Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra Agent-ID biedt een gecentraliseerde set hulpprogramma's voor het beheren van agentidentiteiten in uw organisatie. Agentidentiteiten zijn een uniek identiteitstype in Microsoft Entra ID, ontworpen voor AI-agents met classificatie, metagegevens en beveiligingscontroles die zijn afgestemd op agentische workloads.
In dit artikel worden belangrijke beheertaken voor agents behandeld: van het weergeven en uitschakelen van agents tot het beheren van toegang, bewakingsactiviteit en het reageren op beveiligingsrisico's. Of u nu een beheerder bent die verantwoordelijk is voor het toezicht op tenantbrede agent of een sponsor die specifieke agents beheert, in deze handleiding vindt u de informatie die u nodig hebt om agentidentiteiten in uw organisatie effectief te beheren.
Vereiste voorwaarden
Voor verschillende beheertaken zijn verschillende rollen en licenties vereist. De volgende tabel bevat een overzicht van de rollen die u nodig hebt voor elk gebied van agentidentiteitsbeheer.
| Opdracht | Vereiste rol | Aantekeningen |
|---|---|---|
| Agentidentiteiten weergeven | Microsoft Entra gebruikersaccount | Er is geen beheerdersrol nodig voor weergave. |
| Agentidentiteiten beheren | Agent-id-beheerder of cloudtoepassingsbeheerder | Eigenaren van agentidentiteiten kunnen hun eigen agents beheren zonder deze rollen. |
| Agentblauwdrukken maken | AgentID-ontwikkelaar | De gebruiker wordt toegevoegd als eigenaar van de blueprint en de bijbehorende service principal. |
| Het voorwaardelijke toegangsbeleid configureren | Beheerder voor voorwaardelijke toegang | Vereist Microsoft Entra ID P1-licentie. |
| Risicorapporten voor id-beveiliging weergeven | Beveiligingsbeheerder, beveiligingsoperator of beveiligingslezer | Vereist Microsoft Entra ID P2-licentie tijdens de preview. |
| Levenscycluswerkstromen configureren | Beheerder van levenscycluswerkstromen |
Agentidentiteiten weergeven
De Microsoft Entra-beheercentrum biedt een gecentraliseerde interface om alle agentidentiteiten in uw tenant weer te geven. U kunt kolommen zoeken, filteren, sorteren en aanpassen om specifieke agents te vinden.
- Meld u aan bij de Microsoft Entra-beheercentrum.
- Blader naar Entra ID>Agents>Agent-identiteiten.
- Selecteer een agentidentiteit om de details ervan weer te geven, inclusief naam, beschrijving, status, eigenaren, sponsors, verleende machtigingen en aanmeldingslogboeken.
Als u naar een specifieke agent wilt zoeken, voert u de naam of object-id in het zoekvak in of voegt u het filter Blauwdruk-app-id toe. U kunt aanpassen welke kolommen worden weergegeven door de knop Kolommen kiezen te selecteren. Beschikbare kolommen zijn Naam, Aangemaakt op, Status, Object-id, Weergavetoegang, Blauwdruk-app-id, Eigenaren en Sponsors en Gebruikt agentidentiteit.
Zie Agentidentiteiten weergeven en filteren in uw tenant voor gedetailleerde instructies over filteren, kolomaanpassing en weergave van agenten vanuit deze weergave.
Agentidentiteitsblauwdrukken beheren
Blauwdrukken voor agentidentiteiten zijn de bovenliggende definities waaruit afzonderlijke agentidentiteiten worden gemaakt. In het beheercentrum kunt u alle blauwdrukprinciplen bekijken, hun machtigingen beheren en hun activiteiten controleren.
- Meld u aan bij de Microsoft Entra-beheercentrum.
- Navigeer naar Entra ID>Agents>Agent blauwdrukken.
- Selecteer een blauwdrukprincipaal voor de agentidentiteit om deze te beheren.
Op de beheerpagina van een blauwdruk kunt u het volgende doen:
- Gekoppelde agentidentiteiten weergeven: bekijk alle onderliggende agentidentiteiten die zijn gemaakt op basis van deze blauwdruk.
- Toegang tot blauwdrukken beheren: machtigingen weergeven, beheren en intrekken die zijn toegewezen aan de blauwdruk.
- Eigenaren en sponsors beheren: Eigenaren verwerken technisch beheer, terwijl sponsors verantwoordelijk zijn voor het doel en de levenscyclusbeslissingen van de agent.
- Auditlogboeken weergeven: beheerwijzigingen bijhouden voor beveiliging en naleving.
- Aanmeldingslogboeken weergeven: Verificatiegebeurtenissen bewaken.
- De blauwdruk uitschakelen: Selecteer Uitschakelen in de opdrachtbalk.
Zie De blauwdrukken voor agentidentiteiten weergeven en beheren in uw tenant voor gedetailleerde instructies.
Overgenomen machtigingen voor blauwdrukken configureren
Met overgenomen machtigingen kunnen agentidentiteiten automatisch gedelegeerde OAuth 2.0-machtigingsbereiken overnemen van hun bovenliggende blauwdruk. Wanneer u overerfbare machtigingen voor een blauwdruk configureert, ontvangen nieuw gemaakte agentidentiteiten een basisset toegangsniveaus zonder dat interactieve toestemmingsverzoeken van gebruikers of beheerders nodig zijn.
Er worden twee overnamepatronen ondersteund per resource-app:
| Patroon | Beschrijving |
|---|---|
| Opgesomde bereiken | Alleen expliciet vermelde bereiken overnemen. Gebruik deze functie voor fijnmazige controle. |
| Alle toegestane scope | Alle beschikbare gedelegeerde scopes voor de resource-app overnemen. Nieuw verleende toestemmingen op de blauwdruk worden automatisch opgenomen. |
Beginnen met een opsomming van scopes met alleen essentiële machtigingen en breid indien nodig uit. Deze benadering volgt het principe van minimale bevoegdheden en maakt het eenvoudiger om te controleren welke machtigingen agents daadwerkelijk gebruiken.
Keylimieten:
- Maximaal 10 resource-apps per blauwdruk.
- Voor opgesomde bereiken, maximaal 40 bereiken per resource-app.
- Sommige toepassingsgebieden met hoge bevoegdheden worden door het platformbeleid geblokkeerd en kunnen niet worden overgenomen.
Overgenomen machtigingen worden geconfigureerd via de navigatie-eigenschap inheritablePermissions op de agentIdentityBlueprint toepassingsresource met behulp van Microsoft Graph. Zie Voor stapsgewijze API-voorbeelden (toevoegen, bijwerken, verwijderen) overnemende machtigingen configureren voor blauwdrukken voor agentidentiteiten.
Agenttoegang tot bronnen beheren
Beleidsregels voor voorwaardelijke toegang bieden tenantbrede controles voor authenticatie van agentidentiteit. U kunt deze beleidsregels gebruiken om alle agentidentiteiten te blokkeren, alleen specifieke agents toe te staan of riskante agents te blokkeren op basis van ID Protection-signalen.
Belangrijke punten over voorwaardelijke toegang voor agentidentiteiten:
- Beleidsregels kunnen betrekking hebben op alle agentidentiteiten of alle agentgebruikers en blokkeer controle toestaan.
- Beleidsregels kunnen zich richten op alle resources om toegang tot agents in uw organisatie te voorkomen.
- Met agentrisicovoorwaarden (hoog, gemiddeld, laag) kunt u agents blokkeren op basis van risicosignalen van ID Protection.
- Beleid ondersteunt de modus Alleen rapporten voor een veilige evaluatie voordat deze wordt afgedwongen.
Belangrijk
Het afdwingen van voorwaardelijke toegang is van toepassing wanneer een identiteit van een agent of het gebruikersaccount van een agent een token voor een resource aanvraagt. Deze is niet van toepassing wanneer een blauwdruk voor de agentidentiteit een token verkrijgt om agentidentiteiten of gebruikersaccounts van de agent te maken.
Zie Voorwaardelijke toegang voor agent-id voor gedetailleerde beleidsconfiguratie, stapsgewijze instructies en voorbeelden van bedrijfsscenario's.
Agentactiviteit bewaken
Aanmeldings- en auditlogboeken
Agentidentiteitsactiviteiten worden vastgelegd in Microsoft Entra audit- en aanmeldingslogboeken:
- Auditlogboeken registreren agentgerelateerde gebeurtenissen onder het basisidentiteitstype waaruit ze afkomstig zijn. Als u bijvoorbeeld een agentgebruikersidentiteit maakt, wordt dit als controleactiviteit weergegeven onder 'Gebruiker maken', en het maken van een agentidentiteit wordt weergegeven als 'Service Principal maken'.
-
Aanmeldingslogboeken bevatten het
agentSignInresourcetype, dat eigenschappen biedt over de agent en het aanmeldingsgedrag.
Om de aanmeldlogboeken van agents te bekijken:
- Meld u aan bij de Microsoft Entra-beheercentrum als ten minste een Rapportlezer.
- Blader naar
Entra ID Monitoring en gezondheid Aanmeldingslogboeken . - Gebruik de volgende filters:
- Agenttype: kies uit agent-id-gebruiker, agentidentiteit, agentidentiteitsblauwdruk of niet-agentisch.
- Is agent: kies uit Nee of Ja.
U kunt ook aanmeldingsgebeurtenissen van de agent ophalen met behulp van Microsoft Graph:
GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'
Zie Microsoft Entra Agent-ID logs voor meer informatie over logboektypen en toegangsmethoden.
Agentrisico detecteren en verhelpen
Identiteitsbeveiliging voor agents
Microsoft Entra Id-beveiliging controleert agentidentiteiten op afwijkend gedrag. Er worden zes typen van offlinerisico's gedetecteerd, onder andere onbekende toegang tot bronnen, aanmeldingspieken en mislukte toegangspogingen. Beheerders kunnen het rapport Riskante agents bekijken en reacties uitvoeren: compromis bevestigen, veilig bevestigen, risico afwijzen of de agent uitschakelen.
Opmerking
Id-beveiliging voor agents vereist een Microsoft Entra ID P2-licentie tijdens de preview.
Wanneer u bevestigt dat een agent is aangetast, wordt het risiconiveau ingesteld op Hoog. Als u een beleid voor voorwaardelijke toegang hebt geconfigureerd om te blokkeren voor hoog agentrisico, wordt de agent automatisch geblokkeerd voor toegang tot resources.
Zie Identity Protection voor agents voor de volledige tabel met risicodetectie, antwoordacties, Graph API details en overzicht van rapporten.
Reageren op beveiligingsincidenten van agents
Wanneer agentactiviteit een risicodetectie of beveiligingsprobleem activeert, volgt u deze reeks:
- Detect: Bekijk het rapport Risky Agents in het Microsoft Entra beheercentrum. Risicodetecties kunnen maximaal 90 dagen worden weergegeven. Details omvatten de weergavenaam van de agent, de risicostatus, het risiconiveau, het agenttype en de sponsors.
-
Reageren: Direct actie ondernemen:
- Bevestig inbreuk: Hiermee stelt u het risiconiveau in op Hoog en activeert u risicogebaseerde Voorwaardelijke Toegangsbeleid die geconfigureerd is om te blokkeren bij een Hoog Agent Risico.
- Disable: voorkomt dat alle aanmeldingen tussen Microsoft Entra ID en verbonden apps worden uitgevoerd.
- Onderzoeken: Controleer de details van de risicodetectie, aanmeldingslogboeken en auditlogboeken om inzicht te verkrijgen in het bereik en de impact.
-
Herstellen: Op basis van uw onderzoek:
- Als het een vals-positief is, negeer het risico en schakel de agent opnieuw in.
- Als dit het geval is: vernieuw de credentials voordat u de agent-identiteit opnieuw inschakelt of buiten gebruik stelt.
Zie Identity Protection voor agenten voor gedetailleerde informatie over risicotypen, detectiemechanismen en responsacties.
Toezicht op agentidentiteiten en sponsoren beheren
Sponsorverantwoordelijkheden
Elke agentidentiteit moet een verantwoordelijke menselijke sponsor hebben die verantwoordelijk is voor levenscyclus- en toegangsbeslissingen. Belangrijke governancegedragen zijn onder andere:
- Automatische sponsoroverdracht: Als een sponsor de organisatie verlaat, wijst Microsoft Entra ID automatisch het sponsorschap opnieuw toe aan de manager van de sponsor.
- Verloopmeldingen: Sponsors ontvangen meldingen wanneer de vervaldatum van toegangspakketten nadert. Sponsors kunnen een verlenging aanvragen (waardoor een nieuwe goedkeuringscyclus wordt geactiveerd) of opdrachten laten verlopen.
- Toegangsaanvraagpaden: Toegangspakketten kunnen worden aangevraagd via drie trajecten: de eigen programmatische aanvraag van de agent, een sponsor namens de agent of een directe toewijzing van een beheerder.
Toegangspakketten kunnen lidmaatschappen van beveiligingsgroepen, Application OAuth-API-machtigingen (inclusief Microsoft Graph toepassingsmachtigingen) en Microsoft Entra rollen verlenen.
Zie Voor het volledige governance-overzicht, waaronder configuratie van toegangspakketten en sponsorbeleid, de identiteiten van de agent beheren.
Sponsormeldingen automatiseren met levenscycluswerkstromen
Lifecycle Workflows biedt twee geautomatiseerde taken voor sponsors van agentidentiteiten:
- E-mail verzenden naar manager over wijzigingen in sponsorschap
- E-mail verzenden naar cosponsors over sponsorwijzigingen
Beide taken zijn mover- en vertrekcategorietaken: ze activeren alleen onder mover- of vertrekwerkstroomsjablonen, niet voor joiner-sjablonen. Dit zorgt voor continuïteit van sponsorship wanneer de sponsor van een agent de rollen wijzigt of de organisatie verlaat.
Voor stapsgewijze werkstroomconfiguratie, zie Taken voor de agentidentiteitssponsor in levenscycluswerkstromen.
Agentbeheer op schaal automatiseren
Voor organisaties die grote aantallen agentidentiteiten beheren, zijn de volgende opties beschikbaar:
- Meervoudige selectie uitschakelen: het beheercentrum ondersteunt het selecteren van meerdere agentidentiteiten tegelijk en het uitschakelen ervan in batch op de pagina Alle agentidentiteiten .
-
Microsoft Graph API: Eindpunten voor agentidentiteiten ondersteunen programmatisch beheer. ID Protection maakt bijvoorbeeld de collecties
riskyAgentsenagentRiskDetectionszichtbaar voor programmatische risicobewaking.
Agentidentiteiten uitschakelen of beperken
Organisaties kunnen het identiteitsgebruik van agents op drie niveaus beheren, afhankelijk van het bereik dat nodig is:
| Scope | Wat het doet | Details |
|---|---|---|
| Afzonderlijke agent | Schakel een specifieke agentidentiteit uit om de toegang en tokenuitgifte te blokkeren. Beheerders gebruiken het beheercentrum; eigenaren en sponsors gebruiken de portal Mijn account. | Agentidentiteiten in uw tenant weergeven en filteren · Agents beheren in de eindgebruikerservaring |
| Blauwdruk-niveau | Schakel een blauwdruk voor de agentidentiteit uit vanaf de beheerpagina. Hiermee voorkomt u dat er nieuwe agentidentiteiten worden gemaakt op basis van die blauwdruk en worden bestaande identiteiten geblokkeerd. | Agentidentiteitsblauwdrukken in uw tenant weergeven en beheren |
| Tenantbrede | Blokkeer alle verificatie van agentidentiteiten met behulp van beleid voor voorwaardelijke toegang en blokkeer optioneel het maken van nieuwe agentidentiteiten via productspecifieke besturingselementen (Microsoft Entra ID, Security Copilot, Copilot Studio, Azure AI Foundry, Microsoft Teams). | Agentidentiteiten in uw tenant uitschakelen |
Het opnieuw inschakelen van een uitgeschakelde agentidentiteit voor elk mogelijk bereik herstelt toegangs- en tokenuitgifte.
Waarschuwing
Als u agentidentiteiten wereldwijd uitschakelt, kunnen bestaande agents uitvallen, de Microsoft-productervaringen verslechteren en teams dwingen om minder transparante identiteiten voor applicaties of service-principals te gebruiken. Evalueer de impact voordat u deze afdwingt. Voor een gedeeltelijke benadering gebruikt u beleid voor voorwaardelijke toegang om specifieke agents te blokkeren in plaats van alle agentidentiteiten.