Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Agentbenutzer sind ein spezieller Identitätstyp, der die Lücke zwischen Agents und menschlichen Benutzerfunktionen überbrücken soll. Agentbenutzer ermöglichen KI-gestützte Anwendungen, mit Systemen und Diensten zu interagieren, die Benutzeridentitäten erfordern, während geeignete Sicherheitsgrenzen und Verwaltungssteuerelemente beibehalten werden. Es ermöglicht Organisationen, den Zugriff dieses Agents mithilfe ähnlicher Funktionen wie für menschliche Benutzer zu verwalten.
Beispiel für Agent-Benutzerszenarien
Manchmal reicht es nicht aus, dass ein Agent Aufgaben im Auftrag eines Benutzers ausführt oder als autonome Anwendung arbeitet. In bestimmten Szenarien muss ein Agent als Benutzer agieren, der im Wesentlichen als digitaler Mitarbeiter funktioniert. Im Folgenden finden Sie Beispielszenarien, in denen der Agentbenutzer anwendbar wäre:
- Die Organisation benötigt langfristige digitale Mitarbeiter, die als Teammitglieder mit Postfächern, Chatzugriff und Integration in HR-Systeme fungieren.
- Der Agent muss auf APIs oder Ressourcen zugreifen, die nur für Benutzeridentitäten verfügbar sind.
- Der Agent muss als Teammitglied an workflows für die Zusammenarbeit teilnehmen.
Aus diesen Gründen werden Agentbenutzer erstellt. Agentbenutzer sind optional und sollten nur für Interaktionen erstellt werden, bei denen der Agent als Benutzer fungieren muss oder auf Ressourcen zugreifen muss, die auf Benutzerkonten beschränkt sind.
Agent-Benutzer
Agentbenutzer stellen einen Untertyp der Benutzeridentität in Microsoft Entra dar. Diese Identitäten sind so konzipiert, dass Agentanwendungen Aktionen in Kontexten ausführen können, in denen eine Benutzeridentität erforderlich ist. Im Gegensatz zu nichtagentischen Dienstprinzipalen oder Anwendungsidentitäten erhalten Agentbenutzer Token mit Anspruch idtyp=user, sodass sie auf APIs und Dienste zugreifen können, die speziell Benutzeridentitäten erfordern. Außerdem werden Sicherheitseinschränkungen beibehalten, die für nicht menschliche Identitäten erforderlich sind.
Ein Agent-Benutzer wird nicht automatisch erstellt. Er erfordert einen expliziten Erstellungsprozess, der ihn mit seiner übergeordneten Agentidentität verbindet. Diese Beziehung zwischen eltern und untergeordneten Elementen ist grundlegend, um zu verstehen, wie Agentbenutzer funktionieren und in Microsoft Entra gesichert sind. Nach der Einrichtung ist diese Beziehung unveränderlich und dient als Eckpfeiler des Sicherheitsmodells für Agentbenutzer. Die Beziehung ist eine 1:1-Zuordnung. Jede Agentidentität kann höchstens einen zugeordneten Agent-Benutzer aufweisen, und jeder Agent-Benutzer ist mit genau einer übergeordneten Agentidentität verknüpft, die mit genau einer Agentidentitäts-Blueprint-Anwendung verknüpft ist.
Agent-Benutzer:
- Werden auch mithilfe eines Agent-Identitäts-Blueprints erstellt.
- Werden immer einer bestimmten Agentidentität zugeordnet, die beim Erstellen angegeben wird.
- Weisen Sie unterschiedliche eindeutige Bezeichner auf, getrennt von der Agentidentität.
- Kann nur authentifiziert werden, indem ein Token angezeigt wird, das an die zugeordnete Agentidentität ausgestellt wurde.
Agent-Benutzer- und Agent-ID-Beziehung
Der Agentidentitäts-Blueprint verfügt nicht standardmäßig über die Berechtigung zum Erstellen von Agentbenutzern, da diese Funktion optional und nicht immer erforderlich ist. Es ist eine Berechtigung, die explizit dem Agent-Identitäts-Blueprint erteilt werden muss.
Agentbenutzer werden mithilfe des Agentidentitäts-Blueprints erstellt. Wenn die richtigen Berechtigungen erteilt wurden, kann der Agentidentitäts-Blueprint einen Agentbenutzer erstellen und eine übergeordnete Beziehung mit einer bestimmten Agentidentität herstellen. Die Agentidentität wird als übergeordnetes Element des Agent-Benutzers betrachtet.
Administratoren verwalten den Lebenszyklus eines Agentbenutzers. Ein Administratorbenutzer kann den Agent-Benutzer löschen, sobald agent-Benutzerfunktionen nicht mehr benötigt werden.
Authentifizierung und Sicherheitsmodell
Das Authentifizierungsmodell für Agentbenutzer unterscheidet sich erheblich von den Benutzerkonten:
Verbundidentitätsanmeldeinformationen: Die Authentifizierung erfolgt über anmeldeinformationen, die dem Agentbenutzer zugewiesen sind. Verwenden Sie in Produktionssystemen Verbundidentitätsanmeldeinformationen (Federated Identity Credentials, FIC). Diese Anmeldeinformationen werden zum Authentifizieren sowohl des Agentidentitäts-Blueprints als auch der Agentidentität verwendet. Die dem Benutzer zugewiesenen Anmeldeinformationen werden für die Authentifizierung im gesamten Agent-Ökosystem verwendet.
Eingeschränktes Anmeldeinformationsmodell: Agentbenutzer verfügen nicht über normale Anmeldeinformationen wie Kennwörter. Stattdessen sind sie auf die Verwendung der über ihre übergeordnete Beziehung bereitgestellten Anmeldeinformationen beschränkt. Diese Einschränkung für Anmeldeinformationen sowie Einschränkungen für die interaktive Anmeldung stellt sicher, dass Agentbenutzer nicht wie Standardbenutzer verwendet werden können.
Identitätswechselmechanismus: Die zugeordnete Agentidentität kann den Identitätswechsel des untergeordneten Agent-Benutzers annehmen. Sie ermöglicht es der Geschäftslogik des Übergeordneten, Token abzurufen und bei Bedarf als Agentbenutzer zu fungieren.
Funktionen von Agentbenutzern
Agentbenutzer verfügen über Funktionen, mit denen sie in Microsoft 365 und anderen Umgebungen effektiv funktionieren können:
Agentbenutzer können Microsoft Entra-Gruppen hinzugefügt werden, einschließlich dynamischer Gruppen, sodass sie Berechtigungen erben können, die diesen Gruppen erteilt wurden. Sie können jedoch nicht zu rollenzuweisungsfähigen Gruppen hinzugefügt werden.
Agentbenutzer können auf Ressourcen zugreifen und andere Features für die Zusammenarbeit nutzen, die in der Regel für menschliche Benutzer reserviert sind.
Agent-Benutzer können administrativen Einheiten hinzugefügt werden, ähnlich wie menschliche Benutzer.
Agentbenutzer können Lizenzen zugewiesen werden, die häufig für die Bereitstellung von Microsoft 365-Ressourcen erforderlich sind.
Sicherheitseinschränkungen
Agentbenutzer arbeiten unter bestimmten Sicherheitseinschränkungen, um eine angemessene Verwendung sicherzustellen:
Einschränkungen für Anmeldeinformationen: Agentbenutzer können keine Anmeldeinformationen wie Kennwörter oder Kennungen haben. Der einzige von ihnen unterstützten Anmeldeinformationstyp ist der Agentidentitätsverweis auf das übergeordnete Element. Selbst wenn sich Agentbenutzer als Benutzer verhalten, sind ihre Anmeldeinformationen vertrauliche Clientanmeldeinformationen.
Einschränkungen für administrative Rollen: Agentbenutzer können keine privilegierten Administratorrollen zugewiesen werden. Diese Einschränkung bietet eine wichtige Sicherheitsgrenze und verhindert potenzielle Rechteerweiterungen.
Berechtigungsmodell: Agentbenutzer verfügen in der Regel über Berechtigungen, die Gastbenutzern ähneln, mit weiteren Funktionen zum Aufzählen von Benutzern und Gruppen. Agentbenutzern können keine privilegierten Administratorrollen zugewiesen werden. Benutzerdefinierte Rollenzuweisungen und rollenzuweisungsfähige Gruppen sind für Agentbenutzer nicht verfügbar. Weitere Informationen finden Sie in der Referenz zu Microsoft Graph-Berechtigungen