Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine Agentidentität ist ein spezieller Dienstprinzipal in Microsoft Entra ID. Es stellt eine Identität dar, die der Agentidentitäts-Blueprint erstellt und zur Nachahmung autorisiert ist. Es besitzt keine eigenen Zugangsdaten. Sofern der Benutzer oder Mandantenadministrator der Agentenidentität zu den entsprechenden Berechtigungsbereichen zugestimmt hat, kann der Blueprint der Agentenidentität Token im Auftrag dieser abrufen. Autonome Agenten erwerben App-Tokens im Namen der Agentenidentität. Interaktive Agenten, die mit einem Benutzertoken aufgerufen werden, erwerben Benutzertokens im Namen der Agentenidentität.
Agentidentitäten können verwendet werden, um:
- Fordern Sie Agententokens von Microsoft Entra ID an. Das Subjekt des Zugriffstokens ist die Identität des Agenten.
- Empfangen von eingehenden Zugriffstoken, die von Microsoft Entra ID ausgestellt wurden. Die Zielgruppe des Zugriffstokens ist die Agentidentität.
- Fordern Sie Benutzertoken von Microsoft Entra ID für einen authentifizierten Benutzer an. Das Subjekt des Tokens ist ein Benutzer, während der Akteur die Agentenidentität ist.
Von Bedeutung
Microsoft Entra-Agent-ID befindet sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.
Anatomie einer Agentidentität
Ein konto, das von einem KI-Agent verwendet wird, wird als Agentidentität bezeichnet. Ähnlich wie Ihr typisches Benutzerkonto verfügt eine Agentidentität über einige wichtige Komponenten:
Bezeichner. Jede Agentidentität weist eine
id(auch als Objekt-ID bezeichnet) auf, z. B.aaaaaaaa-1111-2222-3333-bbbbbbbbbb. Microsoft Entra generiert denidund identifiziert das Konto innerhalb eines Microsoft Entra Mandanten eindeutig.Anmeldeinformationen. Agentidentitäten besitzen keine eigenen Anmeldeinformationen. Sie verlassen sich auf den Agentidentitäts-Blueprint, um Token in ihrem Auftrag zu erwerben.
Anzeigename. Der Anzeigename einer Agentidentität wird in vielen Umgebungen wie dem Microsoft Entra Admin Center, Azure Portal, Teams, Outlook und mehr angezeigt. Es ist der benutzerfreundliche Name eines Agenten und kann geändert werden.
Sponsor. Agentidentitäten können einen Sponsor haben, der den menschlichen Benutzer oder die Gruppe erfasst, die für einen Agenten verantwortlich ist. Dieser Sponsor wird für verschiedene Zwecke verwendet, z. B. um mit einer Person Kontakt aufzunehmen, falls ein Sicherheitsvorfall eintritt.
Blueprint. Alle Agentidentitäten werden aus einer wiederverwendbaren Vorlage erstellt, die als Agentidentitäts-Blueprint bezeichnet wird. Der Agentidentitäts-Blueprint legt die Art des Agenten fest und erfasst Metadaten, die über alle Agentenidentitäten einer gemeinsamen Art hinweg geteilt werden.
Das Benutzerkonto des Agents (optional) Einige Agents benötigen Zugriff auf Systeme, die unbedingt ein Microsoft Entra Benutzerkonto für die Authentifizierung verwenden müssen. In diesen Fällen kann ein Agent ein zweites Konto erhalten, das als Benutzerkonto eines Agenten bezeichnet wird. Dieses zweite Konto ist ein Benutzerkonto im Microsoft Entra Mandanten, das als KI-Agent eingerichtet ist. Sie weist eine andere
idAls die Agentidentität auf, aber eine 1:1-Beziehung wird immer zwischen einer Agentidentität und dem Benutzerkonto des Agents hergestellt.
Dies sind die grundlegenden Komponenten einer Agentidentität, die sichere Authentifizierung und Autorisierung ermöglichen. Das vollständige Objektschema einer Agentidentität ist in Microsoft Graph Referenzdokumentation verfügbar.
Autorisierung von Agentidentitäten
Die Agentidentität ist das primäre Konto, das von einem KI-Agent zur Authentifizierung bei verschiedenen Systemen verwendet wird. Es verfügt über eindeutige Bezeichner wie die Objekt-ID und die App-ID, die immer denselben Wert aufweisen und zuverlässig für Authentifizierungs- und Autorisierungsentscheidungen verwendet werden können.
Im Gegensatz zu menschlichen Benutzern verwenden KI-Agents keine Kennwörter, sms (Short Message Service), Passkeys oder Authenticator-Apps für die Authentifizierung. Agentidentitäten besitzen keine eigenen Anmeldeinformationen. Sie authentifizieren sich nur mithilfe von Verbundidentitätsdaten (FIC), die durch den Agenten-Identitäts-Blueprint ausgestellt werden. Der Blueprint enthält Anmeldeinformationen, die zum Abrufen von Tokens im Auftrag von Agentenidentitäten verwendet werden. Anmeldeinformationen sind nicht Teil der Agentenidentität. Zu den Anmeldeinformationstypen im Blueprint zählen:
- Berechtigungsnachweise für Verbundidentität
- Zertifikate/Kryptografieschlüssel
- Client-Geheimnisse
Agentidentitäten können nur Tokens im Microsoft Entra-Mandanten ausgegeben werden, wo sie erstellt wurden. Sie können nicht auf Ressourcen oder APIs in anderen Mandanten zugreifen.
Blueprints: Konsistente Sicherheit für Agentidentitäten
Ein wesentliches Merkmal von Agentidentitäten besteht darin, dass alle Agentidentitäten aus einer wiederverwendbaren Vorlage erstellt werden, die als Agentidentitäts-Blueprint bezeichnet wird. Der Entwurf legt die "Art" des Agents fest und zeichnet Metadaten auf, die mit allen Agentenidentitäten eines gemeinsamen Typs geteilt werden.
Stellen Sie sich vor, dass eine Organisation einen KI-Agent namens "Vertriebsmitarbeiter" verwendet. Unabhängig davon, ob der Agent gekauft oder intern integriert ist, wird dem Microsoft Entra Mandanten der Organisation ein Agent-Identitäts-Blueprint hinzugefügt. Der Blueprint erfasst die folgenden Informationen:
- Der Name des Blueprints, z. B. "Vertriebsmitarbeiter"
- Die Organisation, die den Blueprint veröffentlicht hat, z. B. "Contoso"
- Alle Rollen, die der Agent anbieten kann, z. B. "Vertriebsmanager" oder "Vertriebsmitarbeiter"
- Alle Microsoft Graph-Berechtigungen, die seinen Agenten erteilt werden, z. B. "Den Kalender des angemeldeten Benutzers lesen"
Viele Vertriebsteams innerhalb der Organisation stellen den KI-Agent bereit. Ein Agent wird für den Vertrieb in Nordamerika eingesetzt. Ein weiterer wird für den Vertrieb Südamerikas bereitgestellt. Einer für den Unternehmensumsatz, eine für kleine/mittlere Unternehmen und eine für Startups. Bei der Erstellung erhält jeder dieser Agenten eine Agentidentität. Jeder Agent beginnt mit der Ausführung von Aufgaben und verwendet dabei seine Agentidentität zur Authentifizierung.
Da jede Agentidentität mit demselben Agentidentitäts-Blueprint erstellt wird, werden alle Agents im Microsoft Entra Admin Center als "Vertriebsassistenten" angezeigt. Mit diesem Feature kann der Microsoft Entra-Administrator Aktionen wie:
- Wenden Sie eine Richtlinie für bedingten Zugriff auf alle Vertriebsmitarbeiter an.
- Deaktivieren Sie alle Vertriebsmitarbeiter.
- Widerrufen einer Berechtigungserteilung für alle Sales Assistant-Agenten.
Agent-Identitäts-Blueprints ermöglichen dem Microsoft Entra Administrator die Möglichkeit, Agentidentitäten im großen Maßstab zu sichern, indem Regeln festgelegt und Vorgänge basierend auf der Art des Agents ausgeführt werden. Dieses Feature stellt eine konsistente Sicherheit für jeden KI-Agent sicher, der in der Organisation bereitgestellt wird.