Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra Berechtigungsverwaltung bietet Zugriffspakete als Governancemechanismus. Zugriffspakete stellen sicher, dass Agentzugriffszuweisungen absichtlich, auditierbar und zeitgebunden sind. Access-Pakete stellen einen strukturierten Ansatz für die Verwaltung von Agentenidentitätsberechtigungen dar, im Gegensatz zu Ad-hoc-Berechtigungszuweisungen, die möglicherweise keine geeigneten Governance-Richtlinien aufweisen. Access-Pakete ermöglichen standardisierten Zugriff für viele KI-Agents mit den gleichen Zugriffsanforderungen, z. B. eine Flotte von KI-Agents des Kundensupports. Mithilfe von Zugriffspaketen können Organisationen konsistente Governancepraktiken für die Agentidentität, das Benutzerkonto des Agents und den Dienstprinzipalzugriff auf Ressourcen einrichten. Weitere Informationen finden Sie unter "Verwalten von Agentidentitäten".
Lizenzanforderungen
Microsoft Entra Agent ID ist Teil von Microsoft Agent 365. Beide sind über das Frontier-Programm in Microsoft 365 verfügbar. Um auf diese Features zuzugreifen, müssen Sie über eine Lizenz für Microsoft 365 Copilot verfügen und Frontier für Ihre Benutzer aktiviert haben.
Befolgen Sie den Leitfaden für die ersten Schritte von Frontier , oder führen Sie die folgenden Schritte aus, um zu überprüfen, ob Frontier aktiviert ist:
- Melden Sie sich beim Microsoft 365 Admin Center als Abrechnungsadministrator an.
- Navigieren Sie zu Copilot>Settings>Benutzerzugriff>Copilot Frontier und stellen Sie sicher, dass sie für Benutzer aktiviert ist. Wenn diese Optionen nicht angezeigt werden, wenden Sie sich an Ihren Administrator, um Ihre Microsoft 365 Copilot-Lizenzierung zu überprüfen.
Voraussetzungen
Vergewissern Sie sich vor dem Erstellen eines Zugriffspakets, dass die folgenden Voraussetzungen in Ihrer Organisation erfüllt sind:
Agents verwenden Microsoft Entra Agent-ID-Identitäten oder Dienstprinzipale (Service Principals) für die Autorisierung, um auf Ressourcen zuzugreifen.
Die Autorisierung ist eine der folgenden:
- Agents benötigen ihre Identität, um OAuth-Anwendungsberechtigungen für eine Zielressource wie Microsoft Graph oder eine Anwendung zuzuweisen, um auf die APIs einer Zielressource zugreifen zu können.
- Agents benötigen ihre Identität, um als Mitglieder von Gruppen zugewiesen zu werden.
- Agents benötigen ihre Identität, um Verzeichnisrollen zugewiesen zu werden. Die zulässigen Rollen werden in Microsoft Entra Rollen aufgeführt, die für Agents zulässig sind.
Sie haben oder können einen Berechtigungsverwaltungskatalog erstellen, der für diese Ressourcen geeignet ist. Das Zugriffspaket, das Sie erstellen, und alle darin enthaltenen Ressourcen werden dem Katalog hinzugefügt. Weitere Informationen finden Sie unter Erstellen eines Katalogs.
Hinweis
Wenn Sie dem Zugriffspaket OAuth-API-Berechtigungen oder Verzeichnisrollen als Ressourcenrollen hinzufügen, wird der Katalog als privilegiertes Objekt gekennzeichnet , wenn sie dem Zugriffspaket hinzugefügt werden.
Erstellen eines Zugriffspakets für Agentidentitäten (Vorschau)
Um Zugriffspakete für Agents zu verwenden, konfiguriert der IT-Administrator zunächst ein neues Zugriffspaket mit den relevanten Ressourcen, einschließlich Entra-Rollen, Gruppenmitgliedschaften und OAuth-Berechtigungserteilungen für Anwendungs-APIs. Anschließend konfiguriert der Administrator im Zugriffspaket die erforderlichen Richtlinieneinstellungen. Diese Einstellungen legen fest, wer Zugriff erhalten kann, wer Zugriff anfordern kann, Genehmigungen, Ablauf der Zugriffsberechtigung und Verlängerungen.
Da Agentidentitäten und Dienstprinzipale nicht über Zugriffspakete zu Anwendungsrollen, SAP-Rollen oder SharePoint Online-Websiterollen hinzugefügt werden können, können Sie kein vorhandenes Zugriffspaket wiederverwenden, das eine dieser Ressourcenrollen enthält. Erstellen Sie stattdessen ein neues Zugriffspaket.
Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Identitätsverwaltungsadministrator an.
Tipp
Wenn Sie OAuth-API-Berechtigungen oder Verzeichnisrollen als Ressourcenrollen zum Zugriffspaket hinzufügen, müssen Sie ein globaler Administrator sein.
Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspakete.
Wählen Sie "Neues Zugriffspaket" aus.
Auf der Registerkarte " Grundlagen " geben Sie dem Zugriffspaket einen Namen und eine Beschreibung, und geben Sie an, in welchem Katalog das Zugriffspaket erstellt werden soll. Wählen Sie in der Dropdownliste "Katalog " den Katalog aus, in dem Sie das Zugriffspaket platzieren möchten.
Wählen Sie Weiter: Ressourcenrollen aus. Auf der Registerkarte " Ressourcenrollen " wählen Sie die Ressourcenrollen aus, die in das Zugriffspaket aufgenommen werden sollen. Zugriffspakete für Agentidentitäten können Über Sicherheitsgruppenmitgliedschaften, Verzeichnisrollen oder API-Berechtigungen als Ressourcenrollen verfügen. Weitere Informationen finden Sie unter eine Gruppe hinzufügen, eine Microsoft Entra-Rolle hinzufügen und eine API-Berechtigung hinzufügen. Fügen Sie keine Anwendungsrollen, SAP-Rollen oder SharePoint Online-Websiterollen zu einem Zugriffspaket für Agentidentitäten hinzu.
Tipp
Wenn Sie nicht sicher sind, welche Ressourcenrollen einbezogen werden sollen, können Sie sie beim Erstellen des Zugriffspakets überspringen und sie später hinzufügen .
Wählen Sie "Weiter" aus: Anforderungen. Auf der Registerkarte "Anforderungen " erstellen Sie die erste Richtlinie, um anzugeben, wer das Zugriffspaket anfordern kann. wählen Sie im Abschnitt " Wer kann Zugriff erhalten " die Option "Für Benutzer", "Dienstprinzipale" und "Agentidentitäten" in Ihrem Verzeichnis aus. Wählen Sie im Bereich "Auswählen eines bestimmten Bereichs" die Option "Alle Agents "(Vorschau)" aus.
Hinweis
Wenn Ihre Agents Dienstprinzipale anstelle von Microsoft Entra-Agent-Identitäten verwenden, erstellen Sie auch eine Zugriffspaketzuweisungsrichtlinie mit der Option "Alle Dienstprinzipale (Vorschau) ", damit Dienstprinzipale in Ihrem Verzeichnis dieses Zugriffspaket anfordern können.
Bestimmen Sie, wie viele Genehmigungsphasen erforderlich sind. Legen Sie die Umschaltfläche " Anzahl der Stufen " für die Einzelstufengenehmigung auf 1 fest, 2 für die zweistufige Genehmigung oder 3 für die dreistufige Genehmigung. Konfigurieren Sie dann die Genehmigungsphasen und wer die Genehmiger sein sollen. Weitere Informationen finden Sie in der Genehmigung einer einzelnen Stufe.
Nachdem Sie jede Genehmigungsphase angegeben haben, wählen Sie "Weiter: Anfordererinformationen" aus.
Wählen Sie "Weiter" aus: Lebenszyklus. Geben Sie an, wie lange eine Zugriffspaketzuweisung verbleiben soll, bevor sie abläuft.
Klicken Sie auf Weiter: Regeln.
Klicken Sie auf Weiter: Überprüfen + erstellen. Auf der Registerkarte " Überprüfen + Erstellen " können Sie Ihre Einstellungen überprüfen und auf Überprüfungsfehler überprüfen.
Wählen Sie "Erstellen" aus, um das Zugriffspaket und die ursprüngliche Richtlinie zu erstellen.
Zusätzlich zur Verwendung des Microsoft Entra Admin Centers können Sie auch programmgesteuert ein Zugriffspaket über Microsoft Graph und über die PowerShell-Cmdlets für Microsoft Graph erstellen. Weitere Informationen finden Sie unter Programmgesteuertes Erstellen eines Zugriffspakets.
Zugriffsanforderungs- und Genehmigungsprozess
Agents können dann Zugriffspakete über drei verschiedene Anforderungspfade zugewiesen werden.
- Die Agentidentität selbst kann programmgesteuert ein Zugriffspaket anfordern, wenn es für seine Vorgänge erforderlich ist, indem eine accessPackageAssignmentRequest erstellt wird.
- Der Sponsor des Agenten kann den Zugriff im Namen der Agent-ID anfordern, um menschliche Überwachung im Zugriffsanforderungsprozess zu gewährleisten. Weitere Informationen finden Sie unter Anfordern eines Zugriffspakets für eine Agent-Identität (Vorschau).
- Ein Administrator kann dem Zugriffspaket direkt die Agentidentität oder das Benutzerkonto des Agents zuweisen.
Nach der Übermittlung wird die Zugriffsanforderung basierend auf der Konfiguration der Zugriffspaketrichtlinie an benannte Genehmigende weitergeleitet.
Zugriffszuweisungslebenszyklus
Sobald ein Genehmiger die Zugriffspaketzuweisungsanforderung akzeptiert, empfängt die Agentidentität zeitgebundenen Zugriff auf die angegebenen Ressourcen. Der Zugriff wird gemäß den ressourcenrollen gewährt, die im Zugriffspaket definiert sind. Dadurch wird ein klares Start- und Enddatum für den Zugriff festgelegt, den der Agent möglicherweise benötigt.
Wenn die Aufgabe von einer Agentenidentität übernommen wird und ein Sponsor für diese Agentenidentität festgelegt ist, erhält der Sponsor Benachrichtigungen, je näher das Ablaufdatum kommt. Der Sponsor hat dann zwei Optionen: er kann eine Erweiterung des Zugriffspakets anfordern (sofern dies durch die Richtlinie zulässig ist), oder er kann die Zugriffspaketzuweisung ablaufen lassen.
Wenn der Sponsor eine Erweiterung anfordert, kann diese Anforderung einen neuen Genehmigungszyklus auslösen, wobei genehmigende Personen erneut bestätigen, ob der fortgesetzte Zugriff geeignet ist. Wenn der Sponsor keine Aktion ausführt, läuft die Zugriffspaketzuweisung automatisch am Enddatum ab, und die Agentidentität verliert den Zugriff auf die Zielressourcen.