übersicht über Microsoft Entra-Agent-ID-APIs in Microsoft Graph (Vorschau)

Microsoft Entra-Agent-ID-APIs in Microsoft Graph helfen Ihnen beim Erstellen, Schützen und Verwalten von KI-Agent-Identitäten, die in Ihrem organization ausgeführt werden. Sie können agent-Identitäten programmgesteuert erstellen, deren Zugriff auf Ressourcen steuern und deren Aktivitäten über eine zentrale Plattform überwachen.

In diesem Artikel erfahren Sie mehr über die wichtigsten Konzepte und APIs für die Verwaltung von Agent-Identitäten in Microsoft Graph, einschließlich der Komponenten, aus denen eine Agent-Identität besteht, das Anwenden von Sicherheits- und Governancerichtlinien auf Agents sowie die berechtigungen, die für die programmgesteuerte Verwaltung von Agents erforderlich sind.

Weitere Informationen zum Microsoft Entra-Agent-ID finden Sie unter Was ist Microsoft Entra-Agent-ID?

Bausteine von Agentidentitäten

Die folgenden Kernkomponenten umfassen die Architektur Microsoft Entra-Agent-ID:

Komponente	Zweck	Microsoft Graph-Ressource
Blueprint	Vorlage, die den Agent-Identitätstyp definiert, einschließlich Der Berechtigungen, dass Agent-Identitäten vorautorisiert sind, um automatisch zu erben	agentIdentityBlueprint
Blaupausenprinzipal	Datensatz der Hinzufügung einer Blaupause zu einem Mandanten	agentIdentityBlueprintPrincipal
Agent-Identität	Primäre Identität für die Authentifizierung	agentIdentity
Agent-Benutzer	Optionales Konto für Szenarien, die ein Benutzerkonto erfordern	agentUser
Agent-Registrierung	Zentrales Repository für die Agentverwaltung, das als Plattform für die Verwaltung von Agent-Karte Manifesten, Agentinstanzen und Agent-Sammlungen dient.	agentRegistry agentCardManifest agentInstance agentCollection

Weitere Informationen zur Architektur der Agent-Identität finden Sie in den folgenden Artikeln:

Microsoft Entra-Agent-ID erweitert die umfassenden Sicherheits- und Governancefunktionen von Microsoft Entra auf KI-Agents, einschließlich bedingtem Zugriff, Identitätsschutz und Überwachungsprotokollen.

Besitz und Verantwortlichkeit

Jede Agent-Identität sollte über eine bestimmte Partei verfügen, die für die Aktionen, Zugriffsberechtigungen und den allgemeinen Sicherheitsstatus des Agents verantwortlich ist, um Verantwortlichkeit und ordnungsgemäße Governance sicherzustellen. Mit Microsoft Graph-APIs können Sie die folgenden Metadaten für Agentidentitäten zuweisen und verwalten, um dieses Prinzip zu unterstützen.

Metadaten	Gilt für
owner	agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity
Sponsor	agentIdentityBlueprint, agentIdentityBlueprintPrincipal, agentIdentity, agentUser
manager	agentUser

Weitere Informationen finden Sie unter Administrative Beziehungen in Microsoft Entra-Agent-ID (Besitzer, Sponsoren und Manager).

Bedingter Zugriff

Sie können Richtlinien für bedingten Zugriff programmgesteuert anwenden, um Zugriffsrichtlinien für KI-Agents basierend auf der Agent-Identität, dem Risiko und anderen Kontextfaktoren zu erzwingen.

Verwenden Sie die Was-wäre-wenn-Auswertungs-API , um zu simulieren, wie sich Richtlinien für bedingten Zugriff auf Agentidentitäten auswirken, die versuchen, auf Ressourcen zuzugreifen.
Verwenden Sie die RICHTLINIEN-APIs für bedingten Zugriff , um Richtlinien für bedingten Zugriff für KI-Agents anzuwenden oder zu verwalten, die auf Organisationsressourcen zugreifen. Sie können diese Richtlinien basierend auf der Agent-Risikostufe oder benutzerdefinierten Sicherheitsattributen anwenden, die den Agents zugewiesen sind.

Identitätsschutz

Microsoft Entra ID Protection bewertet das Agent-Risiko kontinuierlich basierend auf verschiedenen Signalen und maschinellem Lernen. Sie können die Ressourcentypen agentRiskDetection und riskyAgent verwenden, um das Agentrisiko in Ihrem organization zu identifizieren und zu verwalten, einschließlich des Verwerfens oder Bestätigens erkannter Risiken. Bestätigte Risiken können automatisierte Korrekturaktionen auslösen, z. B. die Erzwingung von Richtlinien für bedingten Zugriff.

Überwachungsprotokolle

Microsoft Entra SignIn-Protokolle erfassen Aktivitäten, die von Agent-Identitäten ausgeführt werden, und bieten Einblick in Agent-Vorgänge für die Compliance- und Sicherheitsüberwachung – von der Erstellung von Agent-Identitäten bis hin zu Konfigurationsänderungen auf Agents, einschließlich Zuweisungen von Rollen und Berechtigungen.

Berechtigungen zum Verwalten von Agentidentitäten

Microsoft Graph bietet präzise Berechtigungen zum Verwalten von Agent-Identitäten und den zugehörigen Komponenten. Die Berechtigungen folgen den folgenden Mustern und werden in der Microsoft Graph-Berechtigungsreferenz veröffentlicht.

Berechtigungen zum Verwalten der Agent-Registrierung:

AgentCardManifest.Read*
AgentCollection.Read*
AgentInstance.Read*

Berechtigungen zum Verwalten der Agentidentitätsblaupausen und -identitäten:

AgentIdentity*

Berechtigungen für Nmanaging-Agent-Benutzer:

AgentIdUser.Read*

Für die Verwaltung von Richtlinien für bedingten Zugriff, Identity Protection und das Anzeigen von Überwachungsprotokollen für Agents sind dieselben Berechtigungen erforderlich wie für die Verwaltung dieser Features für andere Identitätstypen in Microsoft Entra. Weitere Informationen finden Sie in den entsprechenden API-Artikeln für die einzelnen Features.

Microsoft Graph-Berechtigungen für Agents blockiert

Agent-Identitäten verwenden das gleiche Microsoft Graph-Berechtigungsmodell wie andere Identitäten. Daher können ihnen delegierte oder Anwendungsberechtigungen für den Zugriff auf Microsoft Graph-APIs gewährt werden.

Aufgrund der Autonomen Natur von Agents und der potenziellen Risiken, die sie mit sich bringen, werden die folgenden Microsoft Graph-API-Berechtigungen explizit für Agents blockiert, um Missbrauch oder unbeabsichtigten Zugriff auf vertrauliche Daten zu verhindern. Diese Berechtigungen können agent-Identitäten nicht über Microsoft Graph oder Microsoft Entra Admin Center erteilt werden.

Legende:

❌ gibt an, dass die Berechtigung in dieser Kategorie blockiert ist.
➖ gibt an, dass die Berechtigung in dieser Kategorie nicht anwendbar/blockiert ist.

Berechtigungsname	Delegiert	Application
AgentIdentity.Create	➖	❌
AgentIdentity.Create.All	➖	❌
AgentIdentity.CreateAsManager	➖	❌
AgentIdentityBlueprint.Create	➖	❌
AgentIdentityBlueprint.CreateAsManager	➖	❌
AgentIdentityBlueprint.ReadWrite.All	➖	❌
AgentIdentityBlueprintPrincipal.Create	➖	❌
Application.ReadWrite.All	➖	❌
Application.ReadWrite.OwnedBy	➖	❌
AppRoleAssignment.ReadWrite.All	➖	❌
BitlockerKey.Read.All	➖	❌
Calendars.Read	➖	❌
ChannelMessage.Read.All	➖	❌
ChannelMessage.Read.Group	➖	❌
Chat.Read.All	➖	❌
Chat.ReadWrite.All	➖	❌
ConsentRequest.ReadWrite.All	➖	❌
CustomSecAttributeAssignment.ReadWrite.All	❌	❌
CustomSecAttributeDefinition.ReadWrite.All	❌	❌
DelegatedPermissionGrant.ReadWrite.All	❌	❌
Device.ReadWrite.All	➖	❌
Device.Write.Restricted	❌	❌
DeviceManagementConfiguration.Read.All	➖	❌
Directory.AccessAsUser.All	❌	➖
Directory.ReadWrite.All	❌	❌
Directory.Write.Restricted	❌	❌
Domain.ReadWrite.All	❌	❌
EduRoster.ReadWrite.All	➖	❌
EntitlementManagement.ReadWrite.All	➖	❌
Files.Read.All	➖	❌
Files.ReadWrite.All	➖	❌
Group.Create	➖	❌
Group.ReadWrite.All	❌	❌
Group.Write.Restricted	❌	➖
GroupMember.ReadWrite.All	❌	❌
IdentityProvider.ReadWrite.All	➖	❌
LifecycleManagement.ReadWrite.All	➖	❌
Organization.ReadWrite.All	➖	❌
Policy.ReadWrite.AuthenticationMethod	➖	❌
Policy.ReadWrite.CrossTenantAccess	➖	❌
Policy.ReadWrite.PermissionGrant	➖	❌
Policy.ReadWrite.SecurityDefaults	➖	❌
PrintJob.ReadWrite.All	➖	❌
PrivilegedAccess.ReadWrite.AzureAD	➖	❌
PrivilegedAccess.ReadWrite.AzureResources	➖	❌
RoleManagement.ReadWrite.All	❌	➖
RoleManagement.ReadWrite.Directory	❌	❌
Sites.FullControl.All	➖	❌
Sites.Manage.All	➖	❌
Sites.Read.All	➖	❌
Sites.ReadWrite.All	➖	❌
Tasks.ReadWrite.All	➖	❌
User-PasswordProfile.ReadWrite.All	❌	❌
User.DeleteRestore.All	❌	❌
User.EnableDisableAccount.All	❌	❌
User.Invite.All	➖	❌
User.ReadWrite.All	❌	❌
UserAuthenticationMethod.Read.All	❌	➖
UserAuthenticationMethod.ReadWrite.All	❌	❌

Was ist Microsoft Entra-Agent-ID

Feedback

War diese Seite hilfreich?

Last updated on 2025-12-20