Der schnellste Weg, um die Agent-ID zum „Laufen“ zu bringen, besteht darin, sie einmal von Anfang bis Ende aufzubauen. Diese Anleitung ist nicht als Skript zum Kopieren und Einfügen gedacht, sondern als Schritt-für-Schritt-Anleitung zur Erstellung des besprochenen Kernobjekts, damit sich die späteren Token-Abläufe leichter nachvollziehen lassen.
Was Sie am Ende der Übungs-Meilensteine erreicht haben werden:
- Ein echtes „Agent ID“-Objekt, das in Ihrem Mandanten festgelegt ist
- Eine konkrete Zuordnung zwischen den Theoriekapiteln und den Graph-Objekten, die Sie aufzählen können
- Eine saubere Basis, die Sie wiederverwenden können, um Berechtigungen, Vererbung und Protokollierung zu testen
Für Administratoraufrufe verwenden wir den Microsoft Graph Explorer und, soweit erforderlich, PowerShell 7 für die Sitzung zur Erstellung des Identitäts-Blueprints für den Agenten. Der Administratorkonto in dieser Demo verfügt der Einfachheit halber über die Berechtigung „Globaler Administrator“.
HINWEIS: Die Agent-ID befindet sich derzeit in der öffentlichen Vorschau, und viele der unten aufgeführten Vorgänge basieren auf Beta-Endpunkten von Microsoft Graph, die sich im Laufe der Zeit ändern können.
Lassen Sie uns beginnen.
Erstellung einer Agent-Identitätsvorlage und des zugehörigen Vorlagenprinzipals
Um eine Vorlage für eine Agentenidentität zu erstellen, müssen Sie mindestens folgende Angaben machen:
- displayName
- Sponsoren (mindestens einer)
Senden Sie eine POST-Anfrage an die /applications/graph.agentIdentityBlueprint Endpunkt. (Kurzes Update: Dies ist nun auch über das Entra Admin Center möglich.) Der aufrufende Prinzipal benötigt AgentIdentityBlueprint.Create Berechtigungen.

Notieren Sie sich die Blueprint-Objekt-ID aus der Antwort. (Wir werden sie als <blueprint-id>.)

Erstellen Sie als Nächstes das Blueprint-Prinzipal (die Service-Prinzipal-Instanz des Blueprints für den Mandanten). Senden Sie eine POST-Anfrage an /servicePrincipals/graph.agentIdentityBlueprintPrincipal und geben Sie die Blueprint-Objekt-ID als Pflichtparameter an. Die Berechtigung mit den geringsten Rechten für diesen Vorgang lautet AgentIdentityBlueprintPrincipal.Create.

Notieren Sie sich die Objekt-ID des Blueprint-Principals (Service-Principals) aus der Antwort. (Wir werden sie als <blueprint-sp-id>.)

Anmeldedaten hinzufügen
Im nächsten Schritt fügen Sie dem Blueprint Anmeldedaten hinzu. Wir zeigen Ihnen, wie Sie ein Zertifikat und ein FIC hinzufügen; in der Demo verwenden wir jedoch den Anmeldedatentyp „Client Secret“, obwohl dies nicht empfohlen wird (mehr dazu im Kapitel „Fehlerhafte Konfiguration“ dieses Leitfadens).
Um ein FIC hinzuzufügen, rufen Sie Folgendes auf: /applications//federatedIdentityCredentials mit den folgenden Parametern.

Um ein Client-Geheimnis abzurufen, rufen Sie folgenden Befehl auf: /applications//addPassword mit einem passwordCredential Objekt (Anzeigename + Ablaufdatum). Dazu ist Folgendes erforderlich: AgentIdentityBlueprint.AddRemoveCreds.All.

Notieren Sie die secretText aus der Antwort. Dies ist der Wert, den Sie für die spätere Authentifizierung verwenden werden.
Blueprint-Authentifizierung
Wechseln Sie zu PowerShell 7 und rufen Sie mithilfe des soeben erstellten Client-Secrets ein Zugriffstoken ab.

Wenn Sie sich nun die Anmeldeprotokolle ansehen, werden Sie die Service-Principal-ID des Blueprints erkennen.

Die Blueprint-ID der Agentenidentität können Sie ebenfalls in den Protokollen einsehen.

Da Sie nun über ein Zugriffstoken für den Blueprint verfügen, können Sie dieses entschlüsseln und die Standardeinstellung einsehen AgentIdentity.CreateAsManager die Berechtigung, über die wir zuvor gesprochen haben.

Erstellen der Agentenidentität
Nachdem die Blaupause authentifiziert wurde, können Sie sie nun zur Erstellung einer Agentenidentität verwenden.
Rufen Sie dazu die /servicePrincipals/Microsoft.Graph.AgentIdentity Endpunkt und geben Sie die folgenden Eigenschaften an: Anzeigename, Sponsorenliste und die Blueprint-ID der Agentenidentität.

Notieren Sie sich die Objekt-ID der Agentenidentität aus der Antwort. (Wir werden sie als <agent-identity-id>.)

Anlegen eines Agentenbenutzers
Bevor Sie einen Agentenbenutzer anlegen, haben wir bereits erwähnt, dass dem Identitäts-Blueprint des Agenten für diesen Vorgang zusätzliche Berechtigungen erteilt werden müssen. Diese Berechtigungen können Sie durch Aufruf der /servicePrincipals//appRoleAssignments Endpunkt und die Zuweisung der Blaupause an die AgentIdUser.ReadWrite.IdentityParentedBy Anwendungsberechtigung. Wir werden für diese Aktion ein Mandantenadministrator-Konto verwenden.
Im Request-Body müssen wir die Blueprint-SP-ID, die Ressourcen-ID (MS Graph-SP-ID) und die App-Rollen-ID angeben, die Sie hier finden.

Nun können wir einen Agentenbenutzer anlegen. Nachdem Sie auf dieselbe Weise, wie Sie es bereits getan haben, ein neues Token für den Blueprint erhalten haben, können Sie sehen, dass sich die neu zugewiesene Rolle im Blueprint-Token widerspiegelt.

Nun können wir dieses Token verwenden, um einen Agentenbenutzer anzulegen, indem wir die /users/microsoft.graph.agentUser Endpunkt sowie die Angabe eines Anzeigenamens, eines Benutzer-Prinzipalnamens, eines E-Mail-Spitznamens, der Agenten-ID als übergeordneter Benutzer des Agenten und schließlich eines Kennzeichens, das angibt, ob das Konto aktiviert oder deaktiviert ist.

Notieren Sie sich die Benutzerobjekt-ID des Agenten aus der Antwort. (Wir werden sie als <agent-user-id>.)

Zur Erinnerung: Jede Agentenidentität kann nur einen Agentenbenutzer als untergeordnetes Element haben (1:1-Beziehung).
Herzlichen Glückwunsch! Sie haben eine Agentenidentität erstellt.
Im nächsten Kapitel unseres Leitfadens befassen wir uns eingehender mit der Gestaltung der Attribute der Agentenidentität.
Entdecken Sie den Leitfaden
- Einleitung: Entra ID Agent-Identitätsangriffe verstehen und verhindern: Ein umfassender Leitfaden
- Lernen Sie die Identitäten der Entra-ID-Agenten kennen (übrigens: Es handelt sich dabei nicht um Menschen)
- Die Taxonomie der Workload-Identitäten in Entra ID: Unternehmensanwendungen, Service-Principals und andere Formen organisierter Verwirrung
- Einführung in die Microsoft Agent-ID und die Agent Identity Platform
