Löschen und Wiederherstellen von Agent-Identitätsobjekten

Wenn Sie ein Blueprint für eine Agent-Identität löschen, bereinigt Microsoft Entra automatisch alle zugehörigen untergeordneten Agent-Identitäten und Benutzerkonten der Agents. Alle Löschungen sind vorläufige Löschungen – gelöschte Objekte werden in den Papierkorb verschoben und können innerhalb von 30 Tagen wiederhergestellt werden.

Eine konzeptionelle Übersicht über die Funktionsweise der Kaskadenbereinigung und die Berücksichtigung von Kontingenten finden Sie unter Löschung der Agent-Identität funktioniert.

Voraussetzungen

Zum Löschen und Wiederherstellen von Agentidentitätsobjekten benötigen Sie Folgendes:

  • Agent-ID-Administrator zum Anzeigen und Verwalten von Agentidentitätsobjekten.
  • Cloud Application Administrator zum Löschen der Blueprint-Anwendung und ihres Dienstprinzipals.
  • Die Berechtigung Application.ReadWrite.All für Microsoft Graph-API oder Microsoft Entra PowerShell-Vorgänge.
  • Die AgentIdentity.ReadWrite.All Berechtigung zum dauerhaften Löschen von Soft Delete-Agent-Identitäten.
  • Besitzer eines Agentenidentitäts-Blueprints können Agenten-Identitätsobjekte löschen, die diesem Blueprint zugeordnet sind, ohne diese Rollen zu benötigen.

Blueprint löschen

Das Löschen von Agentidentitätsobjekten wird im Microsoft Entra Admin Center nicht unterstützt. Verwenden Sie Microsoft Graph-API oder Microsoft Entra PowerShell, um Blueprints und Agentidentitäten zu löschen.

Sie können den Blueprint für die Agent-Identität und den Blueprint-Prinzipal separat löschen. Das Löschen der App-Registrierung löscht auch den Prinzipal. Wird nur der Prinzipal gelöscht, bleibt die App-Registrierung bestehen.

Hinweis

Standardlöschung ist immer eine sanfte Löschung. Objekte werden in den Papierkorb verschoben, aber nicht sofort entfernt. Das dauerhafte Löschen erfolgt automatisch nach 30 Tagen, oder Sie können ihn mithilfe des standardmäßigen Endgültiglöschvorgangs erzwingen, der unter "Löschen und Wiederherstellen von Anwendungen" beschrieben ist.

Um die Blueprintanwendung zu löschen (wodurch auch die Hauptkomponente gelöscht wird):

DELETE https://graph.microsoft.com/v1.0/applications/{blueprint-app-object-id}

So löschen Sie nur den Blueprint-Prinzipal:

DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{blueprint-principal-object-id}

Hinweis

Explizites hartes Löschen eines Blueprint-Prinzipals (permanentDelete) wird blockiert. Verwenden Sie den oben gezeigten standardmäßigen Löschen-Endpunkt.

Nachdem Sie das Blueprint oder dessen Prinzipal gelöscht haben, löscht Microsoft Entra automatisch alle zugehörigen untergeordneten Agent-Identitäten und Benutzerkonten der Agents mit Soft Delete. Weitere Informationen zu diesem Prozess finden Sie unter "Agent-Identitätslöschung".

Wichtig

Wenn Sie den Blueprint Prinzipal wiederherstellen, bevor die Bereinigung der Kaskade ausgeführt wird, sind die Identitäten untergeordneter Agents nicht betroffen. Nachdem die Bereinigung ausgeführt wurde, muss jede untergeordnete Identität einzeln wiederhergestellt werden. Durch das Wiederherstellen des Blueprint-Prinzipals werden bereits erfolgte Kaskadelöschungen nicht rückgängig gemacht.

Wiederherstellen eines Blueprint-Prinzipals

Sie können ein soft gelöschtes Blueprint-Prinzipal innerhalb von 30 Tagen wiederherstellen. Das Wiederherstellen von Agentidentitätsobjekten wird im Microsoft Entra Admin Center nicht unterstützt. Verwenden Sie Microsoft Graph-API oder Microsoft Entra PowerShell.

POST https://graph.microsoft.com/v1.0/directory/deletedItems/{blueprint-principal-object-id}/restore

Wiederherstellung untergeordneter Agent-Identitäten

Wenn die Kaskadenbereinigung bereits ausgeführt wurde und die untergeordneten Agent-Identitäten Soft Delete gelöscht wurden, stellen Sie jede einzeln wieder her.

Hinweis

Der Microsoft Graph /directory/deletedItems-Endpunkt unterstützt keine Filterung nach Agentidentitätstyp. Abfragen nach gelöschten Dienstprinzipalen und clientseitiges Filtern der Ergebnisse mithilfe bekannter Objekt-IDs, App-IDs oder Anzeigenamen, um die richtigen Agentidentitäten zu identifizieren.

  1. Listen Sie Soft Delete gelöschte Dienstprinzipale auf, um betroffene Agents-Identitäten zu finden:

    GET https://graph.microsoft.com/v1.0/directory/deletedItems/microsoft.graph.servicePrincipal

  2. Filtern Sie die Ergebnisse auf der Client-Seite, um Agent-Identitäten zu identifizieren, die mit Ihrem Blueprint verknüpft sind, und stellen Sie dann jede wieder her.

    POST https://graph.microsoft.com/v1.0/directory/deletedItems/{agent-identity-object-id}/restore

Dauerhaftes Löschen von Agent-Identitätsobjekten

Vorläufig gelöschte Objekte werden weiterhin zum Verzeichniskontingent gezählt, bis sie endgültig gelöscht werden. Wenn Sie das Limit von 250 Agentenidentitäten für einen Blueprint mit Nur-App-Berechtigungen erreicht haben, müssen Sie möglicherweise eine permanente Löschung erzwingen, um die Kapazität sofort freizugeben, anstatt auf den Ablauf der 30-tägigen Aufbewahrungsfrist zu warten. Das permanente Löschen eines Agent-Identität Blueprint Prinzipals ist blockiert. Um Kontingente, die von einem Blueprint Prinzipal verwendet werden, dauerhaft freizugeben, warten Sie, bis die Aufbewahrungsperiode von 30 Tagen abgelaufen ist.

Achtung

Dauerhaft gelöschte Objekte können nicht wiederhergestellt werden. Löschen Sie Objekte nur endgültig, wenn Sie sicher sind, dass sie nicht mehr benötigt werden.

Dauerhaftes Löschen einer per Soft Delete gelöschten Agent-Identität:

DELETE https://graph.microsoft.com/v1.0/directory/deletedItems/{agent-identity-object-id}

Dauerhaftes Löschen einer per Soft Delete gelöschten Blueprint-Anwendung:

DELETE https://graph.microsoft.com/v1.0/directory/deletedItems/{blueprint-app-object-id}

Benutzerkonten von Agents

Die Benutzerkonten von Agents werden 1:1 mit Agentidentitäten gekoppelt. Falls die Benutzerkonten der Agenten nicht automatisch bei der Kaskadenlöschung bereinigt werden, löschen Sie sie manuell.

DELETE https://graph.microsoft.com/v1.0/users/{agent-user-object-id}

Verwandte Inhalte

  • Last updated on