AI agents should not use author (maker) authentication for connections
Por qué es importante
Cuando los agentes de IA utilizan la autenticación del autor para las herramientas de conector, operan bajo los permisos del creador en lugar de los del usuario final. Esto significa que un usuario que interactúa con el agente podría acceder inadvertidamente a datos o servicios más allá de su alcance autorizado. Para los administradores de TI, esto representa una brecha de seguridad significativa que puede derivar en escalada de privilegios o exposición no deseada de datos.
Qué comprueba Aether365
Esta comprobación examina todos los agentes de Copilot Studio en su inquilino de Microsoft 365 para identificar cualquier herramienta de conector configurada con autenticación del autor en lugar de autenticación del usuario final. Verá este resultado en el panel de Aether365 bajo las comprobaciones de microsoft-365 como AE.1118.
Cómo solucionarlo
- Inicie sesión en Copilot Studio y navegue hasta la sección Agents.
- Seleccione el agente que tiene herramientas de conector marcadas por esta comprobación.
- En la pestaña Tools del agente, localice cada conector listado en los resultados.
- Para cada conector, cambie la configuración de autenticación de "Agent author authentication" a "User authentication".
- Guarde los cambios y pruebe el agente para confirmar que el conector ahora utiliza las credenciales del usuario que chatea.
Cumplimiento
- Marco de referencia: Otros (práctica recomendada de seguridad de Microsoft para Copilot Studio)
- Referencias: No se proporcionan