Freigeben über

Agentidentitäts-Blueprints in der Microsoft Entra-Agent-ID

Ein Agentidentitäts-Blueprint ist ein Objekt in der Microsoft Entra-ID, das als Vorlage zum Erstellen von Agentidentitäten dient. Sie richtet die Grundlage für die Erstellung, Authentifizierung und Verwaltung von Agents innerhalb einer Organisation ein.

Definieren eines Agentidentitäts-Blueprints

Diagramm, das die Beziehung zwischen Agentidentität und Agentidentitäts-Blueprint zeigt.

Alle Agentidentitäten in einem Microsoft Entra ID-Mandanten werden aus einem Agentidentitäts-Blueprint erstellt. Der Agent-Identitäts-Blueprint ist eine wichtige Komponente der Microsoft-Agent-Identitätsplattform, die die sichere Entwicklung und Verwaltung von KI-Agents im großen Maßstab ermöglicht. Ein Agentidentitäts-Blueprint dient vier Zwecken.

  • Blueprints sind eine Vorlage für Agentidentitäten.

    Organisationen können viele Instanzen eines KI-Agents bereitstellen. Jede Instanz verfolgt ein anderes Ziel und erfordert eine andere Zugriffsebene. Jede Instanz verwendet eine unterschiedliche Agentidentität für die Authentifizierung und den Zugriff. Die vielen verwendeten Agentidentitäten teilen jedoch bestimmte Merkmale. Der Agentidentitäts-Blueprint zeichnet diese allgemeinen Merkmale auf, sodass alle mit dem Blueprint erstellten Agentidentitäten eine konsistente Konfiguration aufweisen.

    Ein Agentidentitäts-Blueprint verfügt über die folgenden Eigenschaften, die allen zugehörigen Agentidentitäten gemeinsam sind:

    • description: Eine kurze Zusammenfassung des Zwecks und der Funktionen des Agenten.
    • appRoles: Definieren Sie die Rollen, die Benutzern und anderen Entitäten bei der Verwendung des Agenten zugewiesen werden können.
    • verifiedPublisher: Die Organisation, die den Agent erstellt hat.
    • Einstellungen für Authentifizierungsprotokolle, z. B. optionalClaims: Konfigurieren Sie, welche Informationen in Zugriffstokens enthalten sind, die an den Agenten ausgegeben werden.

    Diese Einstellungen sind auf einem Blueprint konfiguriert, sodass sie für alle Agentidentitäten konsistent sind, die mit dem Blueprint erstellt wurden.

    Das vollständige Schema ist in der Referenzdokumentation der Microsoft Graph-API verfügbar.

  • Blueprints erstellen Agentidentitäten.

    Technische Zeichnungen enthalten nicht nur Informationen. Sie sind zudem ein spezieller Identitätstyp innerhalb eines Microsoft Entra ID-Mandanten. Ein Blueprint kann genau einen Vorgang im Mandanten ausführen: Bereitstellung oder Rückgängigmachen der Bereitstellung von Agentidentitäten. Zum Erstellen einer Agentidentität verfügt ein Blueprint über Folgendes:

    • Eine OAuth-Client-ID: eine eindeutige ID, die zum Anfordern von Zugriffstoken von Microsoft Entra ID verwendet wird.
    • Anmeldeinformationen: Wird verwendet, um Zugriffstoken von der Microsoft Entra-ID anzufordern.
    • AgentIdentity.CreateAsManager: eine spezielle Microsoft Graph-Berechtigung, mit der der Blueprint Agent-Identitäten im Mandanten erstellen kann.

    Ein Dienst verwendet die Client-ID, Anmeldeinformationen und Berechtigungen des Blueprints, um Agent-Identitätserstellungsanforderungen über Microsoft Graph-APIs zu senden. Die von einem Blueprint erstellten Agentidentitäten teilen gemeinsame Merkmale.

    Weitere Informationen finden Sie unter Erstellen von Agentidentitäten.

  • Blueprints enthalten Anmeldeinformationen für Agentidentitäten.

    Jede Agentidentität verfügt nicht über eigene Anmeldeinformationen. Stattdessen werden die Zum Authentifizieren einer Agentidentität verwendeten Anmeldeinformationen auf dem Blueprint konfiguriert. Wenn ein KI-Agent einen Vorgang ausführen möchte, werden die im Blueprint konfigurierten Anmeldeinformationen verwendet, um ein Zugriffstoken von Microsoft Entra ID anzufordern.

    Informationen zu Authentifizierungsprotokollen finden Sie unter Agent-ID-Authentifizierungsprotokolle

  • Blueprints sind ein Container für Agentidentitäten.

    Identitätsadministratoren können Richtlinien und Einstellungen auf Agenten-Identitätsentwürfe anwenden, die für alle mit dem Blueprint erstellten Agenten-Identitäten wirksam werden. Beispiele sind:

    • Richtlinien für bedingten Zugriff, die auf einen Blueprint angewendet werden, werden für alle Agentidentitäten wirksam.
    • OAuth-Berechtigungen, die einem Blueprint gewährt werden, werden allen zugehörigen Agentidentitäten gewährt.
    • Durch Deaktivieren von Blueprints wird verhindert, dass alle dazugehörigen Agentenidentitäten authentifiziert werden können.

    Der Blueprint stellt einen logischen Container für Agentidentitäten bereit, auf dem viele verschiedene Identitätsverwaltungsvorgänge ausgeführt werden können. Auf diese Weise können Administratoren ihre Sicherheitsbemühungen auf eine große Anzahl von KI-Agents skalieren.

Prinzipale des Agenten-Identitätsentwurfs

Ein Agent-Identity-Blueprint-Prinzipal ist ein Objekt in Microsoft Entra Agent ID, das die Präsenz eines Agent-Identity-Blueprints innerhalb eines bestimmten Mandanten repräsentiert. Wenn einem Mandanten eine Blueprint-Anwendung für die Agentenidentität hinzugefügt wird, erstellt Microsoft Entra das entsprechende Prinzipalobjekt, das als Prinzipal der Agentenidentitäts-Blueprint-Anwendung fungiert.

Diagramm mit Abbildung eines Agenten-Blueprint-Hauptprinzips.

Dieser Hauptakteur erfüllt mehrere wichtige Rollen.

  • Tokenausstellung: Wenn der Agentidentitäts-Blueprint zum Abrufen von Token innerhalb eines Mandanten verwendet wird, verweist der Anspruch des oid resultierenden Tokens (Objekt-ID) auf den Agentidentitäts-Blueprint-Prinzipal. Es stellt sicher, dass jede Authentifizierung oder Autorisierung, die vom Agentidentitäts-Blueprint ausgeführt wird, auf das Prinzipalobjekt im Mandanten nachverfolgt werden kann.

  • Überwachungsprotokollierung: Vom Agentidentitäts-Blueprint ausgeführte Aktionen, z. B. das Erstellen von Agentidentitäten, werden in Überwachungsprotokollen aufgezeichnet, wie sie vom Agentidentitäts-Blueprint-Prinzipal ausgeführt werden. Sie bietet klare Rechenschaftspflicht und Rückverfolgbarkeit für Vorgänge, die vom Agent-Identitäts-Blueprint initiiert werden.

Blueprints für Agentenidentitäten werden immer in einem Microsoft Entra-Mandanten erstellt. Ein Blueprint für Agentenidentitäten wird häufig verwendet, um Agentenidentitäten innerhalb desselben Mandanten zu erstellen. Diese Agent-Identitätsentwürfe werden als "Einzelmandant" bezeichnet. Agent-Identitätsentwürfe können auch als "mandantenfähig" konfiguriert und über Microsoft-Kataloge für potenzielle Kunden veröffentlicht werden. Kunden können diese Blueprints dann ihrem Mandanten hinzufügen, sodass sie zum Erstellen von Agentidentitäten verwendet werden können.

In beiden Fällen wird immer ein Agent-Identitäts-Blueprint-Prinzipal erstellt, wenn einem Mandanten ein Blueprint hinzugefügt wird. Das Vorhandensein dieses Prinzipals gibt an, dass ein Blueprint in einem Mandanten vorhanden ist und zum Erstellen von Agentidentitäten verwendet werden kann. Kunden können einen Blueprint aus ihrem Mandanten entfernen, indem sie das Agent-Identitäts-Blueprint-Prinzipal löschen.

Erstellen eines Agentidentitäts-Blueprints

Es gibt mehrere Möglichkeiten zum Erstellen eines Agentidentitäts-Blueprints in der Microsoft Entra-Agent-ID. Weitere Informationen finden Sie unter Agent Identity Blueprint.

Anmeldeinformationen für Agentidentitäten

Es gibt mehrere Typen von Anmeldedaten, die für Agentidentitäten verwendet werden können. Weitere Informationen hierzu finden Sie unter Anmeldeinformationen für Agentenidentitäten.

Verwandte Inhalte

  • Last updated on