AI agents should not use author (maker) authentication for connections
Perche' e' Importante
Quando gli agenti AI utilizzano l'autenticazione dell'autore per gli strumenti connettori, operano con le autorizzazioni del creatore anziche' con quelle dell'utente finale. Questo significa che un utente che interagisce con l'agente potrebbe accidentalmente accedere a dati o servizi al di la' del proprio ambito autorizzato. Per gli amministratori IT, questo rappresenta una significativa lacuna di sicurezza che puo' portare a escalation dei privilegi o esposizione involontaria dei dati.
Cosa Controlla Aether365
Questo controllo esamina tutti gli agenti di Copilot Studio nel tenant di Microsoft 365 per identificare eventuali strumenti connettori configurati con autenticazione dell'autore anziche' autenticazione dell'utente finale. Vedrai questo risultato nella dashboard di Aether365 sotto i controlli microsoft-365 con il codice AE.1118.
Come Risolvere
- Accedi a Copilot Studio e vai alla sezione Agents.
- Seleziona l'agente che ha gli strumenti connettori segnalati da questo controllo.
- Nella scheda Tools dell'agente, individua ciascun connettore elencato nei risultati.
- Per ciascun connettore, modifica l'impostazione di autenticazione da "Agent author authentication" a "User authentication".
- Salva le modifiche e testa l'agente per confermare che il connettore ora utilizzi le credenziali dell'utente che sta conversando.
Conformita'
- Framework: Altro (pratica di sicurezza Microsoft per Copilot Studio)
- Riferimenti: Nessuno fornito