Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Microsoft-Agenten-Identitätsplattform bietet spezialisierte Identitätskonstrukte, die gezielt für KI-Agenten entwickelt wurden, die in Unternehmensumgebungen operieren. Diese Identitätskonstrukte ermöglichen sichere Authentifizierungs- und Autorisierungsmuster, die sich von herkömmlichen Benutzer- und Anwendungsidentitäten unterscheiden und die eindeutigen Anforderungen autonomer KI-Systeme erfüllen.
In diesem Artikel werden die Kernkonzepte erläutert, die die Grundlage für die Agentidentitätsverwaltung bilden: Agentidentitäten, Agentidentitäts-Blueprints und ihre unterstützenden Komponenten. Das Verständnis dieser Konzepte ist für Entwickler unerlässlich, die sichere, skalierbare Authentifizierungsmuster für KI-Agents implementieren müssen.
Die Agentidentitätsarchitektur folgt einem hierarchischen Modell, bei dem Agentidentitäts-Blueprints als Vorlagen zum Erstellen mehrerer Agentinstanzen dienen, die jeweils mit unterschiedlichen Identitäten und Funktionen verwendet werden. Dieser Ansatz ermöglicht die zentrale Verwaltung und bietet gleichzeitig die Flexibilität, die für verschiedene KI-Agent-Bereitstellungsszenarien erforderlich ist.
Kernidentitätskonzepte
Die folgenden Konzepte bilden die Grundlage für Microsoft Entra-Agent-ID und die Microsoft Agent Identity Platform.
Agent-Identität
Eine Agentidentität ist die primäre Identität, die ein KI-Agent für die Authentifizierung bei Systemen und zugriff auf Ressourcen verwendet. Im Gegensatz zu Benutzerkonten verfügen Agentidentitäten nicht über eigene Anmeldeinformationen. Sie authentifizieren sich mithilfe von Token, die von ihrem Agentenidentitätsentwurf ausgestellt werden. Weitere Informationen finden Sie unter Agentidentitäten.
Agent-Identitätsentwurf
Ein Agentidentitäts-Blueprint ist ein Objekt in Microsoft Entra ID, das als Vorlage- und Authentifizierungsgrundlage für eine oder mehrere Agentidentitäten dient. Der Blueprint enthält Anmeldeinformationen und verwendet diese zum Abrufen von Token im Namen aller darin erstellten Agentidentitäten. Richtlinien und Einstellungen, die auf einen Blueprint angewendet werden, z. B. bedingter Zugriff, werden für alle Agentidentitäten wirksam. Weitere Informationen finden Sie unter Agent-Identitätspläne.
Hauptentwurf für Agentenidentität
Wenn einem Mandanten ein Blueprint hinzugefügt wird, erstellt Microsoft Entra ein entsprechendes Prinzipalobjekt. Ein Agentidentitäts-Blueprintprinzipal ist das Microsoft Entra-Objekt, das die Anwesenheit eines Blueprints in einem Mandanten aufzeichnet und es ermöglicht, Token abzurufen und in Überwachungsprotokollen anzuzeigen. Weitere Informationen finden Sie unter Agent Identity Blueprint Prinzipien.
Herkömmlicher Dienstprinzipal (nicht für KI-Agents empfohlen)
Herkömmliche Dienstprinzipale wurden für statische, deterministische Workloads entwickelt. Microsoft Entra-Agent-ID existiert, da Dienstprinzipale nicht über die Governanceinfrastruktur verfügen, die KI-Agents benötigen. Es gibt keine erzwungene Unterstützung, keine agentenbewussten Audit-Einträge und keinen Blueprint-gesteuerten Lebenszyklus. Weitere Informationen finden Sie unter Agentidentitäten, Dienstprinzipale und Anwendungen.
Reguläres Benutzerkonto (nicht für KI-Agents empfohlen)
Reguläre Microsoft Entra Benutzerkonten sind für menschliche Anmeldemuster ausgelegt. Das Zuweisen dieser Personen zu KI-Agents führt zu Fehlern in jeder Zero Trust Erzwingungsebene: Richtlinien für bedingten Zugriff, die für Menschen entwickelt wurden, gelten nicht ordnungsgemäß für Agents, ID-Schutzerkennungen werden beeinträchtigt, und Identitätsgovernanceprozesse können den Agentzugriff falsch entfernen. Weitere Informationen finden Sie unter Planen der Agentidentitätsarchitektur.
Agent-Vorgangsmuster
Die Agent-Identitätsplattform unterstützt die folgenden Muster für die Funktionsweise und Authentifizierung von Agents, die jeweils unterschiedliche Anwendungsfälle und Sicherheitsanforderungen erfüllen.
Hilfsmitarbeiter (interaktiv)
Hilfsagenten (auch als interaktive Agents bezeichnet) führen bestimmte Aufgaben bei Bedarf im Namen eines angemeldeten Benutzers aus, häufig über eine Chatschnittstelle. Zu den Aufgaben gehören die Analyse von Kundendaten für Verkaufsempfehlungen oder die Beantwortung von Supportfragen mit Eskalation zu menschlichen Vertretern. Den Agents werden die Microsoft Entra-delegierten Berechtigungen erteilt, mit denen sie im Auftrag von Benutzern handeln können. Zu den gängigen Szenarien gehören Kundensupportassistenten, Recherchehilfskräfte und Echtzeit-Agenten für die Zusammenarbeit.
Autonome Agents
Autonome Agents arbeiten unabhängig mit ihrer eigenen Identität, nicht mit der Identität eines menschlichen Benutzers. Diese Agents werden im Hintergrund ausgeführt, treffen Entscheidungen und ergreifen Maßnahmen ohne menschliche Einwirkung, wie beispielsweise das Überwachen von Netzwerkprotokollen für Sicherheitsvorgänge, das Verwalten von Infrastrukturbereitstellungen mit automatischem Skalieren oder das Verarbeiten geplanter Wartungsaufgaben. Autonome Agenten authentifizieren sich direkt mit der Microsoft Entra ID Plattform unter Verwendung ihrer Agenten-Identität und des Clientanmeldedatenflusses.
Benutzerkonto des Agenten
Das Benutzerkonto eines Agenten ist ein optionales Konto, das 1:1 mit einer Agentenidentität verknüpft. Sie funktioniert mit menschlichen Benutzermerkmalen, einschließlich persistenter Identitäten und Zugriff auf Organisationsressourcen wie Postfächer, Kalender, Teams-Kanäle und Dokumente. Verwenden Sie das Benutzerkonto eines Agents nur, wenn der Agent auf Systeme zugreifen muss, die ein Benutzerobjekt erfordern. Das Benutzerkonto eines Agents ersetzt nicht die Agentidentität – beide müssen vorhanden sein. Weitere Informationen finden Sie unter "Benutzerkonten des Agents".
Agentenbesitzer, Sponsoren und Manager
Die Agent-Identitätsplattform führt ein Administratives Modell ein, das die technische Verwaltung von der Verantwortlichkeit des Unternehmens trennt, die Betriebskontrolle und Compliance-Aufsicht ohne übermäßige Berechtigungen gewährleistet. Zu den Administratorrollen des Agents gehören Besitzer, Manager und Sponsoren.
- Besitzer dienen als technische Administratoren für Agenten, behandeln betriebs- und konfigurationsaspekte.
- Sponsoren bieten Geschäftsverantwortung für Agenten, treffen Lebenszyklusentscheidungen ohne technischen administrativen Zugriff.
- Manager sind menschliche Benutzer, die als Einstellungsmanager oder operative Besitzer für das Benutzerkonto eines Agenten festgelegt sind.
Weitere Informationen finden Sie unter Administrative Beziehungen für Agentidentitäten (Besitzer, Sponsoren und Manager)
Microsoft Entra SDK für Agenten-ID
Das Microsoft Entra SDK für Agent-ID ist ein containerisierter Webdienst, der Tokenakquisition, Validierung und sichere nachgeschaltete API-Aufrufe für Agents verarbeitet, die im Microsoft Identity Platform registriert sind. Sie wird zusammen mit Ihrer Anwendung als Begleitcontainer ausgeführt, sodass Sie identitätslogik in einen dedizierten Dienst entladen können. Weitere Informationen finden Sie unter Microsoft Entra SDK für Agent-ID.