Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Administratoren, die in Identitäts- und Zugriffsverwaltung und Sicherheit arbeiten, benötigen klare Einblicke in die Weise, wie KI-Agent-Identitäten einem Mandanten hinzugefügt werden, wie sie hinzugefügt werden und was sie tun, wenn sie dort sind. In diesem Artikel werden die verschiedenen Kanäle beschrieben, über die Agentidentitäten in Ihrem Microsoft Entra-Mandanten erstellt werden können, die für jeden Kanal erforderlichen Rollen und Berechtigungen sowie Strategien für die Überwachung und Steuerung der Agentidentitätserstellung.
Übersicht über die Erstellungskanäle
Agentenidentitäts-Blueprints können über mehrere Kanäle zu Ihrem Mandanten gelangen. Jeder Kanal impliziert unterschiedliche Überwachungs- und Kontrollpunkte:
| Kanal | Typische Schauspieler | Kann gesteuert werden durch |
|---|---|---|
| *Microsoft Entra Admin Center/Azure Portal | Entwickler, Administratoren | Rollenzuweisungen |
| Microsoft Graph-API | Automatisierung, DevOps-Pipelines, Integrationsdienste | Microsoft Graph-Berechtigungserteilungen |
| CLI, PowerShell, Infrastruktur als Code | DevOps, Administratoren | Rollenzuweisungen |
| *Microsoft Produktintegrationen | Benutzer von Microsoft-Agent-Plattformen | Administrative Kontrollen für jedes Produkt |
| *Microsoft Entra ID Zustimmungserfahrung | Mitarbeiter, Mitglieder der Organisation | App-Zustimmungsrichtlinien |
- Gibt einen Kanal für verwaltete Erfahrungen an.
Wenn Ihrem Mandanten über eine der verwalteten Umgebungen ein Agentenidentitäts-Blueprint hinzugefügt wird, wird auch ein Agentenidentitäts-Blueprint-Prinzipalobjekt im Mandanten erstellt. Diesem Prinzipal werden Berechtigungen zugewiesen, damit er Agentenidentitäten und die Benutzerkonten der Agenten für den Mandanten erstellen kann. Wenn ein Agentenidentitäts-Blueprint über die Kanäle Microsoft Graph-API, CLI, PowerShell oder Infrastructure-as-Code hinzugefügt wird, muss die zugehörige Entität manuell erstellt werden.
Zusätzlich zu den in der vorherigen Tabelle aufgeführten Kanälen wird jedes System mit einem Agentenidentität-Blueprint-Prinzipal in Ihrem Mandanten zu einem Kanal für die Erstellung der Agentenidentität und des Benutzerkontos:
| Kanal | Typische Schauspieler | Kann gesteuert werden durch |
|---|---|---|
| Prinzipale des Agenten-Identitätsentwurfs | Von Microsoft entwickelte Agents und von Nicht-Microsoft entwickelte Agents, die Ihrem Mandanten hinzugefügt wurden. | Microsoft Entra-Anwendungsberechtigungen |
In den folgenden Abschnitten finden Sie weitere Details zu den einzelnen Kanälen.
Workflows für die Erstellung von Agentidentitäten
Folgende Tabelle enthält drei Beispiele dafür, wie sich Agentenidentitäten mithilfe eines der in den vorherigen Abschnitten beschriebenen Kanälen einem Mandanten hinzufügen lassen.
| Integriert in Copilot Studio | Erstellt von Entwickler | Nicht von Microsoft erstellt | |
|---|---|---|---|
| Agent-Bauplanquelle | Automatisch hinzugefügt, wenn Copilot Studio aktiviert ist | Entwickler erstellt über das Microsoft Entra Admin Center | Hinzugefügt, wenn Mitarbeiter dem Agenten zustimmen |
| Wer erstellt den Agent | Mitarbeiter in Copilot Studio | Entwickler mittels Code unter Verwendung eines Agenten-Blueprints | Nicht-Microsoft-Vertreter (nach Kauf/Einwilligung) |
| Identitätserstellung | Copilot Studio erstellt Identität im Mandanten | Code erstellt Identität über Microsoft Graph | Agent erstellt Identität über Microsoft Graph |
Microsoft Entra Admin Center, Microsoft Graph und CLI-Tools
Entwicklern und anderen Mitgliedern Ihrer Organisation können Über das Microsoft Entra Admin Center, das Azure-Portal, die Microsoft Graph PowerShell/CLI, Bicep/ARM-Vorlagen und andere Tools Berechtigungen zum Erstellen von Agentidentitäts-Blueprints erteilt werden. Diese Tools erstellen alle Agentenidentitäten-Blueprints durch Aufruf von Microsoft Graph-APIs.
Zum Erstellen eines Agentidentitäts-Blueprints mit diesen Tools ist eine der folgenden Berechtigungen erforderlich:
| Szenario | Erforderliche Berechtigungen |
|---|---|
| Der Benutzer erstellt einen Blueprint über das Microsoft Entra Admin Center, CLIs | Dem Benutzer muss die Rollen " Agent-ID-Entwickler" oder " Agent-ID-Administrator " zugewiesen sein. |
| Der Client erstellt einen Blueprint über Microsoft Graph mit delegierten Berechtigungen. | Der Benutzer muss über die in der vorherigen Zeile erwähnten Rollen verfügen. Dem Client muss mindestens die delegierte Berechtigung "AgentIdentityBlueprint.Create " erteilt werden. |
| Der Client erstellt einen Blueprint über Microsoft Graph mithilfe von Anwendungsberechtigungen | Dem Client muss AgentIdentityBlueprint.Create-Anwendungsberechtigung erteilt werden. |
Zum Erstellen einer Agentidentität mit diesen Tools ist eine der folgenden Berechtigungen erforderlich:
| Szenario | Erforderliche Berechtigungen |
|---|---|
| Benutzer erstellt eine Agentenidentität über das Microsoft Entra Admin Center, Microsoft Graph oder PowerShell/CLI. | Dem Benutzer muss die Rolle "Agent-ID-Entwickler", "Agent-ID-Administrator" oder "KI-Administrator " zugewiesen sein. |
| Client erstellt Agentidentität über Microsoft Graph mithilfe delegierter Berechtigungen | Dem Benutzer muss die Rolle " Agent-ID-Administrator" zugewiesen sein. Dem Clienten muss AgentIdentity.Create.All oder AgentIdentity.ReadWrite.All delegierte Berechtigungen erteilt werden. |
| Client erstellt Agentidentität über Microsoft Graph mithilfe delegierter Berechtigungen | Der Benutzer muss Besitzer des Agentenidentitäts-Blueprints oder des Agentenidentitäts-Blueprint-Prinzipals sein (zu einer beliebigen Zeit hinzugefügte Besitze verfügen über diese Berechtigung). Dem Client muss die zugewiesene Berechtigung AgentIdentity.Create.All, AgentIdentity.ReadWrite.All oder AgentIdentity.ReadWrite.ManagedBy erteilt werden. Es ist keine Agent-ID-Rolle erforderlich. |
| Client erstellt Agentidentität über Microsoft Graph mithilfe von Anwendungsberechtigungen | Dem Client muss die Anwendungsberechtigung AgentIdentity.Create.All erteilt werden. |
Das Erstellen des Benutzerkontos eines Agents mit diesen Tools erfordert eine der folgenden Berechtigungen:
| Szenario | Erforderliche Berechtigungen |
|---|---|
| Der Benutzer erstellt das Benutzerkonto des Agents über Microsoft Entra Admin Center, Microsoft Graph oder PowerShell/CLI. | Dem Benutzer muss die Rolle "Agent-ID-Administrator " oder " Benutzeradministrator " zugewiesen sein. |
| Der Client erstellt das Benutzerkonto des Agents über Microsoft Graph mithilfe delegierter Berechtigungen. | Der Benutzer muss über die Rollen in der vorherigen Zeile verfügen. Dem Client muss AgentIdUser.ReadWrite.All delegierte Berechtigung erteilt werden. |
| Der Client erstellt das Benutzerkonto des Agents über Microsoft Graph mithilfe von Anwendungsberechtigungen. | Dem Client muss AgentIdUser.ReadWrite.All-Anwendungsberechtigung erteilt werden. |
Administratoren können die Erstellung von Agenten-Identitäten über diese Kanäle steuern, indem sie einschränken, welchen Benutzern und Clients die Berechtigungen aus der vorherigen Tabelle zugewiesen werden. Weitere Informationen finden Sie in der Referenz zu Berechtigungen für die Agentenidentität.
Microsoft-Produktintegrationen
Mitarbeiter können Agents über viele Microsoft-Produkte erstellen. Diese Produkte sind in die Identitätsplattform von Microsoft Entra Agent integriert und können Agentenidentitäts-Blueprints, Agentenidentitäten und die Benutzerkonten der Agenten in Mandanten erstellen. Microsoft-Produkte, die mit der Microsoft Entra Agent-ID integriert sind, umfassen:
| Produkt | Dokumentation |
|---|---|
| Microsoft Copilot Studio | Copilot Studio-Dokumentation |
| Microsoft Security Copilot | Security Copilot-Dokumentation |
| Azure AI Foundry | Azure AI Foundry -Dokumentation |
Administratoren können die Erstellung der Agent-Identität über diese Kanäle mithilfe der Verwaltungstools für jedes jeweilige Produkt steuern.
Zustimmungserfahrung für Microsoft Entra-ID
Wenn Benutzer sich zum ersten Mal bei Drittanbieter-Agents anmelden, zeigt die Microsoft Entra ID-Anmeldeoberfläche dem Benutzer eine "Zustimmungsseite" an. Auf der Zustimmungsseite können Mitarbeitende ihrem Mandanten den Agenten hinzufügen, was zur Erstellung eines Agentenidentitäts-Blueprint-Prinzipals führt.
Prinzipale des Agenten-Identitätsentwurfs
Nach Erstellung eines Agentenidentitäts-Blueprint-Prinzipals wird den Prinzipal die Berechtigung zur Erstellung von Agentenidentitäten und Benutzerkonten der Agenten zugewiesen. Der Hauptbenutzer kann außerdem alle Identitäten, die er erstellt hat, aktualisieren und löschen. In der folgenden Tabelle werden Berechtigungen beschrieben, die diesen Prinzipalen zugewiesen werden können:
| Entität | Erlaubnis | Kommentare |
|---|---|---|
| Agent-Identität |
AgentIdentity.CreateAsManager (Anwendungsberechtigung) |
Diese Berechtigung wird jedem Agentenidentitäts-Blueprint-Prinzipal im Mandanten automatisch erteilt. Es ermöglicht dem Prinzipal, Agentenidentitäten zu erstellen sowie die von ihm erstellten Agentenidentitäten zu aktualisieren und zu löschen. Diese Berechtigung kann nicht widerrufen werden. Um zu verhindern, dass ein Prinzipal Agentenidentitäten erstellt, müssen Sie ihn deaktivieren oder den Prinzipal aus dem Mandanten entfernen. Prinzipale dürfen maximal 250 Agentenidentität erstellen. |
| Benutzerkonto des Agenten |
AgentIdUser.ReadWrite.IdentityParentedBy (Anwendungsberechtigung) |
Ein Microsoft Entra ID-Administrator muss diese Berechtigung einem Agentenidentitäts-Blueprint-Prinzipal erteilen. Sobald dies gewährt wurde, kann der Prinzipal die Benutzerkonten von Agenten erstellen und alle Benutzer aktualisieren und löschen, die er erstellt hat. Die Berechtigung kann widerrufen werden. |
Administratoren können die Erstellung von Agentenidentitäten über diesen Kanal steuern, indem sie einschränken, welche Agentenidentitäts-Blueprints ihrem Mandanten als Agentenidentitäts-Blueprint-Prinzipale hinzugefügt werden dürfen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Referenz zu Agentidentitätsberechtigungen.
Prüfung und Überwachen der Erstellung von Agentidentitäten
Alle Agent-Identitätserstellungen werden in Microsoft Entra-Überwachungsprotokollen aufgezeichnet. Mithilfe von Audit-Protokollen können Sie ermitteln, welcher Kanal zum Erstellen eines Agent-Identitäts-Blueprints, eines Agent-Identitäts-Blueprint-Prinzips, einer Agent-Identität oder eines Benutzerkontos des Agenten verwendet wurde.
| Objective | Wie implementiert man | Werkzeug / Quelle |
|---|---|---|
| Erkennung neuer Agentenidentitäten | Abonnieren Sie die Filterung von Auditereignissen nach Agenten-Identitätsobjekttyp und Erstellungsvorgängen. | Microsoft Entra-Überwachungsprotokolle |
| Inventarisieren aller Agentidentitäten | Verwenden Sie Microsoft Graph-APIs, um alle Agentidentitätsobjekte nach Objekttyp abzufragen. | Microsoft Graph-Dokumente |