Skapa agentidentiteter i agentidentitetsplattformen

När du har skapat en agentidentitetsritning är nästa steg att skapa en eller flera agentidentiteter som representerar AI-agenter i din klientorganisation. Skapande av agentidentitet utförs vanligtvis när du etablerar en ny AI-agent.

Du kan skapa agentidentiteter på två sätt:

Microsoft Entra administrationscenter – Använd guiden i administrationscentret för att snabbt skapa enskilda identiteter.
Microsoft Graph API – Skapa en webbtjänst som skapar agentidentiteter programmatiskt, vilket är användbart för automatisk etablering i stor skala.

Om du snabbt vill skapa agentidentiteter i testsyfte kan du använda den här Microsoft Entra PowerShell-modulen för att skapa och använda agentidentiteter.

Förutsättningar

För att skapa agentidentiteter behöver du:

En agentidentitetsritning. Registrera agentens identitetsskissapp-ID från skapandeprocessen.
En webbtjänst eller ett program (som körs lokalt eller distribueras till Azure) som är värd för logiken för att skapa agentidentitet. Den här förutsättningen gäller endast om du skapar agentidentiteter programmatiskt.

Använd Microsoft Entra administrationscenter

Du kan skapa en agentidentitet direkt i Microsoft Entra administrationscenter genom att välja en befintlig skiss och tilldela ägare och sponsorer.

Logga in på Microsoft Entra administrationscenter.
Bläddra till Entra ID>Agents>Agent identities.
Välj Ny agentidentitet (förhandsversion).
På fliken Grundläggande:
- Under Agent-skiss väljer du en skiss för att skapa din agentidentitet från.
- Ange ett namn i fältet Agentidentitetsnamn och välj Nästa.
På fliken Ägare och sponsorer kan du lägga till ägare och sponsorer för identiteten:
- Välj pennikonen bredvid fältet Ägare för att ändra eller lägga till användare som kan hantera agentidentiteten.
- Välj pennikonen bredvid fältet Sponsorer för att ändra eller lägga till användare som kan sponsra agentidentiteten.
Anmärkning

Sponsorer kan vara användare, dynamiska medlemskapsgrupper eller Microsoft 365 grupper. Säkerhetsgrupper och rolltilldelningsbara grupper stöds inte som sponsorer.
Välj Nästa.
Granska inställningarna och välj sedan Skapa.
Välj Klar för att avsluta guiden eller Gå till agentidentitet för att visa identitetens informationssida eller konfigurera fler inställningar.

I följande steg får du lära dig hur du skapar agentidentiteter programmatiskt med hjälp av Microsoft Graph API och Microsoft. Identity.Web. Hämta en åtkomsttoken först och anropa sedan API:et för att skapa.

Microsoft Graph API
Microsoft. Identity.Web

Hämta en åtkomsttoken med hjälp av agentidentitetsritningen

Du använder agentidentitetsritningen för att skapa varje agentidentitet. Begär en åtkomsttoken från Microsoft Entra med hjälp av din agentidentitetsritning:

När du använder en hanterad identitet som autentiseringsuppgifter måste du först skaffa en åtkomsttoken med hjälp av din hanterade identitet. Hanterade identitetstoken kan begäras från en IP-adress som är lokalt exponerad i beräkningsmiljön. Mer information finns i dokumentationen för hanterad identitet.

GET http://169.254.169.254/metadata/identity/oauth2/token?api-version=2019-08-01&resource=api://AzureADTokenExchange/.default
Metadata: True

När du har hämtat en token för den hanterade identiteten begär du en token för agentidentitetsritningen:

POST https://login.microsoftonline.com/<my-test-tenant>/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

client_id=<agent-blueprint-id>
scope=https://graph.microsoft.com/.default
client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_assertion=<msi-token>
grant_type=client_credentials

En client_secret parameter kan också användas i stället för client_assertion och client_assertion_type, när en klienthemlighet används i lokal utveckling.

Installera Microsoft. Identity.Web:

dotnet add package Microsoft.Identity.Web

Microsoft. Identity.Web innehåller ett gränssnitt som automatiskt begär en åtkomsttoken och kopplar den till utgående HTTP-begäranden. När du använder Microsoft. Identity.Web kan du gå vidare till nästa steg.

Skapa en agentidentitet

Med hjälp av den åtkomsttoken som hämtades i föregående steg kan du nu skapa agentidentiteter i klientorganisationen. Skapande av agentidentitet kan inträffa som svar på många olika händelser eller utlösare, till exempel när en användare väljer en knapp för att skapa en ny agent. Vi rekommenderar att du skapar en agentidentitet för varje agent, men du kan välja en annan metod baserat på dina behov.

Microsoft Graph API
Microsoft. Identity.Web

Inkludera alltid OData-Version-huvudet när du använder @odata.type.

POST https://graph.microsoft.com/beta/serviceprincipals/Microsoft.Graph.AgentIdentity
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
	"displayName": "My Agent Identity",
	"agentIdentityBlueprintId": "<my-agent-blueprint-id>",
	"sponsors@odata.bind": [
		"https://graph.microsoft.com/v1.0/users/<id>",
		"https://graph.microsoft.com/v1.0/groups/<group-id>"
	],
}

Anmärkning

När du tilldelar en grupp som sponsor godkänns endast grupptyper som stöds . Grupper stöds inte som ägare.

Så här använder du Microsoft.Identity.Web för att köra en begäran till Microsoft Graph API för att skapa en agentidentitet, lägg till följande MISE-konfigurationsfil:

Varning

Klienthemligheter ska inte användas som klientautentiseringsuppgifter i produktionsmiljöer för agentidentitetsritningar på grund av säkerhetsrisker. Använd i stället säkrare autentiseringsmetoder som federerade autentiseringsuppgifter (FIC) med hanterade identiteter eller klientcertifikat. Dessa metoder ger förbättrad säkerhet genom att eliminera behovet av att lagra känsliga hemligheter direkt i programkonfigurationen.

{
  "AzureAd": {
	"Instance": "https://login.microsoftonline.com/",
	"TenantId": "<my-test-tenant>",
	"ClientId": "<my-agent-blueprint-id>",
	"Scopes": "access_agent",
	"ClientCredentials": [
		{
			"SourceType": "ClientSecret",
			"ClientSecret": "your-client-secret"
		}
	]
  },

  "DownstreamApis": {
	"agent-identity": {
	  "BaseUrl": "https://graph.microsoft.com",
	  "RelativePath": "/beta/serviceprincipals/Microsoft.Graph.AgentIdentity",
	  "Scopes": ["00000003-0000-0000-c000-000000000000/.default"],
	  "RequestAppToken": true
	}
  }
}

Koden för ASP.NET Core-appen (Program.cs) är följande exempel:

using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.Resource;
using Microsoft.IdentityModel.S2S.Extensions.AspNetCore;
using MyAgent;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddMicrosoftIdentityWebApiAuthentication(builder.Configuration)
	.EnableTokenAcquisitionToCallDownstreamApi();
builder.Services.AddInMemoryTokenCaches();
var app = builder.Build();

app.UseHttpsRedirection();
app.UseAuthentication();
app.UseAuthorization();

public class AgentIdentity
{
	[JsonPropertyName("@odata.type")]
	public string @odata_type { get; set; } = "#Microsoft.Graph.AgentIdentity";

	[JsonPropertyName("displayName")]
	public string? displayName { get; set; }

	[JsonPropertyName("agentIdentityBlueprintId")]
	public string? agentIdentityBlueprintId { get; set; }

	[JsonPropertyName("id")]
	public string? id { get; set; }

  [JsonPropertyName("sponsors@odata.bind")]
	public string[]? sponsorsOdataBind { get; set; }

  [JsonPropertyName("owners@odata.bind")]
	public string[]? ownersOdataBind { get; set; }
}

// Create an Agent identity
app.MapGet("/create-agent-identity", async (HttpContext httpContext) =>
{
	try
	{
		// Get the service to call the downstream API (preconfigured in the appsettings.json file)
		IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

		// Call the downstream API with a POST request to create an Agent Identity
		var jsonResult = await downstreamApi.PostForAppAsync<AgentIdentity, AgentIdentity>(
			"agent-identity",
			new AgentIdentity {
				displayName = "My agent identity",
				agentIdentityBlueprintId = "<my-agent-blueprint-id>",
		  sponsorsOdataBind = new [] { "https://graph.microsoft.com/v1.0/users/<id>" }
			}
		  );
		return jsonResult?.id;
	}
	catch (Exception ex)
	{
		return ex.Message;
	}

})

app.Run();

Ta bort en agentidentitet

När en agent frigörs eller förstörs bör din tjänst även ta bort den associerade agentidentiteten:

Microsoft Graph API
Microsoft. Identity.Web

DELETE https://graph.microsoft.com/beta/serviceprincipals/<agent-identity-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

// Delete an Agent identity
app.MapGet("/delete-agent-identity", async (HttpContext httpContext, string id) =>
{
	// Get the service to call the downstream API (preconfigured in the appsettings.json file)
	IDownstreamApi downstreamApi = httpContext.RequestServices.GetRequiredService<IDownstreamApi>();

	// Call the downstream API with a DELETE request to remove an Agent Identity
	var jsonResult = await downstreamApi.DeleteForAppAsync<string, string>(
		"agent-identity",
		null!,
		options =>
		{
			options.RelativePath += $"/{id}"; // Specify the ID of the agent identity to delete
		});
	return jsonResult;
})

Feedback

Var den här sidan till hjälp?

Last updated on 2026-05-01