Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Sie müssen Teil des Frontier-Vorschauversionsprogramms sein, um Vorabzugriff auf Microsoft Agent 365 zu erhalten. Frontier verbindet Sie direkt mit den neuesten KI-Innovationen von Microsoft. Frontier-Vorschauversionen unterliegen den bestehenden Vorschauversionsbedingungen Ihrer Kundenvereinbarungen. Da sich diese Funktionen noch in der Entwicklung befinden, können sich ihre Verfügbarkeit und Merkmale im Laufe der Zeit ändern.
Die Agent-Identität ist ein grundlegendes Konzept im Microsoft Agent 365 SDK. Jeder Agent erhält seine eigene, dauerhafte Unternehmensidentität, getrennt von menschlichen Benutzern oder generischen Anwendungsregistrierungen. Diese Identität beschreibt den Agent mit Berechtigungen, Authentifizierung, Rollen und Compliance-Funktionen, die einem menschlichen Mitarbeiter ähneln.
Grundlegendes zu Agent-Identitätskomponenten
Wenn Sie einen Agent bei Microsoft Agent 365 registrieren, arbeiten drei Schlüsselkomponenten zusammen, um Ihrem Agent seine Identität bereitzustellen:
Agent-Blueprint (Agentic-Anwendung)
Der Agent-Blueprint definiert die Identitäts-, Berechtigungs- und Infrastrukturanforderungen des Agents. Sie dient als Vorlage zum Erstellen von Agent-Instanzen und umfasst:
- Microsoft Entra-Anwendungsregistrierung
- Erforderliche API-Berechtigungen (Microsoft Graph-Bereiche)
- Authentifizierungskonfiguration
- Ressourcendefinitionen (App Service Plan, Web App)
Agentic-App-Instanz
Eine agentische App-Instanz stellt eine bestimmte Bereitstellung Ihres Agent-Blueprints dar. Jede Instanz hat:
- Eindeutige agentische App-ID (Microsoft Entra ID)
- Dienstprinzipal zur Authentifizierung
- Instanzspezifische Konfiguration
- Verbundidentitätsanmeldeinformationen für die Integration von Teams
Agentischer Benutzer
Ein agentischer Benutzer ist die Laufzeitidentität, die in Ihrer Organisation angezeigt wird. Agentische Benutzer sind ein spezieller Untertyp der Benutzeridentität, die speziell für Agents entwickelt wurde. Wichtige Konzepte, die Sie über agentische Benutzer verstehen müssen, sind ihre Identitätsmerkmale, Organisationsintegration, Beziehungsmodell und Lebenszyklus.
Identitätsmerkmale
Agentische Benutzer weisen unterschiedliche Identitätseigenschaften auf, die sie von herkömmlichen Benutzerkonten unterscheiden:
- Als agentisch im Verzeichnis gekennzeichnet
- Empfängt Token mit
idtyp=user(Benutzeridentitätstyp) - Weist eine eindeutige Benutzer-ID (Objekt-ID) getrennt von der übergeordneten Agent-Instanz auf
- Keine herkömmlichen Anmeldeinformationen (Kennwörter, Passkeys, MFA-Faktoren)
- Muss über einen expliziten API-Aufruf von der übergeordneten Agent-Instanz erstellt werden
- Weist eine unveränderliche Verknüpfung mit der übergeordneten Agent-Instanz auf (kann nicht erneut übergeordnet werden)
Organisationsintegration
Agentische Benutzer funktionieren als vollständige Mitglieder Ihrer Microsoft 365-Organisation mit den folgenden Funktionen:
- Werden mit Ihrem Microsoft 365-Mandantenverzeichnis synchronisiert
- Lizenzen können zugewiesen werden (Microsoft 365 E5, Teams Enterprise, Copilot)
- Eigenes Postfach und OneDrive-Speicher (basierend auf Lizenzen)
- Im Organigramm und den Personenkarten angezeigt
- Kann sich @mentioned in Teams, Dokumenten und anderen Microsoft 365-Apps befinden
- Besitzen Sie einen eigenen eindeutigen Prinzipalnamen (z. B.
agent@yourtenant.onmicrosoft.com)
Beziehungsmodell
Die Verbindung zwischen agentischen Instanzen und agentischen Benutzern folgt einem strengen übergeordneten untergeordneten Muster:
- Jede agentische Instanz kann höchstens ein agentisches untergeordnetes Element haben
- Der agentische Benutzer speichert einen Verweis auf seine übergeordnete Agent-Instanz
- Die Instanz des übergeordneten Agents verwaltet einen Verweis auf den untergeordneten agentischen Benutzer (sofern vorhanden)
- Diese bidirektionale Beziehung ermöglicht eine ordnungsgemäße Lebenszyklusverwaltung und -überwachung
Lebenszyklus
Agentische Benutzer sind für die sofortige Verfügbarkeit mit automatischem Cleanup konzipiert, wenn sie nicht mehr benötigt wird:
Unterstützung von Sofortfunktionen und kann unmittelbar nach der Erstellung verwendet werden
Anmerkung
Die Ressourcenbereitstellung für agentische Benutzer (Postfach, OneDrive) kann bis zu 24 Stunden nach der Lizenzzuweisung dauern, wird jedoch in der Regel innerhalb von 10 bis 15 Minuten abgeschlossen.
Wenn die Instanz des übergeordneten Agents gelöscht wird, wird der untergeordnete agentische Benutzer ebenfalls gelöscht
Die Beziehung zwischen Agent-Instanz und agentischem Benutzer ist unveränderlich und kann nicht geändert werden
Wichtig
Agentische Benutzer benötigen geeignete Microsoft 365-Lizenzen für den Zugriff auf Dienste wie Teams, E-Mail, Kalender, SharePoint und OneDrive. Allgemeine Lizenzen umfassen Microsoft 365 E5, Teams Enterprise und Microsoft 365 Copilot. Nach dem Zuweisen von Lizenzen wird die Ressourcenbereitstellung (Postfach, OneDrive) in der Regel innerhalb von 10 bis 15 Minuten abgeschlossen, kann jedoch in einigen Fällen bis zu 24 Stunden dauern.
Berechtigungen und Zugriffssteuerung
Agent-Berechtigungen werden auf mehreren Ebenen verwaltet, um eine präzise Kontrolle über Zugriffsrechte und Funktionen zu ermöglichen.
Standardberechtigungen
Agentische Benutzer weisen bestimmte Berechtigungsmerkmale auf:
- Kann über Richtlinien für bedingten Zugriff verwaltet werden
- Ausgenommen von den MFA-Anforderungen (da sie keine herkömmlichen Authentifizierungsfaktoren haben können)
- Kann zu Entra-ID-Gruppen hinzugefügt werden, einschließlich der Gruppe „Alle agentischen Benutzer“
- Der Ressourcenzugriff wird durch explizite Berechtigungserteilungen und Lizenzen gesteuert
Verwaltung von Berechtigungen
Berechtigungen können auf verschiedenen Ebenen festgelegt werden:
- Agent-Blueprint-Ebene – Definiert Basisberechtigungen für alle Instanzen
- Agent-Instanzebene – Spezifische Berechtigungen für die Agent-Identität
- Agentische Benutzerebene – Benutzerspezifische Berechtigungen und Zugriffsrechte
Trinkgeld
Verwenden Sie für Agents mit agentischen Benutzeridentitäten die agentische Benutzeridentität in erster Linie für den Ressourcenzugriff. Diese Vorgehensweise bietet ein einheitliches benutzerähnliches Verhalten in microsoft 365-Diensten.
Authentifizierungsflows
Microsoft Agent 365 unterstützt zwei Authentifizierungsflüsse für Agents, die von der Microsoft Entra Agent-ID unterstützt werden.
Agent-Identität-Authentifizierung
Ermöglicht es einem Agent, mit seiner eigenen Identität zu handeln.
In diesem Flow passiert Folgendes:
- Der Agent authentifiziert sich mit seinen eigenen Anmeldeinformationen (Agent-Blueprint-Anmeldeinformationen).
- Der Agent arbeitet unabhängig mit eigenen zugewiesenen Berechtigungen.
- Der Agent verfügt über eine eigene Identität, getrennt von jedem Benutzer.
- Dieser Flow eignet sich ideal für autonome Agent-Vorgänge, die keinen Benutzerkontext erfordern.
Anwendungsfälle:
- Autonome Agent-Vorgänge (geplante Vorgänge, Überwachung)
- Senden von E-Mails oder Erstellen von Besprechungen aus dem Postfach des Agents
- Erstellen und Verwalten von Ressourcen im Besitz des Agents
- Hintergrundverarbeitung ohne Benutzerinteraktion
Weitere Informationen zum Registrieren und Erstellen von Agents
On-Behalf-Of (OBO)-Fluss
Ermöglicht es einem Agent, im Namen eines Benutzers zu handeln.
In diesem Flow passiert Folgendes:
- Der Agent empfängt das delegierte Token eines Benutzers
- Der Agent wechselt dieses Token, um Aktionen auszuführen, als ob der Benutzer sie ausführt
- Der Agent arbeitet mit den Berechtigungen und dem Kontext des Benutzers
- Dieser Fluss eignet sich ideal für Szenarien, in denen der Agent auf Ressourcen mit benutzerspezifischen Berechtigungen zugreifen muss
- Stellt eine starke Überwachung bereit, wenn agentische Identität in reaktiven Flüssen verwendet wird
Anwendungsfälle:
- Zugreifen auf benutzerspezifische Daten (E-Mails, Kalender, Dateien)
- Ausführen von Aktionen, die eine Zustimmung des Benutzers erfordern
- Szenarien, in denen Benutzerkontext und Berechtigungen erforderlich sind
Nächste Schritte,
Nachdem Sie nun Authentifizierungsflüsse und Agent-Identitätskonzepte verstanden haben, erstellen Sie Ihren Agent-Blueprint und ihre Instanz.