Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra-Agent-ID-APIs in Microsoft Graph helfen Ihnen beim Erstellen, Schützen und Verwalten von KI-Agent-Identitäten, die in Ihrem organization ausgeführt werden. Sie können agent-Identitäten programmgesteuert erstellen, deren Zugriff auf Ressourcen steuern und deren Aktivitäten über eine zentrale Plattform überwachen.
In diesem Artikel erfahren Sie mehr über die wichtigsten Konzepte und APIs für die Verwaltung von Agent-Identitäten in Microsoft Graph, einschließlich der Komponenten, aus denen eine Agent-Identität besteht, das Anwenden von Sicherheits- und Governancerichtlinien auf Agents sowie die berechtigungen, die für die programmgesteuerte Verwaltung von Agents erforderlich sind.
Weitere Informationen zum Microsoft Entra-Agent-ID finden Sie unter Was ist Microsoft Entra-Agent-ID?
Bausteine von Agentidentitäten
Die folgenden Kernkomponenten umfassen die Architektur Microsoft Entra-Agent-ID:
| Komponente | Zweck | Microsoft Graph-Ressource |
|---|---|---|
| Blueprint | Vorlage, die den Agent-Identitätstyp definiert, einschließlich Der Berechtigungen, dass Agent-Identitäten vorautorisiert sind, um automatisch zu erben | agentIdentityBlueprint |
| Blaupausenprinzipal | Datensatz der Hinzufügung einer Blaupause zu einem Mandanten | agentIdentityBlueprintPrincipal |
| Agent-Identität | Primäre Identität für die Authentifizierung | agentIdentity |
| Agent-Benutzer | Optionales Konto für Szenarien, die ein Benutzerkonto erfordern | agentUser |
| Agent-Registrierung (veraltet) | Zentrales Repository für die Agentverwaltung, das als Plattform für die Verwaltung von Agent-Karte Manifesten, Agentinstanzen und Agent-Sammlungen dient. |
Wichtig
Bevorstehende Änderung an Agent-Registrierungs-APIs
Ab Mai 2026 werden die Agent-Registrierungs-APIs in Microsoft Graph durch die Agent-Registrierungs-APIs ersetzt, die von Microsoft Agent 365 unterstützt werden. Durch diese Änderung wird die Agentverwaltung konsolidiert, um die Beobachtung, Steuerung und Sicherung aller Agents in Ihrem Mandanten zu vereinfachen. Es wird empfohlen, die Migration zu den neuen Agent 365-basierten APIs zu planen, wenn diese veröffentlicht werden. Erfahren Sie mehr über die Konvergenz der Agentregistrierung mit Microsoft Agent 365.
Erfahren Sie mehr über die Identitätsarchitektur des Agents in Microsoft Entra-Agent-ID wichtigsten Konzepten.
Verwandte APIs für Sicherheit und Governance für Agents
Microsoft Entra-Agent-ID erweitert die umfassenden Sicherheits- und Governancefunktionen von Microsoft Entra auf KI-Agents, einschließlich bedingtem Zugriff, Identitätsschutz, Governance und Überwachungsprotokollen.
Besitz und Verantwortlichkeit
Jede Agent-Identität sollte über eine bestimmte Partei verfügen, die für die Aktionen, Zugriffsberechtigungen und den allgemeinen Sicherheitsstatus des Agents verantwortlich ist, um Verantwortlichkeit und ordnungsgemäße Governance sicherzustellen. Mit Microsoft Graph-APIs können Sie die folgenden Metadaten für Agentidentitäten zuweisen und verwalten, um dieses Prinzip zu unterstützen.
| Metadaten | Gilt für |
|---|---|
| owner | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity |
| Sponsor | agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity, agentUser |
| manager | agentUser |
Weitere Informationen finden Sie unter Administrative Beziehungen in Microsoft Entra-Agent-ID (Besitzer, Sponsoren und Manager).
Bedingter Zugriff
Sie können Richtlinien für bedingten Zugriff programmgesteuert anwenden, um Zugriffsrichtlinien für KI-Agents basierend auf der Agent-Identität, dem Risiko und anderen Kontextfaktoren zu erzwingen.
- Verwenden Sie die Was-wäre-wenn-Auswertungs-API , um zu simulieren, wie sich Richtlinien für bedingten Zugriff auf Agentidentitäten auswirken, die versuchen, auf Ressourcen zuzugreifen.
- Verwenden Sie die RICHTLINIEN-APIs für bedingten Zugriff , um Richtlinien für bedingten Zugriff für KI-Agents anzuwenden oder zu verwalten, die auf Organisationsressourcen zugreifen. Sie können diese Richtlinien basierend auf der Agent-Risikostufe oder benutzerdefinierten Sicherheitsattributen anwenden, die den Agents zugewiesen sind.
Identitätsschutz
Microsoft Entra ID Protection bewertet das Agent-Risiko kontinuierlich basierend auf verschiedenen Signalen und maschinellem Lernen. Sie können die Ressourcentypen agentRiskDetection und riskyAgent verwenden, um das Agentrisiko in Ihrem organization zu identifizieren und zu verwalten, einschließlich des Verwerfens oder Bestätigens erkannter Risiken. Bestätigte Risiken können automatisierte Korrekturaktionen auslösen, z. B. die Erzwingung von Richtlinien für bedingten Zugriff.
Governance
Microsoft Entra ID Governance erstreckt sich auf KI-Agents, sodass Sie den Zugriffslebenszyklus von Agent-Identitäten auf die gleiche Weise wie andere Identitäten verwalten können. Wenn Die Governance auf Agent-Identitäten angewendet wird, können Sie sicherstellen, dass Agents über eine verantwortliche Person verfügen, die während des gesamten Agent-Lebenszyklus die Aufsicht übernimmt, und dass der Agent-Zugriff nicht länger als erforderlich besteht.
- Verwenden Sie Zugriffspakete über die Berechtigungsverwaltungs-APIs, um Agentidentitäten Zugriff auf Sicherheitsgruppen, Anwendungs-OAuth-Berechtigungen (einschließlich Microsoft Graph-Berechtigungen) und Microsoft Entra Rollen zuzuweisen. Die Agent-Identität selbst, ihr Besitzer, ihr Sponsor oder ein Administrator können Zugriffspakete im Namen des Agents anfordern.
- Weisen Sie Sponsoren zu Agentidentitäten und Agentbenutzern zu, um verantwortlichen menschlichen Benutzern zuzuweisen, die für die Entscheidung über den Lebenszyklus und den Zugriff des Agents verantwortlich sind. Sponsoren erhalten Benachrichtigungen, wenn Zugriffspaketzuweisungen ablaufen, und können Verlängerungen genehmigen oder den Ablauf des Zugriffs zulassen.
- Verwenden Sie Zugriffsüberprüfungen , um in regelmäßigen Abständen zu überprüfen, ob agent-Identitäten weiterhin den Zugriff benötigen, den sie haben.
- Verwenden Sie Lebenszyklusworkflows , um Lebenszyklusaufgaben des Agent-Identitätssponsors für eine effektive Governance und Compliance zu automatisieren, z. B. das Auslösen von Benachrichtigungen, wenn sich der Agent-Identitätssponsor ändert, oder die Übertragung von Sponsoring-Verantwortlichkeiten von einem Benutzer an seinen Vorgesetzten.
Eine vollständige Übersicht über die Governancefunktionen für Agent-Identitäten finden Sie unter Microsoft Entra ID Governance für Agent-Identitäten.
Aktivitätsüberwachung
Microsoft Entra Anmeldeberichte und Überwachungsprotokolle erfassen Aktivitäten, die von Agentidentitäten ausgeführt werden, und bieten Einblick in Agent-Vorgänge für die Compliance- und Sicherheitsüberwachung – von der Erstellung von Agent-Identitäten bis hin zu Konfigurationsänderungen auf Agents, einschließlich Zuweisungen von Rollen und Berechtigungen.
Berechtigungen zum Verwalten von Agentidentitäten
Microsoft Graph bietet präzise Berechtigungen zum Verwalten von Agent-Identitäten und den zugehörigen Komponenten. Die Berechtigungen folgen den folgenden Mustern und werden in der Microsoft Graph-Berechtigungsreferenz veröffentlicht.
Berechtigungen zum Verwalten der Agent-Registrierung:
- AgentCardManifest.Read*
- AgentCollection.Read*
- AgentInstance.Read*
Berechtigungen zum Verwalten der Agentidentitätsblaupausen und -identitäten:
- AgentIdentity*
Berechtigungen für Nmanaging-Agent-Benutzer:
- AgentIdUser.Read*
Für die Verwaltung von Richtlinien für bedingten Zugriff, Identity Protection und das Anzeigen von Überwachungsprotokollen für Agents sind dieselben Berechtigungen erforderlich wie für die Verwaltung dieser Features für andere Identitätstypen in Microsoft Entra. Weitere Informationen finden Sie in den entsprechenden API-Artikeln für die einzelnen Features.
Microsoft Graph-Berechtigungen für Agents blockiert
Agent-Identitäten verwenden das gleiche Microsoft Graph-Berechtigungsmodell wie andere Identitäten. Daher können ihnen delegierte oder Anwendungsberechtigungen für den Zugriff auf Microsoft Graph-APIs gewährt werden.
Aufgrund der Autonomie von Agents und der potenziellen Risiken, die sie darstellen, werden die folgenden Microsoft-Graph-API-Berechtigungen explizit für Agents blockiert, um Missbrauch oder unbeabsichtigten Zugriff auf vertrauliche Daten zu verhindern. Diese Berechtigungen können agent-Identitäten nicht über Microsoft Graph oder Microsoft Entra Admin Center erteilt werden.
Legende:
- ❌ gibt an, dass die Berechtigung in dieser Kategorie blockiert ist.
- ➖ gibt an, dass die Berechtigung in dieser Kategorie nicht anwendbar/blockiert ist.