Häufig gestellte Fragen zu Microsoft Entra-Agent-ID

Microsoft Graph APIs, die Beziehungen mit Agentidentitäten unterstützen, z. B. /ownedObjects, /deletedItems und /owners unterstützen das Filtern nach Entitätstyp nicht. Verwenden Sie die vorhandenen APIs und filtern Sie Ergebnisse auf der Clientseite mithilfe der odata.type Eigenschaft, um Agent-Identitätsobjekte in der Antwort zu identifizieren.

Wenn ein Agentenidentitäts-Blueprint oder eine Agentenidentität gelöscht wird, verbleiben die Benutzerkonten aller zugehörigen Agenten im Mandanten. Sie werden nicht als deaktiviert oder gelöscht angezeigt, obwohl sie sich nicht authentifizieren können. Löschen Sie die Benutzerkonten verwaister Agents manuell mithilfe von Microsoft Graph-API oder Microsoft Entra PowerShell.

Beim schnellen Erstellen von Agentidentitätsobjekten mithilfe der Microsoft Graph-APIs können Anfragen mit Fehlern wie 400 Bad Request: Object with id {id} not found fehlschlagen. Allgemeine Sequenzen, die dieses Verhalten auslösen, umfassen:

• Erstellen eines Agent-Identitäts-Blueprints, und erstellen Sie dann sofort einen Blueprint-Prinzipal.
• Einen Blaupausen-Principal erstellen und dann die Blaupause sofort verwenden, um eine Agentenidentität zu erstellen.
• Erstellen sie eine Agentidentität, und erstellen Sie dann sofort das Benutzerkonto eines Agents.

Diese Fehler treten häufiger auf, wenn Nur-App-Berechtigungen verwendet werden. Verwenden Sie delegierte Berechtigungen, wenn möglich, und fügen Sie Wiederholungslogik mit exponentiellem Backoff zu Ihren Anforderungen hinzu.

Die folgenden Beschränkungen gelten für Blueprints für Agentenidentitäten:

• Nicht Microsoft Verwaltungsplattformen mit Nur-App-Berechtigungen sind auf 250 Agentidentitäten pro Blueprint beschränkt. Delegierte Anrufe und Microsoft plattformen (Foundry, Copilot Studio) unterliegen dieser Obergrenze nicht.
• Benutzer, die keine Administratoren sind, unterliegen dem grenzwert für 250 Objekte im Besitz von Microsoft Entra ID, der für alle Microsoft Entra Ressourcentypen gilt.
• Vorlagen dürfen höchstens 95 % des gesamten Ressourcenkontingents des Mandanten belegen. Weitere Informationen finden Sie in der Zeile Resources in Microsoft Entra Dienstbeschränkungen und -einschränkungen.

Es gibt keine integrierten Benachrichtigungsmechanismen zur Genehmigung von Agentenidentitäts-Blueprints. Wenn ein Mandantenadministrator einen Agent-Identitätsplan für Ihren Agent erstellt oder genehmigt, werden Sie nicht über Microsoft Entra oder Microsoft Graph benachrichtigt.

Um zu überprüfen, ob Ihr Blueprint in einem bestimmten Mandanten genehmigt wurde, rufen Sie die Microsoft Graph-API ab und suchen nach Blueprint-Principal-Objekten, die Ihrer Anwendung zugeordnet sind. Wenn ein Administrator den Blueprint noch nicht genehmigt hat, gibt die Abfrage keine Ergebnisse für diesen Mandanten zurück.

Benutzerdefinierte Rollendefinitionen unterstützen keine Aktionen zum Verwalten von Agentidentitäten. Verwenden Sie die integrierten Administrator - und Agent-ID-Entwicklerrollen für alle Agentidentitätsverwaltung.

Agentenidentitäten, Agentenidentitätsentwürfe und Hauptverantwortliche von Agentenidentitätsentwürfen können nicht zu Verwaltungseinheiten hinzugefügt werden. Verwenden Sie die owners Eigenschaft von Agentidentitäten, um einzuschränken, welche Benutzer bestimmte Objekte verwalten können.

Die Rolle " Agent-ID-Administrator " verfügt nicht über die Berechtigung zum Aktualisieren von Fotos für das Benutzerkonto eines Agents. Verwenden Sie die Rolle " Benutzeradministrator " für diese Aufgabe.

Dynamische Gruppenmitgliedschaftsregeln unterstützen keine Zielgruppenadressierung für das Benutzerkonto eines Agents. Verwenden Sie zugewiesene Gruppen, um die Gruppenmitgliedschaften eines Agents zu verwalten.

Agentidentitäten können sich nicht bei Microsoft Entra ID Anmeldeseiten anmelden, was bedeutet, dass sie einmaliges Anmelden nicht mit OpenID Connect- oder SAML-Protokollen verwenden können. Nutzen Sie verfügbare Web-APIs, um Agenten mit Arbeitsplatz-Apps und -Diensten zu integrieren.

Der Microsoft Entra ID admin consent workflow funktioniert nicht ordnungsgemäß für Berechtigungen, die von Agentidentitäten angefordert werden. Benutzer sollten sich an ihren Microsoft Entra-Tenant-Administrator wenden, um die direkte Erteilung von Berechtigungen für die Agentenidentität zu beantragen.

Für die Einwilligungsprozesse zur Agentenidentität wird eine risikobasierte Stufenverifizierung durchgesetzt. Wenn die Zustimmung eines Benutzers blockiert wird, gibt es keine Problemumgehung. Der Benutzer muss das gekennzeichnete Risiko lösen, bevor die Zustimmung fortgesetzt werden kann.

Überwachungsprotokolle unterscheiden standardmäßig keine Agentidentitäten von anderen Microsoft Entra Identitätstypen:

• Operationen an Agentenidentitäten, Blueprints und Blueprint-Prinzipale werden in der Kategorie ApplicationManagement protokolliert.
• Vorgänge auf den Benutzerkonten von Agents werden in der Kategorie " Benutzerverwaltung " protokolliert.
• Von Agentidentitäten initiierte Vorgänge werden als Serviceprinzipale angezeigt.
• Vorgänge, die von den Benutzerkonten der Agents initiiert werden, werden als Benutzer angezeigt.

Um Agent-ID-bezogene Aktivitäten zu identifizieren, verwenden Sie Objekt-IDs aus Überwachungsprotokollen, um Microsoft Graph abzufragen und den Entitätstyp zu bestimmen. Sie können auch die Korrelations-ID der Anmeldeprotokolle verwenden, um die Identität des Akteurs oder Subjekts zu ermitteln, das an der Tätigkeit beteiligt ist.

Microsoft Graph Aktivitätsprotokolle trennen derzeit keine Agentidentitäten von anderen Identitätstypen:

• Anfragen von Agentenidentitäten werden als Anwendungen protokolliert, wobei die Agentenidentität in der appID-Spalte eingefügt ist.
• Anfragen von Benutzerkonten von Agents werden als Benutzer protokolliert, wobei die Agent-Benutzer-ID in der Spalte UserID aufgeführt ist.

Verbinden Sie sich mit Microsoft Entra Anmeldeprotokollen, um den Entitätstyp zu bestimmen.

Das verwendete SDK hängt von Ihrem Szenario ab:

Microsoft Agent 365 CLI und SDK sind der empfohlene Ausgangspunkt für die meisten Entwickler. Die CLI behandelt die Agentidentitätsbereitstellung, die Erstellung von Blueprints und die Berechtigungsverkabelung in einem einzigen Befehl. Das SDK behandelt den Tokenerwerb zur Laufzeit. Weitere Informationen finden Sie in Microsoft Entra Agent 365 SDK-Dokumentation.

Microsoft. Identity.Web stellt APIs auf höherer Ebene zum Abrufen von Token für Agentidentitäten in .NET Anwendungen bereit. Verwenden Sie die Microsoft. Identity.Web.AgentIdentities-Paket zur Vereinfachung der Verwaltung von Agentidentitäten.

Der Microsoft Entra SDK-Container kapselt Microsoft.Identity.Web als Webdienst, der als Sidecar-Container bereitgestellt wird. Verwenden Sie diese Option, wenn Ihr Agent auf Kubernetes ausgeführt wird und/oder nicht in .NET integriert ist. Weitere Informationen finden Sie unter Microsoft Entra SDK für Agent-ID.

Microsoft Graph APIs stellen die Agentidentitätsverwaltung bereit, wenn die anderen Optionen nicht in Ihr Szenario passen. Weitere Informationen finden Sie unter Microsoft Graph-API für Agentenidentitäts-Blueprints.