificado de um aplicativo. |
Propriedades
Importante
Embora este recurso herda da aplicação, algumas propriedades não são aplicáveis e devolvem null ou são valores predefinidos. Estas propriedades são excluídas da tabela abaixo.
| Propriedade | Tipo | Descrição |
|---|---|---|
| api | apiApplication | Especifica as definições de um esquema de identidade do agente que implementa uma API Web. Herdado da aplicação. |
| appId | Cadeia de caracteres | O identificador exclusivo do esquema de identidade do agente atribuído por Microsoft Entra ID. Não anulável. Somente leitura. Herdado da aplicação. |
| appRoles | Coleção appRole | A coleção de funções definidas para o esquema de identidade do agente. Com as atribuições de funções do aplicativo, essas funções podem ser atribuídas a usuários, grupos ou entidades de serviço de outros aplicativos. Não anulável. Herdado da aplicação. |
| certificação | certificação | Especifica a status de certificação do esquema de identidade do agente. Herdado da aplicação. |
| createdByAppId | Cadeia de caracteres | O appId da aplicação que criou este esquema de identidade do agente. Definir internamente por Microsoft Entra ID. Somente leitura. Herdado da aplicação. |
| createdDateTime | DateTimeOffset | A data e hora em que o esquema de identidade do agente foi registado. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Somente leitura. Herdado da aplicação. |
| description | Cadeia de caracteres | Campo de texto gratuito para fornecer uma descrição do esquema de identidade do agente aos utilizadores finais. O tamanho máximo permitido é de 1024 carateres. A permissão com menos privilégios para atualizar esta propriedade é AgentIdentityBlueprint.UpdateBranding.All. Herdado da aplicação. |
| disabledByMicrosoftStatus | Cadeia de caracteres | Especifica se a Microsoft desativou o esquema de identidade do agente registado. Os valores possíveis são: null (valor predefinido), NotDisablede DisabledDueToViolationOfServicesAgreement (os motivos podem incluir atividades suspeitas, abusivas ou maliciosas ou uma violação do Contrato de Serviços Microsoft). Herdado da aplicação. |
| displayName | Cadeia de caracteres | O nome a apresentar do esquema de identidade do agente. O comprimento máximo é de 256 caracteres. A permissão com menos privilégios para atualizar esta propriedade é AgentIdentityBlueprint.UpdateBranding.All. Herdado da aplicação. |
| groupMembershipClaims | Cadeia de caracteres | Configura a groups afirmação emitida num token de acesso do utilizador ou OAuth 2.0 que o esquema de identidade do agente espera. Para definir este atributo, utilize um dos seguintes valores de cadeia de carateres: None, SecurityGroup (para grupos de segurança e funções de Microsoft Entra), All (obtém todos os grupos de segurança, grupos de distribuição e Microsoft Entra funções de diretório das quais o utilizador com sessão iniciada é membro). Herdado da aplicação. |
| id | Cadeia de caracteres | Identificador exclusivo para o objeto de esquema de identidade do agente. Esta propriedade é referida como ID de Objeto no centro de administração do Microsoft Entra. Chave. Não anulável. Somente leitura. Herdado de directoryObject. |
| identifierUris | Coleção de cadeias de caracteres | Também conhecido como URI do ID da Aplicação, este valor é definido quando um esquema de identidade do agente é utilizado como uma aplicação de recursos. Os identifierUris atuam como o prefixo dos âmbitos que referencia no código da API e têm de ser globalmente exclusivos em Microsoft Entra ID. Não anulável. Herdado da aplicação. |
| informações | informationalUrl | Informações básicas do perfil do esquema de identidade do agente, como os URLs de marketing, suporte, termos de serviço e declaração de privacidade. Os termos de serviço e a política de privacidade são revelados aos usuários por meio da experiência de consentimento do usuário. Herdado da aplicação. |
| keyCredentials | keyCredential collection | A coleção de credenciais de chave associadas ao esquema de identidade do agente. Não anulável. A permissão com menos privilégios para atualizar esta propriedade é AgentIdentityBlueprint.AddRemoveCreds.All. Herdado da aplicação. |
| managerApplications | Coleção de GUIDs | Uma coleção de IDs de aplicação para aplicações originais da Microsoft designadas como gestores deste esquema de agente. As aplicações de gestor podem criar principais de esquema de agente, identidades de agente e utilizadores de agentes para esquemas de agente gerido sem que sejam necessárias permissões altamente privilegiadas, como AgentIdentityBlueprintPrincipal.ReadWrite.All. Limitado a um máximo de 10 entradas. Não anulável. Apenas as aplicações originais da Microsoft podem ser designadas como gestores. Não devolvido por predefinição. Oferece suporte para $select. |
| optionalClaims | optionalClaims | Os programadores de aplicações podem configurar afirmações opcionais nos esquemas de identidade do agente Microsoft Entra para especificar as afirmações que são enviadas para a respetiva aplicação pelo serviço de tokens de segurança da Microsoft. Herdado da aplicação. |
| passwordCredentials | passwordCredential collection | A coleção de credenciais de palavra-passe associadas ao esquema de identidade do agente. Não anulável. A permissão com menos privilégios para atualizar esta propriedade é AgentIdentityBlueprint.AddRemoveCreds.All. Herdado da aplicação. Também pode adicionar palavras-passe depois de criar o esquema de identidade do agente ao chamar a API Adicionar palavra-passe . |
| publisherDomain | String | O domínio do publicador verificado para o esquema de identidade do agente. Somente leitura. Herdado da aplicação. |
| requiredResourceAccess | requiredResourceAccess collection | Especifica os recursos a que o agentIdentityBlueprint precisa de aceder. Essa propriedade também especifica o conjunto de permissões delegadas e funções de aplicativo necessárias para cada um desses recursos. Essa configuração de acesso aos recursos necessários impulsiona a experiência de consentimento. Não é possível configurar mais de 50 APIs (serviços de recursos). O número total de permissões necessárias não pode exceder 400. Para obter mais informações, veja Limites das permissões pedidas por aplicação. Não anulável. Herdado da aplicação. Suporta $filter (eq, not, ge, le). |
| referênciaDeGerenciamentoDeServiços | Cadeia de caracteres | Faz referência as informações de contato do aplicativo ou serviço de um banco de dados de Gerenciamento de Serviços ou Ativos. Anulável. Herdado da aplicação. |
| signInAudience | Cadeia de caracteres | Especifica as contas Microsoft que são suportadas para o esquema de identidade do agente atual. Os valores possíveis são: AzureADMyOrg (predefinição), AzureADMultipleOrgs, AzureADandPersonalMicrosoftAccounte PersonalMicrosoftAccount. Herdado da aplicação. |
| tags | String collection | Cadeias personalizadas que podem ser utilizadas para categorizar e identificar o esquema de identidade do agente. Não anulável. Herdado da aplicação. |
| tokenEncryptionKeyId | Guid | Especifica a keyId de uma chave pública da coleção keyCredentials. Quando configurado, Microsoft Entra ID encripta todos os tokens que emite com a chave para a qual esta propriedade aponta. Herdado da aplicação. |
| Nome único | Cadeia de caracteres | O identificador exclusivo que pode ser atribuído a um esquema de identidade do agente e utilizado como uma chave alternativa. Imutável. Somente leitura. Herdado da aplicação. |
| verifiedPublisher | verifiedPublisher | Especifica o publicador verificado do esquema de identidade do agente. Herdado da aplicação. |
| web | webApplication | Especifica configurações para um aplicativo Web. Herdado da aplicação. |
Limites de permissões solicitadas por aplicativo
Microsoft Entra ID limita o número de permissões que podem ser pedidas e consentidas por uma aplicação cliente. Estes limites dependem do signInAudience valor de uma aplicação, mostrado no manifesto da aplicação.
| signInAudience | Usuários permitidos | Máximo de permissões que o aplicativo pode solicitar | Máximo de permissões do Microsoft Graph que o aplicativo pode solicitar | Máximo de permissões que podem ser consentidas em uma única solicitação |
|---|---|---|---|---|
| AzureADMyOrg | Usuários da organização em que o aplicativo está registrado | 400 | 400 | Cerca de 155 permissões delegadas e cerca de 300 permissões de aplicativo |
| AzureADMultipleOrgs | Utilizadores de qualquer organização Microsoft Entra | 400 | 400 | Cerca de 155 permissões delegadas e cerca de 300 permissões de aplicativo |
| PersonalMicrosoftAccount | Usuários consumidores (como contas do Outlook.com ou Live.com) | 30 | 30 | 30 |
| AzureADandPersonalMicrosoftAccount | Utilizadores e utilizadores consumidores de qualquer organização Microsoft Entra | 30 | 30 | 30 |
Observação
Por ID do agente Microsoft Entra, algumas permissões de alto risco do Microsoft Graph são bloqueadas globalmente para agentes e não podem ser concedidas a identidades de agentes.
Se incluir um âmbito de permissão delegado ou função de aplicação do Microsoft Graph bloqueado na resourceAccess coleção de uma requiredResourceAccess entrada, o pedido é rejeitado com uma resposta HTTP 400 Bad Request e um erro que indica que a permissão está bloqueada e não pode ser concedido às identidades do agente.
Para obter a lista de permissões bloqueadas do Microsoft Graph para agentes, veja Permissões do Microsoft Graph bloqueadas para agentes.
Relações
| Relação | Tipo | Descrição |
|---|---|---|
| appManagementPolicies | appManagementPolicy collection | O appManagementPolicy aplicado a este esquema de identidade do agente. Herdado de microsoft.graph.application |
| federatedIdentityCredentials | Coleção federatedIdentityCredential | Identidades federadas para esquemas de identidade do agente. Herdado de microsoft.graph.application |
| inheritablePermissions | coleção inheritablePermission | Define âmbitos de uma aplicação de recursos que podem ser concedidos automaticamente às identidades do agente sem consentimento adicional. |
| owners | Coleção directoryObject | Objetos de diretório que são proprietários deste esquema de identidade do agente. Os proprietários são um conjunto de utilizadores não administradores ou principais de serviço autorizados a modificar este objeto. Somente leitura. Anulável. Herdado de microsoft.graph.application |
| patrocinadores | Coleção directoryObject | Os patrocinadores deste esquema de identidade de agente. Os patrocinadores são utilizadores ou grupos que podem autorizar e gerir o ciclo de vida das instâncias de identidade do agente. Necessário durante a operação de criação. |
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.agentIdentityBlueprint",
"id": "String (identifier)",
"appId": "String",
"identifierUris": ["String"],
"createdByAppId": "String",
"createdDateTime": "String (timestamp)",
"description": "String",
"disabledByMicrosoftStatus": "String",
"displayName": "String",
"groupMembershipClaims": "String",
"publisherDomain": "String",
"requiredResourceAccess": [{"@odata.type": "microsoft.graph.requiredResourceAccess"}],
"signInAudience": "String",
"tags": ["String"],
"tokenEncryptionKeyId": "Guid",
"uniqueName": "String",
"serviceManagementReference": "String",
"certification": {
"@odata.type": "microsoft.graph.certification"
},
"optionalClaims": {
"@odata.type": "microsoft.graph.optionalClaims"
},
"api": {
"@odata.type": "microsoft.graph.apiApplication"
},
"appRoles": [
{
"@odata.type": "microsoft.graph.appRole"
}
],
"info": {
"@odata.type": "microsoft.graph.informationalUrl"
},
"keyCredentials": [
{
"@odata.type": "microsoft.graph.keyCredential"
}
],
"managerApplications": ["Guid"],
"passwordCredentials": [
{
"@odata.type": "microsoft.graph.passwordCredential"
}
],
"verifiedPublisher": {
"@odata.type": "microsoft.graph.verifiedPublisher"
},
"web": {
"@odata.type": "microsoft.graph.webApplication"
}
}