Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die App-Registrierung, Agentidentitäten und die Authentifizierung für Copilot Studio Agents erläutert.
Grundlegendes zu Agentidentitäten
Wie identifiziert Copilot Studio Agents für die Authentifizierung?
Copilot Studio weist jedem Agent einen eindeutigen Bezeichner zu, damit er mit Kanälen (Teams, Omnichannel usw.) und Diensten kommunizieren kann. Copilot Studio erstellt und verwaltet diese Identitäten automatisch.
Es gibt zwei Arten von Agentidentitäten:
Entra Agent IDs: Microsoft Entra-Dienstprinzipale mit dem Untertyp „Agent“. Wenn Sie entra Agent Identity für eine Umgebung aktivieren, erhalten neue Agents automatisch Entra-Agent-IDs.
App-Registrierungen (Legacy): Vorhandene Agents, die Sie erstellt haben, bevor Sie Entra Agent Identity aktiviert haben, verwenden weiterhin herkömmliche App-Registrierungen.
Wichtig: Agent-IDs sind Dienstprinzipale mit einem Untertyp "Agent". Der zugrunde liegende OAuth-basierte Authentifizierungsfluss bleibt identisch. Agent-IDs bieten im Vergleich zu herkömmlichen App-Registrierungen erweiterte Governance-Sichtbarkeits- und Verwaltungsfunktionen.
Warum hat mein Agent eine Identität in Microsoft Entra ID?
Agentidentitäten ermöglichen es Ihren Agenten, sich sicher zu authentifizieren, wenn dieser mit Kanälen (Teams, Omnichannel und mehr) und Diensten kommuniziert. Copilot Studio diese Identitäten nach Zero Trust Sicherheitsprinzipien automatisch erstellt und verwaltet.
Was ist der Unterschied zwischen Copilot Studio Agents und Agent Builder-Agents?
Copilot Studio Agents: Empfangen von Entra-Agent-IDs (oder App-Registrierungen für Legacy-Agents) für die Authentifizierung mit Kanälen und Diensten. Sie können entra Agent Identity auf Umgebungsebene im Power Platform Admin Center aktivieren.
Agent Builder-Agents: verwenden oder erfordern derzeit keine App-Registrierungs-IDs oder Agent-IDs. Weitere Informationen finden Sie unter Agent Builder in Microsoft 365 Copilot.
Arbeiten mit Agentidentitäten
Muss ich eine Agentidentität manuell erstellen oder konfigurieren?
Nein. Copilot Studio verwaltet automatisch Agentidentitäten:
- Neue Agents (wenn Entra Agent Identity aktiviert ist): Automatisch Entra-Agent-IDs abrufen
- Vorhandene Agents: Verwenden Sie weiterhin App-Registrierungen
Die Sicherheits- und Compliancestandards von Microsoft führen zur automatischen Verwaltung aller Anmeldeinformationen. Sie verfügen über vollständige Sichtbarkeit und Kontrolle im Microsoft Entra Admin Center, in dem Sie Authentifizierungsaktivitäten überwachen und den Agentidentitätslebenszyklus verwalten können.
Wie finde ich, welche App-Registrierung oder Agent-ID zu meinem Agent gehört?
- Wechseln Sie in Copilot Studio zu Settings>Advanced>Metadata.
- Zeigen Sie den Entra-Agent-ID (GUID) für Agenten mit Entra-Identitäten an.
- Bei älteren Agents mit App-Registrierungen wird die Anwendungs-ID im selben Abschnitt angezeigt.
- Verwenden Sie diese GUID, um die Identität in Microsoft Entra Admin Center zu finden.
Kann ich meine eigene Agent-ID oder App-Registrierung mitbringen?
Nein. Um Sicherheit, Compliance und Integration mit Kanälen und Diensten sicherzustellen, erfordert Copilot Studio eine automatische Verwaltung.
Warum fügt Copilot Studio den Agentbesitzer der Agentidentität hinzu?
Copilot Studio fügt den Besitzer des Agenten hinzu, um Folgendes bereitzustellen:
- Governance-Rückverfolgbarkeit für jede*n Agent*in
- Verantwortlichkeit für den Agent-Lebenszyklus
- Ausrichtung auf organisatorische Eigentumsrichtlinien
Für Entra-Agent-IDs: Der Agentbesitzer wird als Sponsor mit eingeschränkten Berechtigungen im Vergleich zu vollständigen Besitzern hinzugefügt, wodurch Sicherheitsbedenken bei Berechtigungsänderungen reduziert werden. Einige bereits vorhandene Agenten haben möglicherweise noch keine Sponsoren.
Bei älteren App-Registrierungen: Der Agentbesitzer wird als Besitzer der App-Registrierung hinzugefügt. Wenden Sie sich an den Support, um das Hinzufügen des Agentenbesitzers abzulehnen.
Sicherheit und Berechtigungen
Wer kann Token mithilfe der Agentidentität generieren?
Für Entra-Agent-IDs
Ein von Microsoft-eigener Blueprint-Prinzipal erstellt und verwaltet Agentenidentitäten durch die Verwendung von föderierten Identitätsnachweisen. Niemand in Ihrem Mandanten – einschließlich der Mandantenadministratoren – kann mithilfe der Agentenidentität Token generieren. Microsoft kontrolliert den Blueprint- und Authentifizierungsmechanismus vollständig.
Für Legacy-App-Registrierungen
Benutzer mit den Rollen "Globaler Administrator", "Anwendungsadministrator" oder "Cloud-Anwendungsadministrator" können geheime Clientschlüssel oder Zertifikate für jede App-Registrierung im Mandanten erstellen, ohne Eigentümer sein zu müssen. Benutzern ohne diese Rollen muss das Eigentum an der spezifischen App-Registrierung erteilt werden, um die Anmeldeinformationen zu erstellen, die für die Token-Generierung erforderlich sind. Copilot Studio fügt keine API-Bereiche oder Berechtigungen zu diesen App-Registrierungen hinzu, sodass Token, die aus diesen Identitätsdaten generiert werden, keinen Zugriff auf Kundendaten oder Ressourcen haben.
Von Bedeutung
App-Registrierungen, die für Copilot Studio-Agents erstellt wurden, sind nur für die Verwendung durch Agenten reserviert. Ändern oder löschen Sie die Anmeldeinformationen dieser App-Registrierungen nicht. Verwenden Sie sie nicht für andere Zwecke.
Entra Agent Identity
Kann ich entra Agent Identity deaktivieren?
Ja, Sie können sich derzeit auf Umgebungsebene im Power Platform Admin Center abmelden. Anweisungen finden Sie unter "Automatisches Erstellen von Entra-Agent-Identitäten ".
Von Bedeutung
Die Möglichkeit, entra Agent Identity abzumelden, ist temporär. Entra Agent Identity wird für alle neuen Agents in Zukunft obligatorisch.
Was geschieht mit vorhandenen Agents, wenn ich entra Agent Identity aktiviere?
Vorhandene Agents, die erstellt wurden, bevor entra Agent Identity aktiviert wurde, verwenden weiterhin App-Registrierungen. Sie werden in Zukunft zu Agent-IDs migriert.
Migrationsmerkmale:
- GUID-Erhaltung: Agent-IDs bleiben identisch (keine unterbrechungsgeschützten Änderungen)
- Null Ausfallzeiten: Agents funktionieren während der Migration weiterhin
- Automatisch: Keine manuelle Aktion erforderlich
- Kanalkompatibilität beibehalten: Teams, Omnichannel und Skills bleiben funktionsfähig
Ändert sich die Aktivierung der Agent-ID, wie mein Agent authentifiziert wird?
Nein. Agent-IDs sind Dienstprinzipale mit einem Untertyp "Agent", die dieselben OAuth-basierten Authentifizierungsflüsse wie herkömmliche App-Registrierungen verwenden. Die Neuerung betrifft die Transparenz der Verwaltung – Agent-IDs werden im Microsoft Entra Admin Center angezeigt und bieten erweiterte Funktionen für das Lebenszyklusmanagement und die Überwachung.
Was sind Blueprint-Prinzipale?
Wenn die erste Agent-Identität in einer Umgebung erstellt wird, fügt Copilot Studio Ihrem Mandanten einen Microsoft Copilot Studio Agent Identity Blueprint hinzu. Dieser Blueprint-Prinzipal ist notwendig, da er über die Berechtigung verfügt, Agent-Identitäten und Agent-Benutzer im Mandanten zu erstellen.
Ausführliche Informationen einschließlich Blueprint-IDs (Produktion und Test) finden Sie unter Understanding Blueprint Principals. Weitere technische Details finden Sie unter Wie werden Agentidentitäten erstellt?.
Agent-Lebenszyklus
Was geschieht mit der Agentidentität, wenn Sie einen Agent löschen?
Wenn Sie einen Agent aus Copilot Studio löschen, entfernt der Prozess die zugeordnete Agent-ID (oder App-Registrierung) aus Microsoft Entra ID.
Weitere Informationen finden Sie unter Löschen von Agents.