Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine Agentidentität ist ein spezieller Dienstprinzipal in Microsoft Entra ID. Es stellt eine Identität dar, die von der Agentidentitäts-Blaupause erstellt wurde und von dieser nachgeahmt werden darf. Es besitzt keine eigenen Zugangsdaten. Das Blueprint für die Agent-Identität kann Token im Namen der Agent-Identität beziehen, sofern der Benutzer oder der Mandant-Administrator der Agent-Identität für die entsprechenden Bereiche zugestimmt hat. Autonome Agenten erwerben App-Tokens im Namen der Agentenidentität. Interaktive Agenten, die mit einem Benutzertoken aufgerufen werden, erwerben Benutzertokens im Namen der Agentenidentität.
Agentidentitäten können verwendet werden, um:
- Fordern Sie Agententokens von Microsoft Entra ID an. Das Subjekt des Zugriffstokens ist die Identität des Agenten.
- Empfangen von eingehenden Zugriffstoken, die von Microsoft Entra ID ausgestellt wurden. Die Zielgruppe des Zugriffstokens ist die Agentidentität.
- Fordern Sie Benutzertoken von Microsoft Entra ID für einen authentifizierten Benutzer an. Das Subjekt des Tokens ist ein Benutzer, während der Akteur die Agentenidentität ist.
Anatomie einer Agentidentität
Ein konto, das von einem KI-Agent verwendet wird, wird als Agentidentität bezeichnet. Ähnlich wie Ihr typisches Benutzerkonto verfügt eine Agentidentität über einige wichtige Komponenten:
Bezeichner. Jede Agentidentität weist eine
id(auch als Objekt-ID bezeichnet) auf, z. B.aaaaaaaa-1111-2222-3333-bbbbbbbbbb. Microsoft Entra generiert denidund identifiziert das Konto eindeutig innerhalb eines Microsoft Entra-Mandanten.Anmeldeinformationen. Agent-Identitäten haben keine eigenen Anmeldeinformationen. Sie verlassen sich auf das Blueprint der Agent-Identität, um Token in ihrem Namen zu beziehen.
Anzeigename. Der Anzeigename einer Agentidentität wird in vielen Umgebungen wie dem Microsoft Entra Admin Center, Azure Portal, Teams, Outlook und mehr angezeigt. Es ist der benutzerfreundliche Name eines Agenten und kann geändert werden.
Sponsor. Agentidentitäten können einen Sponsor haben, der den menschlichen Benutzer oder die Gruppe erfasst, die für einen Agenten verantwortlich ist. Dieser Sponsor wird für verschiedene Zwecke verwendet, z. B. um mit einer Person Kontakt aufzunehmen, falls ein Sicherheitsvorfall eintritt.
Blueprint. Alle Agentidentitäten werden aus einer wiederverwendbaren Vorlage erstellt, die als Agentidentitäts-Blueprint bezeichnet wird. Der Agentidentitäts-Blueprint legt die Art des Agenten fest und erfasst Metadaten, die über alle Agentenidentitäten einer gemeinsamen Art hinweg geteilt werden.
Das Benutzerkonto des Agents (optional) Einige Agents benötigen Zugriff auf Systeme, die unbedingt ein Microsoft Entra Benutzerkonto für die Authentifizierung verwenden müssen. In diesen Fällen kann ein Agent ein zweites Konto erhalten, das als Benutzerkonto eines Agenten bezeichnet wird. Dieses zweite Konto ist ein Benutzerkonto im Microsoft Entra Mandant, das als KI Agent ausgezeichnet ist. Sie hat einen anderen
idals die Agent-Identität, aber es wird immer eine 1:1-Beziehung zwischen einer Agent-Identität und dem Benutzerkonto des Agents hergestellt.
Dies sind die grundlegenden Komponenten einer Agentidentität, die sichere Authentifizierung und Autorisierung ermöglichen. Das vollständige Objektschema einer Agentidentität ist in Microsoft Graph Referenzdokumentation verfügbar.
Autorisierung von Agentidentitäten
Die Agentidentität ist das primäre Konto, das von einem KI-Agent zur Authentifizierung bei verschiedenen Systemen verwendet wird. Es verfügt über eindeutige Bezeichner wie die Objekt-ID und die App-ID, die immer denselben Wert aufweisen und zuverlässig für Authentifizierungs- und Autorisierungsentscheidungen verwendet werden können.
Im Gegensatz zu menschlichen Benutzern verwenden KI-Agents keine Kennwörter, sms (Short Message Service), Passkeys oder Authenticator-Apps für die Authentifizierung. Agent-Identitäten haben keine eigenen Anmeldeinformationen. Sie authentifizieren sich nur mithilfe von Verbundidentitätsdaten (FIC), die durch den Agenten-Identitäts-Blueprint ausgestellt werden. Der Blueprint verfügt über Anmeldeinformationen, mit denen er Token im Namen von Agent-Identitäten bezieht. Anmeldeinformationen befinden sich nicht in der Identität des Agents. Diese Anmeldeinformationen auf dem Blueprint umfassen:
- Anmeldeinformationen für Verbundidentitäten
- Zertifikate/Kryptografieschlüssel
- Client-Geheimnisse
Agent-Identitäten können nur in dem Microsoft Entra Mandant ausgestellt werden, in dem sie erstellt wurden. Sie können nicht auf Ressourcen oder APIs in anderen Mandanten zugreifen.
Hinweis
Während Agent-Identitäten mandantenfähig sind, können Blueprints für Agent-Identitäten als mandantenfähig konfiguriert werden. Ein mandantenübergreifendes Blueprint kann veröffentlicht und anderen Mandanten hinzugefügt werden, wo es mandantenlokale Agent-Identitäten erstellt. Die Agent-Identitäten selbst bleiben immer ein Mandant.
Blueprints: Konsistente Sicherheit für Agentidentitäten
Ein wesentliches Merkmal von Agentidentitäten besteht darin, dass alle Agentidentitäten aus einer wiederverwendbaren Vorlage erstellt werden, die als Agentidentitäts-Blueprint bezeichnet wird. Der Entwurf legt die "Art" des Agents fest und zeichnet Metadaten auf, die mit allen Agentenidentitäten eines gemeinsamen Typs geteilt werden.
Stellen Sie sich vor, dass eine Organisation einen KI-Agent namens "Vertriebsmitarbeiter" verwendet. Unabhängig davon, ob der Agent gekauft oder intern integriert ist, wird dem Microsoft Entra Mandanten der Organisation ein Agent-Identitäts-Blueprint hinzugefügt. Der Blueprint erfasst die folgenden Informationen:
- Der Name des Blueprints, z. B. "Vertriebsmitarbeiter"
- Die Organisation, die den Blueprint veröffentlicht hat, z. B. "Contoso"
- Alle Rollen, die der Agent anbieten kann, z. B. "Vertriebsmanager" oder "Vertriebsmitarbeiter"
- Alle Microsoft Graph-Berechtigungen, die seinen Agenten erteilt werden, z. B. "Den Kalender des angemeldeten Benutzers lesen"
Viele Vertriebsteams innerhalb der Organisation stellen den KI-Agent bereit. Ein Agent wird für den Vertrieb in Nordamerika eingesetzt. Ein weiterer wird für den Vertrieb Südamerikas bereitgestellt. Einer für den Unternehmensumsatz, eine für kleine/mittlere Unternehmen und eine für Startups. Bei der Erstellung erhält jeder dieser Agenten eine Agentidentität. Jeder Agent beginnt mit der Ausführung von Aufgaben und verwendet dabei seine Agentidentität zur Authentifizierung.
Da jede Agentidentität mit demselben Agentidentitäts-Blueprint erstellt wird, werden alle Agents im Microsoft Entra Admin Center als "Vertriebsassistenten" angezeigt. Mit diesem Feature kann der Microsoft Entra-Administrator Aktionen wie:
- Wenden Sie eine Richtlinie für bedingten Zugriff auf alle Vertriebsmitarbeiter an.
- Deaktivieren Sie alle Vertriebsmitarbeiter.
- Widerrufen einer Berechtigungserteilung für alle Sales Assistant-Agenten.
Agent-Identitäts-Blueprints ermöglichen dem Microsoft Entra Administrator die Möglichkeit, Agentidentitäten im großen Maßstab zu sichern, indem Regeln festgelegt und Vorgänge basierend auf der Art des Agents ausgeführt werden. Dieses Feature stellt eine konsistente Sicherheit für jeden KI-Agent sicher, der in der Organisation bereitgestellt wird.