AI agents should not use author (maker) authentication for connections
Dlaczego to jest istotne
Gdy agenci AI wykorzystują uwierzytelnianie autorskie dla narzędzi łączników, działają w oparciu o uprawnienia twórcy, a nie użytkownika końcowego. Oznacza to, że użytkownik wchodzący w interakcję z agentem może przypadkowo uzyskać dostęp do danych lub usług wykraczających poza jego autoryzowany zakres. Dla administratorów IT stanowi to znaczną lukę bezpieczeństwa, która może prowadzić do eskalacji uprawnień lub niezamierzonego ujawnienia danych.
Co sprawdza Aether365
To sprawdzenie skanuje wszystkich agentów Copilot Studio w Twojej dzierżawie Microsoft 365 w celu zidentyfikowania narzędzi łączników skonfigurowanych z uwierzytelnianiem autorskim zamiast uwierzytelniania użytkownika końcowego. Wynik ten zobaczysz na pulpicie nawigacyjnym Aether365 w sekcji microsoft-365 checks jako AE.1118.
Jak naprawić
- Zaloguj się do Copilot Studio i przejdź do sekcji Agents.
- Wybierz agenta, którego narzędzia łączników zostały oznaczone przez to sprawdzenie.
- Na karcie Tools agenta znajdź każdy łącznik wymieniony w wynikach.
- Dla każdego łącznika zmień ustawienie uwierzytelniania z "Agent author authentication" na "User authentication".
- Zapisz zmiany i przetestuj agenta, aby potwierdzić, że łącznik używa teraz poświadczeń rozmawiającego użytkownika.
Zgodność
- Framework: Inne (najlepsze praktyki bezpieczeństwa Microsoft dla Copilot Studio)
- Odniesienia: Brak