Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Agent-Identität ist ein grundlegendes Konzept im Microsoft Agent 365 SDK. Jeder Agent verfügt über eine eigene, dauerhafte Unternehmensidentität, die von menschlichen Benutzern oder generischen Anwendungsregistrierungen getrennt ist. Diese Identität bietet den Agent-Berechtigungen, Authentifizierungs-, Rollen- und Compliancefunktionen, die einem menschlichen Mitarbeiter ähneln.
Grundlegendes zu Agent-Identitätskomponenten
Wenn Sie einen Agent bei Microsoft Agent 365 registrieren, arbeiten drei Schlüsselkomponenten zusammen, um Ihrem Agent seine Identität bereitzustellen:
Agenten-Entwurf (Agenten-Anwendung)
Der Agent-Blueprint definiert die Identitäts-, Berechtigungs- und Infrastrukturanforderungen des Agents. Sie dient als Vorlage zum Erstellen von Agent-Instanzen und umfasst:
- Microsoft Entra Anwendungsregistrierung
- Erforderliche API-Berechtigungen (Microsoft Graph Bereiche)
- Authentifizierungskonfiguration
- Ressourcendefinitionen (App Service Plan, Web App)
Agentinstanz
Eine Agentinstanz stellt eine konkrete Bereitstellung Ihres Agent-Blueprint dar. Jede Instanz hat:
- Eindeutige Microsoft Entra ID Agent-ID
- Service Principal zur Authentifizierung
- Instanzspezifische Konfiguration
- Verbundidentitätsanmeldeinformationen für die Integration von Teams
Agent-Benutzer
Ein Agentbenutzer ist die Ausführungsidentität, die in Ihrer Organisation angezeigt wird. Agentbenutzer sind ein spezieller Untertyp der Benutzeridentität, die speziell für Agents entwickelt wurde. Wichtige Konzepte, die Sie über Agentbenutzer verstehen müssen, sind ihre Identitätsmerkmale, die Organisationsintegration, das Beziehungsmodell und der Lebenszyklus.
Identitätsmerkmale
Agentbenutzer verfügen über unterschiedliche Identitätseigenschaften, die sie von herkömmlichen Benutzerkonten unterscheiden:
- Als agentisch im Verzeichnis gekennzeichnet
- Empfängt Token mit
idtyp=user(Benutzeridentitätstyp) - Verfügt über eine eindeutige Agent-Benutzer-ID (Objekt-ID) getrennt von der übergeordneten Agentinstanz
- Kann keine herkömmlichen Anmeldeinformationen verwenden (Kennwörter, Passkeys, MFA-Faktoren)
- Muss über einen expliziten API-Aufruf von der übergeordneten Agent-Instanz erstellt werden
- Hat eine unveränderbare Verbindung zu seiner übergeordneten Agent-Instanz (kann nicht neu zugeordnet werden)
Organisationsintegration
Agentbenutzer funktionieren als vollständige Mitglieder Ihrer Microsoft 365 Organisation mit den folgenden Funktionen:
- Werden mit Ihrem Microsoft 365 Mandantenverzeichnis synchronisiert
- Lizenzen können zugewiesen werden (Microsoft 365 E5, Teams Enterprise, Copilot)
- Haben ein eigenes Postfach und OneDrive-Speicherplatz (basierend auf Lizenzen)
- Im Organigramm und auf den Personenkarten erscheinen
- Kann @mentioned in Teams, Dokumenten und anderen Microsoft 365 Apps sein
- Haben ihren eigenen eindeutigen Principal-Namen (z. B.
agent@yourtenant.onmicrosoft.com)
Beziehungsmodell
Die Verbindung zwischen Agentinstanzen und Agentbenutzern folgt einem strengen Eltern-Kind-Muster.
- Jede Agentinstanz kann höchstens ein untergeordnetes Agent-Benutzer-Element haben.
- Der Agentbenutzer speichert einen Verweis auf seine übergeordnete Agentinstanz.
- Die übergeordnete Agent-Instanz hält einen Verweis auf ihren untergeordneten Agent-Benutzer aufrecht (sofern vorhanden)
- Diese bidirektionale Beziehung ermöglicht eine ordnungsgemäße Lebenszyklusverwaltung und -überwachung
Lebenszyklus
Agentbenutzer sind für die sofortige Verfügbarkeit mit automatischer Bereinigung konzipiert, wenn sie nicht mehr benötigt wird:
Unterstützt instant-on-Funktionalität und kann unmittelbar nach der Erstellung verwendet werden.
Hinweis
Die Ressourcenbereitstellung für Agentbenutzer (Postfach, OneDrive) kann bis zu 24 Stunden nach der Lizenzzuweisung dauern, wird jedoch in der Regel innerhalb von 10 bis 15 Minuten abgeschlossen.
Wenn die Instanz des übergeordneten Agents gelöscht wird, wird der untergeordnete Agent-Benutzer ebenfalls gelöscht.
Die Beziehung zwischen Agentinstanz und Agentbenutzer ist unveränderlich und kann nicht geändert werden.
Wichtig
Agentbenutzer benötigen geeignete Microsoft 365 Lizenzen für den Zugriff auf Dienste wie Teams, E-Mail, Kalender, SharePoint und OneDrive. Allgemeine Lizenzen umfassen Microsoft 365 E5, Teams Enterprise und Microsoft 365 Copilot. Nach dem Zuweisen von Lizenzen wird die Ressourcenbereitstellung (Postfach, OneDrive) in der Regel innerhalb von 10 bis 15 Minuten abgeschlossen, kann jedoch in einigen Fällen bis zu 24 Stunden dauern.
Berechtigungen und Zugriffssteuerung
Verwalten Sie Agentberechtigungen auf mehreren Ebenen, um eine präzise Kontrolle über Zugriffsrechte und Funktionen zu ermöglichen.
Standardberechtigungen
Agentbenutzer verfügen über bestimmte Berechtigungsmerkmale:
- Verwalten mittels Richtlinien für bedingten Zugriff
- Ausgenommen von den MFA-Anforderungen (da sie keine herkömmlichen Authentifizierungsfaktoren haben können)
- Zu Entra ID Gruppen hinzufügen, einschließlich der Gruppe All Agent Users
- Steuern des Ressourcenzugriffs über explizite Berechtigungserteilungen und Lizenzen
Berechtigungsverwaltung
Festlegen von Berechtigungen auf verschiedenen Ebenen:
- Agent-Blueprint-Ebene – Definiert Basisberechtigungen für alle Instanzen
- Agent-Instanzebene – Spezifische Berechtigungen für die Agent-Identität
- Agent-Benutzerebene – Benutzerspezifische Berechtigungen und Zugriffsrechte
Tipp
Verwenden Sie für Agents mit Agent-Benutzeridentitäten die Agent-Benutzeridentität in erster Linie für den Ressourcenzugriff. Diese Vorgehensweise bietet ein einheitliches benutzerähnliches Verhalten in Microsoft 365 Diensten.
Authentifizierungsabläufe
Microsoft Agent 365 unterstützt zwei Authentifizierungsflüsse für Agents, die von Microsoft Entra Agent-ID unterstützt werden.
Agent-Identität-Authentifizierung
Ermöglicht es einem Agent, mit seiner eigenen Identität zu handeln.
In diesem Flow passiert Folgendes:
- Der Agent authentifiziert sich mithilfe seiner eigenen Anmeldeinformationen (Agent-Blueprint-Anmeldeinformationen).
- Der Agent arbeitet unabhängig mit eigenen zugewiesenen Berechtigungen.
- Der Agent hat eine eigene Identität, getrennt von jedem Benutzer.
- Dieser Fluss eignet sich ideal für autonome Agentvorgänge, die keinen Benutzerkontext erfordern.
Anwendungsfälle:
- Autonome Agent-Vorgänge (geplante Vorgänge, Überwachung).
- Senden von E-Mails oder Erstellen von Besprechungen aus dem Postfach des Agents.
- Erstellen und Verwalten von Ressourcen, die von Agenten verwaltet werden.
- Hintergrundverarbeitung ohne Benutzerinteraktion.
Erfahren Sie mehr über das Registrieren und Erstellen von Agents.
On-Behalf-Of (OBO)-Fluss
Ermöglicht es einem Agent, im Namen eines Benutzers zu handeln.
In diesem Flow passiert Folgendes:
- Der Agent empfängt das delegierte Token eines Benutzers.
- Der Agent wechselt dieses Token, um Aktionen auszuführen, als ob der Benutzer sie ausführt.
- Der Agent arbeitet mit den Berechtigungen und dem Kontext des Benutzers.
- Dieser Fluss eignet sich ideal für Szenarien, in denen der Agent auf Ressourcen mit benutzerspezifischen Berechtigungen zugreifen muss.
- Bietet eine starke Auditierung, wenn die Agentenidentität in reaktiven Prozessen verwendet wird.
Anwendungsfälle:
- Zugreifen auf benutzerspezifische Daten (E-Mails, Kalender, Dateien).
- Ausführen von Aktionen, die die Zustimmung des Benutzers erfordern.
- Szenarien, in denen Benutzerkontext und Berechtigungen erforderlich sind.