Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Als Microsoft Entra-Administrator müssen Sie möglicherweise Maßnahmen für Microsoft Foundry-Agenten ergreifen, die in Ihrem Mandanten ausgeführt werden. Bevor Sie fortfahren, ist es wichtig zu verstehen, dass die in Foundry für Sie verfügbaren Aktionen Infrastrukturaktionen sind und nicht lediglich Laufzeitgovernance. Wenn Sie einen Agent beenden oder löschen, arbeiten Sie auf Azure Ressourcen, die möglicherweise mehreren Mandanten oder Teams dienen.
Dieser Artikel hilft Ihnen dabei, den benötigten Zugriff zu erhalten, zu verstehen, wie Admin Center-Aktionen Azure Ressourcenvorgängen zugeordnet sind, und fundierte Entscheidungen darüber treffen, wann und wie sie eingreifen. Die hier präsentierte Anleitung konzentriert sich auf die Governance auf Infrastrukturebene von Agents, die mit dem Foundry Agent Service erstellt wurden, als Rückfalloption für Situationen, die direktes administratives Eingreifen erfordern.
Von Bedeutung
Bevorzugen Sie " Stop over Delete ", wenn Sie einen Agent deaktivieren müssen. Das Anhalten ist umkehrbar. Durch das Löschen werden Azure-Ressourcen dauerhaft entfernt, wodurch sich dies auf andere Mandanten auswirken kann.
Voraussetzungen
- Eine der folgenden Microsoft Entra Rollenzuweisungen:
- Wenn Ihre Organisation Privileged Identity Management (PIM) verwendet, aktivieren Sie Ihre Rollenzuweisung, bevor Sie fortfahren.
Von Bedeutung
KI-Administratoren: Sie können das Zugriffserweiterungsverfahren nicht selbst ausführen. Sie sollten sich zuerst mit dem Besitzer des Agenten absprechen, der eine der folgenden Aktionen ausführen kann:
- Führen Sie die Infrastrukturmaßnahmen auf Ihrem Auftrag durch
- Gewähren Sie die erforderlichen Azure Rollenzuweisungen für die spezifischen Ressourcen.
Wenn Sie den Agentbesitzer nicht identifizieren oder erreichen können, koordinieren Sie sich als Alternative mit einem globalen Administrator.
Hinweis
Sie benötigen keinen vorhandenen Zugriff auf Azure Abonnements. In diesem Artikel erfahren Sie, wie Sie Ihren Zugriff erhöhen, um Einblicke in die Azure-Ressourcen zu erhalten, die Foundry-Agenten unterstützen.
Verstehen, wie die Agenteninfrastruktur funktioniert
Foundry-Agents sind in projects organisiert, die wiederum Teil einer Foundry-Kontoressource in einem Azure-Abonnement sind. Ein Projekt ist ein freigegebener Arbeitsbereich, in dem Entwickler Agents erstellen, testen und zusammenarbeiten. Projekte sind Azure Ressourcen, die durch Berechnung, Speicher und eine gemeinsame Agentidentität gesichert werden. Mehrere Agents können innerhalb eines einzelnen Projekts vorhanden sein.
Wenn ein Entwickler einen Agent in einem Projekt erstellt, beginnt der Agent in einem nicht veröffentlichten Zustand. Sie teilt den Endpunkt und die Identität des Projekts und verfügt nicht über eigene dedizierte Azure Ressourcen. Ein Agent kann mehrere Versionen haben. Wenn Sie Maßnahmen gegen das Projekt selbst ergreifen, wirkt sich diese Aktion auf alle Darin enthaltenen Agents aus.
Wenn ein Entwickler einen Agent veröffentlicht, erstellt Foundry eine dedizierte Anwendungsressource mit eigener Endpunkt-, Bereitstellungs- und Entra-Agent-Identität. Da veröffentlichte Agents über eine eigene Infrastruktur verfügen, können Sie gezielte Maßnahmen gegen sie ergreifen, ohne den Rest des Projekts zu beeinträchtigen.
Eine vollständige Beschreibung der Agent-Lebenszyklusvorgänge finden Sie unter Verwalten von Agents in Foundry Control Plane. Weitere Informationen zu den in diesem Abschnitt referenzierten Foundry-Konzepten finden Sie unter:
- Microsoft Foundry-Architektur für die Zuordnung von Foundry-Ressourcen zu Azure Ressourcen.
- Agent-Identitätskonzepte für die Funktionsweise von Agentidentitäten in Microsoft Entra ID.
- Planen und Verwalten von Foundry für die Organisation von Abonnements und Ressourcengruppen.
Infrastrukturaktionen im Vergleich zu Admin Center-Aktionen
Die in der Kontrollebene der Foundry verfügbaren Aktionen sind Infrastruktur-Operationen für Azure-Ressourcen. Sie unterscheiden sich von den Aktionen Block und Unblock, mit denen Sie in Microsoft 365 Admin Center vertraut sind.
Blockaktionen in Microsoft 365 Admin Center und Teams Admin Center wirken sich auf die Sichtbarkeit des Agents für Benutzer aus:
- Scope: Betrifft nur die Agentprojektion in Teams und Microsoft 365 Copilot
- Auswirkung: Benutzer können nicht über diese spezifischen Kanäle auf den Agent zugreifen.
- Foundry Access: Der Agent bleibt im Foundry-Portal und anderen Integrationspunkten voll funktionsfähig.
- Infrastructure: Keine Auswirkungen auf zugrunde liegende Azure Ressourcen oder Berechnung
Infrastrukturaktionen in Foundry Control Plane wirken sich auf die zugrunde liegenden Ressourcen des Agents aus:
- Beenden und Starten wirken auf einzelne Bereitstellungen, indem sie rechnerressourcen freigeben oder bereitstellen. Sie wirken sich auf die zugrunde liegende Azure Infrastruktur aus und machen den Agent in allen Kanälen nicht verfügbar (Teams, Microsoft 365 Copilot, Foundry, APIs).
- Delete entfernt dauerhaft Azure Ressourcen. Für veröffentlichte Agents umfasst dies die Agentanwendung und die zugehörigen Bereitstellungen. Diese Aktion kann nicht rückgängig gemacht werden.
Wenn eine Agentanwendung ein Szenario mit mehreren Mandanten erfüllt, wirken sich Infrastrukturaktionen auf alle Verbraucher dieses Agents aus, nicht nur auf die Benutzer Ihres Mandanten.
Bevorzugen Sie immer "Stop over Delete". Das Beenden behält die Option bei, später neu zu starten. Löschen sollte ein letztes Mittel sein, das nur verwendet wird, nachdem Sie mit Ressourceneigentümern koordiniert und bestätigt haben, dass der Agent nicht mehr ausgeführt werden soll.
Erhöhen des Zugriffs zum Verwalten von Azure-Abonnements
Microsoft Entra ID und Azure unabhängige Zugriffssteuerungssysteme verwenden. Ihre Administratorrolle gewährt Ihnen nicht automatisch Zugriff auf Azure Abonnements. Um die Azure-Ressourcen anzuzeigen und zu verwalten, die die Foundry-Agents unterstützen, müssen Sie Ihre Zugriffsrechte erweitern.
Von Bedeutung
KI-Administratoren: Sie können dieses Erhöhungsverfahren nicht ausführen. Wenden Sie sich an den Agent-Inhaber, der zuerst eine der folgenden Aktionen ausführen kann:
- Ergreifen Sie die erforderlichen Infrastrukturmaßnahmen in Ihrem Auftrag
- Weisen Sie die erforderlichen Azure-Rollen für die bestimmten Ressourcen zu.
Wenn Sie den Agentbesitzer nicht identifizieren oder erreichen können, wenden Sie sich alternativ an einen globalen Administrator, damit dieser die notwendigen Azure-Rollenberechtigungen erweitert und Ihnen die erforderlichen Rollen zuweist.
Die Rechteerweiterung weist Ihnen die Rolle des Benutzerzugriffsadministrators im Stammbereich (/) zu, wodurch Sie Einblick in alle Abonnements und Verwaltungsgruppen in Ihrem Mandanten erhalten.
Das vollständige Verfahren finden Sie unter Zugriffsrechte erhöhen, um alle Azure-Abonnements und Verwaltungsgruppen zu verwalten.
Von Bedeutung
Entfernen Sie den erweiterten Zugriff, sobald Sie fertig sind. Die Erhöhung der Berechtigungen im Root-Bereich ist eine leistungsstarke Berechtigung, und das Prinzip der geringsten Rechte gilt. Befolgen Sie das Verfahren zur Aufhebung der Rechteerweiterung , wenn Sie Ihre Aufgaben ausführen. Wenn Ihre Organisation PIM verwendet, deaktivieren Sie die Rollenzuweisung als globaler Administrator, nachdem Sie den Erhöhungsschalter entfernt haben.
Zugriff mit erhöhten Rechten entfernen
Wenn Sie Ihre administrativen Aufgaben abgeschlossen haben, entfernen Sie Ihre erhöhten Berechtigungen in umgekehrter Reihenfolge:
Azure-Rollenzuweisungen entfernen: Entfernen Sie alle Azure AI-Rollen, die Sie sich selbst zugewiesen haben (z. B. Azure AI-Administrator), aus den spezifischen Foundry-Projekten oder Ressourcengruppen.
Azure Portal:
- Navigieren Sie im Azure-Portal zu der Ressource, in der Sie sich selbst Rollen zugewiesen haben.
- Wählen Sie Zugriffssteuerung (IAM)>-Rollenzuweisungen aus.
- Suchen Sie Ihr Benutzerkonto in der Rollenzuweisungsliste.
- Wählen Sie die Aufgabe und dann "Entfernen" aus.
Azure CLI:
# List current role assignments to find the assignment ID az role assignment list --assignee <your-email> --scope <resource-scope> # Remove the specific role assignment az role assignment delete --ids <assignment-id>Entfernen sie die Rolle "Benutzerzugriffsadministrator": Entfernen Sie die Rolle "Benutzerzugriffsadministrator auf Stammebene" aus der Rechteerweiterungsprozedur.
Azure Portal:
- Wechseln Sie im Azure-Portal zu Microsoft Entra ID>Properties.
- Legen Sie unter Access-Verwaltung für Azure Ressourcen den Umschalter auf No fest.
- Wählen Sie "Speichern" aus.
Azure CLI:
# Remove the User Access Administrator role at root scope az role assignment delete \ --assignee <your-email> \ --role "User Access Administrator" \ --scope "/"
Dieser zweistufige Prozess stellt sicher, dass Sie sowohl die spezifischen Berechtigungen entfernen, die Sie selbst erteilt haben, als auch die breite Rechteerweiterung, die diese Berechtigungen aktiviert hat.
Koordinieren mit Ressourcenbesitzern
Foundry-Agenten werden von Azure-Ressourcen unterstützt, die zu bestimmten Abonnements, Ressourcengruppen und Projekten gehören. Diese Ressourcen verfügen über Besitzer. Bevor Sie Maßnahmen auf Infrastrukturebene ergreifen, identifizieren und arbeiten Sie nach Möglichkeit mit diesen Besitzern zusammen.
Zeitpunkt der Koordination im Vergleich zum eigenständigen Handeln
| Situation | Empfohlener Ansatz |
|---|---|
| Aktive Sicherheitsrisiken oder Richtlinienverstöße | Handeln Sie zuerst (Stoppen Sie den Agenten) und benachrichtigen Sie dann die Ressourcenbesitzer. |
| Routinemäßige Compliance-Überprüfung oder Auditfeststellung | Wenden Sie sich an die Ressourcenbesitzer, und arbeiten Sie an der Behebung zusammen. |
| Agent, der unerwartete Ressourcen oder Kosten verbraucht | Benachrichtigen Sie die Ressourcenbesitzer. Erwägen Sie, den Agenten nur zu stoppen, wenn die Kosten kritisch sind und die Besitzer nicht antworten. |
| Falsches Verhalten des Agents, aber kein Sicherheitsrisiko | Wenden Sie sich an die Ressourcenbesitzer, bevor Sie Maßnahmen ergreifen. Beenden Sie nur, wenn das Verhalten aktiv schädlich ist. |
Infrastrukturverwaltung ist eine gemeinsame Verantwortung. Globale Administratoren haben den Zugriff auf die Handlung, aber Ressourcenbesitzer haben den Kontext, um die Auswirkungen zu verstehen. Die Koordination führt zu besseren Ergebnissen.
Identifizieren von Ressourcenbesitzern
- Navigieren Sie im Azure-Portal zu der Ressourcengruppe, die das Gießereiprojekt des Agents enthält.
- Wählen Sie Zugriffssteuerung (IAM)>Rollenzuweisungen aus, um anzuzeigen, wer über berechtigungen für die Ressource verfügt.
Die relevanten Projektbeteiligten für eine Ressource könnten viele verschiedene Rollen haben. Privilegierte Rollen wie Besitzer oder Mitwirkender sind ein guter Hinweis, wenn sie angezeigt werden; jedoch hätten nicht alle Stakeholder diese Rollen zwangsläufig zugewiesen bekommen.
Sie können auch das Aktivitätsprotokoll für die Ressource anzeigen, um zu sehen, wer kürzlich Verwaltungsaktionen ausgeführt hat. Auf diese Weise können Sie ermitteln, wer die Ressource gerade verwaltet, auch wenn sie keine privilegierte Rollenzuweisung haben.
Zuweisen der richtigen Rollen
Nachdem Sie den Zugriff erhöht haben, weisen Sie sich selbst die mindeste Rolle zu, die für die Aktion erforderlich ist, die Sie ausführen möchten. Bleiben Sie nicht länger als nötig im Root Scope.
| Aktion, die Sie ausführen möchten | Minimale vordefinierte Rolle |
|---|---|
| Bereitstellungen innerhalb einer Agentenanwendung ansehen |
Azure AI User (Lesegerät ist unzureichend) |
| Den Einsatz eines Agents stoppen oder starten | Azure AI Owner |
| Ressourcenverwaltung, einschließlich Löschung | Azure AI Owner |
Weisen Sie Rollen im kleinstmöglichen Umfang zu. Dies bedeutet in der Regel, die Rolle nur für die spezifische Ressource des Foundry-Projekts zuzuweisen, mit der Sie arbeiten möchten. Wenn Sie nur Agenten in einer einzelnen Ressourcengruppe verwalten müssen, weisen Sie die Rolle dort anstatt auf der Abonnementebene zu.
Wenn Ihre Organisation PIM verwendet, erwägen Sie, berechtigte Aufgaben anstelle dauerhafter Aufgaben zu erstellen. Berechtigte Zuordnungen erfordern eine Aktivierung, die einen Überwachungspfad erstellt und Zeitlimits erzwingt.
Ergreifen von Maßnahmen gegen einen Agenten
Wenn Sie eingreifen müssen, wählen Sie die am wenigsten störende Aktion aus, die die Situation behebt.
Agent im Portal stoppen
Einen Agenten zu beenden ist die bevorzugte Vorgehensweise für die meisten Situationen. Er deaktiviert den Agent, ohne Ressourcen zu zerstören, und Sie können später neu starten. Informationen zum vollständigen Stoppverfahren finden Sie unter Start- und Stopp-Agents.
Löschen eines Agents im Portal (letzte Möglichkeit)
Der Vorgang löscht Agent-Ressourcen dauerhaft und kann nicht widerrufen werden. Stellen Sie vor dem Löschen sicher, dass keine anderen Mandanten oder Teams vom Agent abhängig sind, und vergewissern Sie sich, dass die Ressourcenbesitzer mit der dauerhaften Entfernung einverstanden sind.
So löschen Sie einen Agent:
- Wählen Sie im Foundry-Portal Betreiben>Ressourcen>Agenten aus.
- Wählen Sie den Agent aus, den Sie löschen möchten.
- Wählen Sie Bearbeiten aus. Dadurch gelangen Sie zur Registerkarte " Erstellen " für diesen Agent.
- Wählen Sie die drei Punkte (...) neben den Schaltflächen " Speichern", " Vorschau" und " Veröffentlichen " aus, und wählen Sie dann " Agent löschen" aus.
- Geben Sie den zu bestätigenden Agentnamen ein, und wählen Sie dann "Löschen" aus.
Um eine einzelne Agentversion zu löschen, wählen Sie die Version über die Dropdownliste neben der Schaltfläche " Speichern" aus . Wählen Sie dann in derselben Dropdownliste "Aktuelle Version löschen" aus.
Verwalten von Bereitstellungen mit der REST-API
Sie können Agentbereitstellungen auch programmgesteuert mithilfe der Azure Resource Manager REST-API verwalten. Dieser Ansatz ist nützlich, wenn Sie über mehrere Bereitstellungen hinweg handeln oder Lebenszyklusvorgänge automatisieren müssen.
Am einfachsten können Sie diese Befehle über Azure Cloud Shell ausführen, was keine Installation erfordert und Ihre aktuelle Azure Anmeldesitzung verwendet. Wenn Sie lieber lokal arbeiten möchten, installieren Sie zuerst die Azure CLI und Sign in.
Die folgenden Beispiele verwenden az rest. Ersetzen Sie die Platzhalter durch Ihre eigenen Werte für Abonnement, Ressourcengruppe, Foundry-Konto, Projekt, Agentenanwendung und Bereitstellungsnamen.
Auflisten von Bereitstellungen für eine Agentanwendung
az rest --method get \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments?api-version=2025-10-01-preview"
Beenden einer Bereitstellung
az rest --method post \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}/stop?api-version=2025-10-01-preview"
Bereitstellung starten
az rest --method post \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}/start?api-version=2025-10-01-preview"
Löschen einer Bereitstellung
az rest --method delete \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.CognitiveServices/accounts/{accountName}/projects/{projectName}/applications/{applicationName}/agentdeployments/{deploymentName}?api-version=2025-10-01-preview"
Vorsicht
Durch das dauerhafte Löschen einer Bereitstellung wird die Azure Ressource entfernt. Wenn der Agent mehrere Mandanten bedient, wirkt sich diese Aktion auf alle Mandanten aus. Bevorzugen Sie es immer, eine Bereitstellung zu beenden, anstatt sie zu löschen.