Skapa en agentidentitetsritning

En agentidentitetsritning används för att skapa agentidentiteter och begära token med hjälp av dessa agentidentiteter. Under processen för att skapa ett agentidentitetsutkast anger du ägare och sponsor för det utkastet för att upprätta ansvar och administrativa relationer. Du konfigurerar också en identifierar-URI och definierar ett omfång för agenter som skapats från den här skissen om agenten är utformad för att ta emot inkommande begäranden från andra agenter och användare.

Du kan skapa en agentidentitetsritning på två sätt:

Microsoft Entra administrationscenter – Använd guiden för en snabb installation som skapar ritningen och dess huvudelement.
Microsoft Graph API eller PowerShell – Skapa och konfigurera skissen programmatiskt, inklusive autentiseringsuppgifter, identifierar-URI:er, omfång och skissobjektet i ett enda arbetsflöde.

Förutsättningar

Om du vill skapa en agentidentitetsritning behöver du:

Privileged Role Administrator roll är den minst privilegierade roll som krävs för att bevilja Microsoft Graph applikationsbehörigheter.
Cloud Application Administrator eller Application Administrator krävs för att bevilja Microsoft Graph delegerade behörigheter.
Både Agent-ID-Developer och Agent-ID-administratör-rollerna kan skapa agentidentitetsritningar och agentidentitetsprinciper.
- Agent-ID-utvecklare kan konfigurera federerade identitetsuppgifter på en agentidentitetsritning.
- Agent-ID-administratören kan konfigurera federerade identitetsuppgifter i en agentidentitetsritning och krävs för att lägga till en hemlighet eller certifikatautentiseringsuppgifter.
Om du använder PowerShell krävs version 7.

Anmärkning

Ägare av en agentidentitetsritning eller huvudprincip för agentidentitetsritning kan skapa agentidentiteter för den ritningen utan en Microsoft Entra agent-ID-roll. Skapare av agentidentitetsritningar anges automatiskt som ägare av både skissen och det associerade agentidentitetsritningsobjektet.

Förbered din miljö

Du kan effektivisera processen genom att ta en stund för att konfigurera din miljö för rätt behörigheter.

Auktorisera en klient för att skapa agentidentitetsritningar

I den här artikeln använder du Microsoft Graph PowerShell eller en annan klient för att skapa en agentidentitetsritning. Du måste auktorisera den här klienten för att skapa och konfigurera en agentidentitetsritning och för att skapa ett huvudobjekt för agentidentitetsritningen. Klienten kräver följande Microsoft Graph behörigheter:

AgentIdentityBlueprint.Create delegerad behörighet
AgentIdentityBlueprint.AddRemoveCreds.All delegerad behörighet
AgentIdentityBlueprint.UpdateAuthProperties.All delegerad behörighet
AgentIdentityBlueprintPrincipal.Create delegerad behörighet

Stegen i den här guiden använder alla delegerade behörigheter, men du kan använda programbehörigheter för de scenarier som kräver dem.

Om du vill ansluta till alla nödvändiga omfång för Microsoft Graph PowerShell kör du följande kommando:

Connect-MgGraph -Scopes "AgentIdentityBlueprint.Create", "AgentIdentityBlueprint.AddRemoveCreds.All", "AgentIdentityBlueprint.UpdateAuthProperties.All", "AgentIdentityBlueprintPrincipal.Create", "User.Read" -TenantId <your-tenant-id>

Skapa en agentidentitetsritning

Agentidentitetsmallar måste ha en sponsor, som är den användare eller stödd grupp som är ansvarig för agenten. En ägare rekommenderas, vilket är användaren eller tjänstens huvudnamn som kan göra ändringar i agentidentitetsritningen. Mer information finns i Administrativa relationer i Microsoft Entra agent-ID.

Använd Microsoft Entra administrationscenter

Du kan skapa en agentidentitetsritning direkt i Microsoft Entra administrationscenter. Administrationscentrets guide skapar både agentidentitetsmallen och dess huvudmall automatiskt.

Anmärkning

Administrationscenter-guiden ställer in blueprint-namnet och tilldelar ägare och sponsorer. Om du vill konfigurera autentiseringsuppgifter, identifierar-URI:er, omfång eller behörigheter använder du Microsoft Graph API eller PowerShell eller konfigurerar dem när du har skapat dem via skissens informationssidor i administrationscentret.

Logga in på Microsoft Entra administrationscenter.
Bläddra till Entra ID>Agents>Agent blueprints.
Välj Ny agentritning (förhandsgranskning).
På fliken Grundläggande anger du ett namn i fältet Agentskissnamn och väljer Nästa.
På fliken Ägare och sponsorer kan du ändra eller lägga till ägare och sponsorer för skissen:
- Välj pennikonen bredvid fältet Ägare för att ändra eller lägga till användare som kan hantera skissen.
- Välj pennikonen bredvid fältet Sponsorer för att ändra eller lägga till användare som kan sponsra skissen.
Anmärkning

Sponsorer kan vara användare, dynamiska medlemskapsgrupper eller Microsoft 365 grupper. Säkerhetsgrupper och rolltilldelningsbara grupper stöds inte som sponsorer.
Välj Nästa.
Granska inställningarna och välj sedan Skapa.
Välj Klar för att avsluta guiden eller Gå till agentskissen för att visa skissens detaljsida eller konfigurera fler inställningar.

Mer information om hur du hanterar agentidentitetsritningar finns i Hantera agentidentitetsritningar.

Skapa programmatiskt

Om du vill skapa en agentidentitetsritning med hjälp av kod använder du Microsoft Graph API eller PowerShell.

Microsoft Graph API
Microsoft Graph PowerShell

Det här steget skapar agentidentitetsritningen, tilldelar en ägare och sponsor och kräver följande information:

Behörigheten AgentIdentityBlueprint.Create .
OData-Version-huvudet måste vara inställt på 4.0.
Ett användar-ID för fälten ägare och sponsor i exempelbegärandetexten. En sponsor krävs, men en ägare är valfri.

POST https://graph.microsoft.com/v1.0/applications/
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
  "@odata.type": "Microsoft.Graph.AgentIdentityBlueprint",
  "displayName": "My Agent Identity Blueprint",
  "sponsors@odata.bind": [
    "https://graph.microsoft.com/v1.0/users/<id>",
  ],
  "owners@odata.bind": [
    "https://graph.microsoft.com/v1.0/users/<id>"
  ],
}

När du har skapat agentidentitetsritningen registrerar du värdet appId för nästa steg.

Det här steget skapar agentens identitetsskissprogram med den aktuella användaren som ägare och sponsor och innehåller följande distinkta uppgifter:

Anslut till din klientorganisation med AgentIdentityBlueprint.Create och User.Read områden.
Lägger till den aktuella användaren som sponsor och ägare för agentidentitetsritningen.
Skapa agentens identitetsskissprogram.

Connect-MgGraph -Scopes "AgentIdentityBlueprint.Create","User.Read" -TenantId <your-tenant-id>

$currentUser = Get-MgContext | Select-Object -ExpandProperty Account
$user = Get-MgUser -UserId $currentUser

Write-Host "Current user: $($user.DisplayName) ($($user.Id))"
Write-Host "Sponsor user: $($user.DisplayName) ($($user.Id))"


$body = @{
    "@odata.type" = "Microsoft.Graph.AgentIdentityBlueprint"
    "displayName" = "My Agent Identity Blueprint"
    "sponsors@odata.bind" = @("https://microsoft.graph.microsoft.com/v1.0/users/$($user.Id)")
    "owners@odata.bind" = @("https://microsoft.graph.microsoft.com/v1.0/users/$($user.Id)")
} | ConvertTo-Json -Depth 5

$response = Invoke-MgGraphRequest `
    -Method POST `
    -Uri "https://graph.microsoft.com/v1.0/applications/microsoft.graph.agentIdentityBlueprint" `
    -Body $body `
    -ContentType "application/json"

$response

När du har skapat agentidentitetsritningen registrerar du värdet för appId utdata.

Konfigurera autentiseringsuppgifter för agentidentitetsritningen

Om du vill begära åtkomsttoken med hjälp av agentidentitetsritningen måste du lägga till en klientautentiseringsuppgift. Vi rekommenderar att du använder en hanterad identitet som federerad identitetsautentisering (FIC) för produktionsdistributioner. Med hanterade identiteter kan du hämta Microsoft Entra token utan att behöva hantera några autentiseringsuppgifter. Mer information finns i Hanterade identiteter för Azure resurser.

Andra typer av autentiseringsuppgifter för appar, inklusive keyCredentials och passwordCredentials stöds, men rekommenderas inte för produktion. De kan vara praktiska för lokal utveckling och testning eller där hanterade identiteter inte fungerar, men de här alternativen överensstämmer inte med bästa praxis för säkerhet. Mer information finns i Metodtips för säkerhet för programegenskaper.

Tänk på att om du vill använda en hanterad identitet måste du köra koden på en Azure tjänst, till exempel en virtuell dator eller Azure App Service. Använd en klienthemlighet eller ett certifikat för lokal utveckling och testning.

Microsoft Graph API
Microsoft Graph PowerShell

Så här skickar du den här begäran:

Du behöver behörigheten AgentIdentityBlueprint.AddRemoveCreds.All.
Ersätt <agent-blueprint-id>-platshållaren med appId-agentidentitetsritningen.
<managed-identity-principal-id> Ersätt platshållaren med ID:t för din hanterade identitet.

Lägg till en hanterad identitet som en autentiseringsuppgift med hjälp av följande begäran:

POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/federatedIdentityCredentials
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
    "name": "my-managed-identity",
    "issuer": "https://login.microsoftonline.com/<your-tenant-id>/v2.0",
    "subject": "<managed-identity-principal-id>",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Det här steget innehåller följande distinkta uppgifter:

Anslut till din klientorganisation med AgentIdentityBlueprint.AddRemoveCreds.All-omfånget.
Lägg till en hanterad identitet som en autentiseringsuppgift för agentidentitetsritningen med hjälp av det tidigare skapade agentidentitetsritningsobjektet.

Install-Module Microsoft.Graph.Applications -Scope CurrentUser -Force

Connect-MgGraph -Scopes "AgentIdentityBlueprint.AddRemoveCreds.All" -TenantId <your-tenant-id>

$applicationId = "<agent-blueprint-id>"

$federatedCredential = @{
  Name             = "my-managed-identity"
  Issuer           = "https://login.microsoftonline.com/<your-tenant-id>/v2.0"
  Subject          = "<managed-identity-principal-id>"
  Audiences         = @("api://AzureADTokenExchange")
}

New-MgApplicationFederatedIdentityCredential `
  -ApplicationId $applicationId `
  -BodyParameter $federatedCredential

Andra appautentiseringsuppgifter

För scenarier där hanterade identiteter inte fungerar eller om du skapar en skiss lokalt för testning använder du följande steg för att lägga till autentiseringsuppgifterna.

Microsoft Graph API
Microsoft Graph PowerShell

Om du vill skicka den här begäran måste du först hämta en åtkomsttoken med delegerad behörighet AgentIdentityBlueprint.AddRemoveCreds.All

POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/addPassword
Content-Type: application/json
Authorization: Bearer <token>

{
  "passwordCredential": {
    "displayName": "My Secret",
    "endDateTime": "2026-08-05T23:59:59Z"
  }
}

Connect-MgGraph -Scopes "AgentIdentityBlueprint.AddRemoveCreds.All" -TenantId <your-tenant-id>

$applicationId = "<agent-blueprint-application-id>"

# Define the secret properties
$displayName = "My Secret"
$endDate = (Get-Date).AddYears(1).ToString("o")  # 1 year from now, in ISO 8601 format

# Construct the password credential
$passwordCredential = @{
    displayName = $displayName
    endDateTime = $endDate
}

# Add the password (client secret)
$response = Add-MgApplicationPassword -ApplicationId $applicationId -PasswordCredential $passwordCredential

# Output the generated secret (only returned once!)
Write-Host "Secret Text: $($response.secretText)"

Anmärkning

Din organisation kan ha livscykelprinciper för referenser som begränsar den maximala livslängden för klienthemligheter. Om du får ett felmeddelande om livslängden för autentiseringsuppgifter kan du minska värdet så att det endDateTime överensstämmer med organisationens princip.

Se till att lagra de värden som passwordCredential genereras på ett säkert sätt. Det går inte att visa den när den har skapats. Du kan också använda klientcertifikat som autentiseringsuppgifter. se Lägga till en certifikatautentiseringsuppgift.

Om agenterna som skapats med skissen stöder interaktiva agenter, där agenten agerar för en användares räkning, måste skissen exponera ett omfång så att agentens klientdel kan skicka en åtkomsttoken till agentens serverdel. Den här tokenen kan sedan användas av agentens backend för att hämta en access token för att agera för användarens räkning.

Konfigurera identifierar-URI och omfång

Om du vill ta emot inkommande begäranden från användare och andra agenter, till exempel för alla webb-API:er, måste du definiera en identifierar-URI och OAuth-omfång för din agentidentitetsritning:

Microsoft Graph API
Microsoft Graph PowerShell

Så här skickar du den här begäran:

Du behöver behörigheten AgentIdentityBlueprint.UpdateAuthProperties.All.
Ersätt <agent-blueprint-id>-platshållaren med appId-agentidentitetsritningen.
Du behöver en globalt unik identifierare (GUID). I PowerShell kör [guid]::NewGuid() eller använder du en GUID-generator online. Kopiera det genererade GUID:et och använd det för att ersätta <generate-a-guid> platshållaren.

PATCH https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
    "identifierUris": ["api://<agent-blueprint-id>"],
    "api": {
      "oauth2PermissionScopes": [
        {
          "adminConsentDescription": "Allow the application to access the agent on behalf of the signed-in user.",
          "adminConsentDisplayName": "Access agent",
          "id": "<generate-a-guid>",
          "isEnabled": true,
          "type": "User",
          "value": "access_agent"
        }
      ]
  }
}

Ett lyckat anrop genererar ett 204-svar.

Det här steget innehåller följande distinkta uppgifter:

Installera den nödvändiga modulen om du inte redan har gjort det.
Anslut till din klientorganisation med AgentIdentityBlueprint.UpdateAuthProperties.All-omfånget.
Konfigurera URI:n och omfånget för den nya agentidentitetsritningen.

Connect-MgGraph -Scopes "AgentIdentityBlueprint.UpdateAuthProperties.All" -TenantId <your-tenant-id>

$AppId = "<agent-blueprint-id>"
$IdentifierUri = "api://<agent-blueprint-id>"
$ScopeId = [guid]::NewGuid()

# Construct the OAuth2 permission scope
$scope = @{
    adminConsentDescription = "Allow the application to access the agent on behalf of the signed-in user."
    adminConsentDisplayName = "Access agent"
    id = $ScopeId
    isEnabled = $true
    type = "User"
    value = "access_agent"
}

Update-MgApplication -ApplicationId $AppId `
    -IdentifierUris @($IdentifierUri) `
    -Api @{ oauth2PermissionScopes = @($scope) }

Skapa en huvudkomponent för agentritning

I det här steget skapar du ett huvudkonto för ritningen av agentens identitet. Mer information finns i Agentidentiteter, tjänstens huvudnamn och program.

Microsoft Graph API
Microsoft Graph PowerShell

<agent-blueprint-app-id> Ersätt platshållaren med den appId som du kopierade från resultatet från föregående steg.

POST https://graph.microsoft.com/v1.0/serviceprincipals/microsoft.graph.agentIdentityBlueprintPrincipal
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
  "appId": "<agent-blueprint-app-id>"
}

Efter att du har skapat agentidentitetsritningen, skapar du en huvudkomponent för agentidentitetsritningen med hjälp av den nyligen skapade agentidentitetsritningen appId.

Connect-MgGraph -Scopes "AgentIdentityBlueprintPrincipal.Create" -TenantId <your-tenant-id>

Connect-MgGraph -Scopes "AgentIdentityBlueprintPrincipal.Create" -TenantId
$body = @{
    appId   = "<agent-blueprint-client-id>"
}
Invoke-MgGraphRequest -Method POST `
        -Uri "https://graph.microsoft.com/v1.0/serviceprincipals/microsoft.graph.agentIdentityBlueprintPrincipal" `
        -Headers @{ "OData-Version" = "4.0" } `
        -Body ($body | ConvertTo-Json)

Din agentskiss är nu klar och synlig i Microsoft Entra administrationscenter. I nästa steg använder du den här skissen för att skapa agentidentiteter.

Ta bort en agentidentitetsritning

När en agent har inaktiverats tar du bort den associerade agentidentitetsritningen. Om du tar bort skissen utlöses automatisk rensning av alla underordnade agentidentiteter och agenters användarkonton. Stegvisa anvisningar för borttagning och återställning finns i Ta bort och återställa agentidentitetsobjekt.

Nästa steg

Skapa och ta bort agentidentiteter

Feedback

Var den här sidan till hjälp?

Last updated on 2026-05-01

Skapa en agentidentitetsritning

Förutsättningar

Förbered din miljö

Auktorisera en klient för att skapa agentidentitetsritningar

Skapa en agentidentitetsritning

Använd Microsoft Entra administrationscenter

Skapa programmatiskt

Konfigurera autentiseringsuppgifter för agentidentitetsritningen

Andra appautentiseringsuppgifter

Konfigurera identifierar-URI och omfång

Skapa en huvudkomponent för agentritning

Ta bort en agentidentitetsritning

Nästa steg

Feedback

Ytterligare resurser