Erstellen von Agentidentitäten in der Agent-Identitätsplattform

Nachdem Sie einen Agent-Identitäts-Blueprint erstellt haben, besteht der nächste Schritt darin, eine oder mehrere Agentidentitäten zu erstellen, die KI-Agents in Ihrem Mandanten darstellen. Die Erstellung der Agentidentität wird in der Regel ausgeführt, wenn ein neuer KI-Agent bereitgestellt wird.

Sie können Agentidentitäten auf zwei Arten erstellen:

Microsoft Entra Admin Center – Verwenden Sie den Admin Center-Assistenten, um eine schnelle, individuelle Identitätserstellung zu erzielen.
Microsoft Graph-API – Erstellen Sie einen Webdienst, der Agentidentitäten programmgesteuert erstellt, was für die automatisierte Bereitstellung im großen Maßstab nützlich ist.

Wenn Sie Agentidentitäten schnell zu Testzwecken erstellen möchten, sollten Sie dies Microsoft Entra es PowerShell-Modul zum Erstellen und Verwenden von Agentidentitäten verwenden.

Voraussetzungen

Zum Erstellen von Agentidentitäten benötigen Sie Folgendes:

Ein Agentidentitäts-Blueprint. Notieren Sie die ID der Agentenidentitäts-Blueprint-Anwendung aus dem Erstellungsprozess.
Ein Webdienst oder eine Anwendung (lokal ausgeführt oder in Azure bereitgestellt), der die Agentidentitätserstellungslogik hostt. Diese Voraussetzung gilt nur, wenn Sie Agentidentitäten programmgesteuert erstellen.

Verwenden Sie das Microsoft Entra Admin Center

Sie können eine Agent-Identität direkt im Microsoft Entra Admin Center erstellen, indem Sie einen vorhandenen Blueprint auswählen und Besitzer und Sponsoren zuweisen.

Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Agents>Agent-Identitäten.
Wählen Sie "Neue Agentidentität" (Vorschau) aus.
Auf der Registerkarte "Grundlagen":
- Wählen Sie unter "Agent-Blueprint" einen Blueprint aus, aus dem Sie Ihre Agentidentität erstellen möchten.
- Geben Sie im Feld "Agent-Identitätsname " einen Namen ein, und wählen Sie "Weiter" aus.
Fügen Sie im Tab 'Besitzer & Sponsoren' bei Bedarf Besitzer und Sponsoren für die Identität hinzu:
- Wählen Sie das Bleistiftsymbol neben dem Feld "Besitzer " aus, um Benutzer zu ändern oder hinzuzufügen, die diese Agentidentität verwalten können.
- Wählen Sie das Bleistiftsymbol neben dem Feld " Sponsoren " aus, um Benutzer zu ändern oder hinzuzufügen, die diese Agentidentität unterstützen können.
Hinweis

Sponsoren können Benutzer, dynamische Mitgliedschaftsgruppen oder Microsoft 365 Gruppen sein. Sicherheitsgruppen und rollenzuweisungsfähige Gruppen werden nicht als Sponsoren unterstützt.
Wählen Sie Weiter aus.
Überprüfen Sie Ihre Einstellungen, und wählen Sie dann "Erstellen" aus.
Wählen Sie "Fertig " aus, um den Assistenten zu beenden oder zur Agentidentität zu wechseln , um die Detailseite der Identität anzuzeigen oder weitere Einstellungen zu konfigurieren.

In den folgenden Schritten erfahren Sie, wie Sie Agentidentitäten programmgesteuert mithilfe von Microsoft Graph-API und Microsoft.Identity.Web erstellen. Rufen Sie zuerst ein Zugriffstoken ab, und rufen Sie dann die Erstellungs-API auf.

Microsoft Graph-API
Microsoft. Identity.Web

Abrufen eines Zugriffstokens mithilfe des Agenten-Identitäts-Blueprints

Sie verwenden den Agentidentitäts-Blueprint, um jede Agentidentität zu erstellen. Anfordern eines Zugriffstokens von Microsoft Entra mithilfe Ihres Agent-Identitäts-Blueprints:

Wenn Sie eine verwaltete Identität zur Anmeldung verwenden, müssen Sie zunächst ein Zugriffstoken mithilfe Ihrer verwalteten Identität abrufen. Verwaltete Identitätstoken können von einer IP-Adresse angefordert werden, die lokal in der Computeumgebung verfügbar gemacht wird. Ausführliche Informationen finden Sie in der Dokumentation zur verwalteten Identität.

GET http://169.254.169.254/metadata/identity/oauth2/token?api-version=2019-08-01&resource=api://AzureADTokenExchange/.default
Metadata: True

Nachdem Sie ein Token für die verwaltete Identität abgerufen haben, fordern Sie ein Token für das Blueprint der Agentenidentität an.

POST https://login.microsoftonline.com/<my-test-tenant>/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id=<agent-blueprint-id>
scope=https://graph.microsoft.com/.default
client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_assertion=<msi-token>
grant_type=client_credentials

Ein client_secret Parameter kann auch anstelle von client_assertion und client_assertion_type, wenn ein geheimer Clientschlüssel in der lokalen Entwicklung verwendet wird, verwendet werden.

So installieren Sie Microsoft. Identity.Web:

dotnet add package Microsoft.Identity.Web

Microsoft. Identity.Web enthält eine Schnittstelle, die automatisch ein Zugriffstoken anfordert und an ausgehende HTTP-Anforderungen anfügt. Bei Verwendung von Microsoft. Identity.Web können Sie mit dem nächsten Schritt fortfahren.

Erstellen einer Agentidentität

Mithilfe des im vorherigen Schritt erworbenen Zugriffstokens können Sie jetzt Agentidentitäten in Ihrem Mandanten erstellen. Die Erstellung der Agentidentität kann als Reaktion auf viele verschiedene Ereignisse oder Trigger auftreten, z. B. wenn ein Benutzer eine Schaltfläche auswählt, um einen neuen Agent zu erstellen. Es wird empfohlen, für jeden Agent eine Agent-Identität zu erstellen. Sie können jedoch je nach Ihren Anforderungen einen anderen Ansatz auswählen.

Microsoft Graph-API
Microsoft. Identity.Web

Fügen Sie bei Verwendung von @odata.type immer die OData-Version in die Kopfzeile ein.

POST https://graph.microsoft.com/beta/serviceprincipals/Microsoft.Graph.AgentIdentity
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
	"displayName": "My Agent Identity",
	"agentIdentityBlueprintId": "<my-agent-blueprint-id>",
	"sponsors@odata.bind": [
		"https://graph.microsoft.com/v1.0/users/<id>",
		"https://graph.microsoft.com/v1.0/groups/<group-id>"
	],
}

Hinweis

Beim Zuweisen einer Gruppe als Sponsor werden nur unterstützte Gruppentypen akzeptiert. Gruppen werden nicht als Besitzer unterstützt.

Verwenden Sie Microsoft. Identity.Web um die Microsoft Graph-API Anforderung zum Erstellen einer Agentidentität auszuführen, fügen Sie die folgende MISE-Konfigurationsdatei hinzu:

Warnung

Geheime Clientschlüssel sollten aufgrund von Sicherheitsrisiken nicht als Clientanmeldeinformationen in Produktionsumgebungen für Agentidentitäts-Blueprints verwendet werden. Verwenden Sie stattdessen sicherere Authentifizierungsmethoden wie Verbundidentitätsanmeldeinformationen (FIC) mit verwalteten Identitäten oder Clientzertifikaten. Diese Methoden bieten eine verbesserte Sicherheit, da vertrauliche geheime Schlüssel nicht direkt in Ihrer Anwendungskonfiguration gespeichert werden müssen.

{
  "AzureAd": {
	"Instance": "https://login.microsoftonline.com/",
	"TenantId": "<my-test-tenant>",
	"ClientId": "<my-agent-blueprint-id>",
	"Scopes": "access_agent",
	"ClientCredentials": [
		{
			"SourceType": "ClientSecret",
			"ClientSecret": "your-client-secret"
		}
	]
  },

  "DownstreamApis": {
	"agent-identity": {
	  "BaseUrl": "https://graph.microsoft.com",
	  "RelativePath": "/beta/serviceprincipals/Microsoft.Graph.AgentIdentity",
	  "Scopes": ["00000003-0000-0000-c000-000000000000/.default"],
	  "RequestAppToken": true
	}
  }
}

Der Code für die ASP.NET Core-App (Program.cs) ist das folgende Beispiel:

using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.Resource;
using Microsoft.IdentityModel.S2S.Extensions.AspNetCore;
using MyAgent;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddMicrosoftIdentityWebApiAuthentication(builder.Configuration)
	.EnableTokenAcquisitionToCallDownstreamApi();
builder.Services.AddInMemoryTokenCaches();
var app = builder.Build();

app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();

public class AgentIdentity
{
	[JsonPropertyName("@odata.type")]
	public string @odata_type { get; set; } = "#Microsoft.Graph.AgentIdentity";

	[JsonPropertyName("displayName")]
	public string? displayName { get; set; }

	[JsonPropertyName("agentIdentityBlueprintId")]
	public string? agentIdentityBlueprintId { get; set; }

	[JsonPropertyName("id")]
	public string? id { get; set; }

  [JsonPropertyName("sponsors@odata.bind")]
	public string[]? sponsorsOdataBind { get; set; }

  [JsonPropertyName("owners@odata.bind")]
	public string[]? ownersOdataBind { get; set; }
}

// Create an Agent identity
app.MapGet("/create-agent-identity", async (HttpContext httpContext) =>
{
	try
	{
		// Get the service to call the downstream API (preconfigured in the appsettings.json file)
		IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

		// Call the downstream API with a POST request to create an Agent Identity
		var jsonResult = await downstreamApi.PostForAppAsync<AgentIdentity, AgentIdentity>(
			"agent-identity",
			new AgentIdentity {
				displayName = "My agent identity",
				agentIdentityBlueprintId = "<my-agent-blueprint-id>",
		  sponsorsOdataBind = new [] { "https://graph.microsoft.com/v1.0/users/<id>" }
			}
		  );
		return jsonResult?.id;
	}
	catch (Exception ex)
	{
		return ex.Message;
	}

})

app.Run();

Löschen einer Agentidentität

Wenn ein Agent zugeordnet oder zerstört wird, sollte Ihr Dienst auch die zugeordnete Agent-Identität löschen:

Microsoft Graph-API
Microsoft. Identity.Web

DELETE https://graph.microsoft.com/beta/serviceprincipals/<agent-identity-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

// Delete an Agent identity
app.MapGet("/delete-agent-identity", async (HttpContext httpContext, string id) =>
{
	// Get the service to call the downstream API (preconfigured in the appsettings.json file)
	IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

	// Call the downstream API with a DELETE request to remove an Agent Identity
	var jsonResult = await downstreamApi.DeleteForAppAsync<string, string>(
		"agent-identity",
		null!,
		options =>
		{
			options.RelativePath += $"/{id}"; // Specify the ID of the agent identity to delete
		});
	return jsonResult;
})

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-01