🔍
StartseiteHome Entra IDEntra ID Microsoft Entra Agent ID Microsoft Entra Agent ID

Microsoft Entra Agent ID — Complete Reference Microsoft Entra Agent ID — Complete Reference

Vollständige Referenz zu Plattform, Blueprints, OAuth-Flows, Agentensicherheit, Governance, Integrationen und Betriebsmodellen für Microsoft Entra Agent ID. Complete reference covering platform architecture, blueprints, OAuth flows, agent security, governance, integrations, and operating models for Microsoft Entra Agent ID.

Nichtmenschliche Identität Nonhuman identity

Agent ID erweitert Microsoft Entra um eine erste Identitätsklasse für KI-Agenten statt nur Benutzer, Apps und klassische Workloads zu verwalten. Agent ID extends Microsoft Entra with a first-class identity type for AI agents instead of managing only users, apps, and classic workloads.

Blueprint-Vererbung Blueprint inheritance

Agent Identity Blueprints definieren gemeinsame Metadaten, Berechtigungen, Sponsorenmodelle und Richtlinien für ganze Agentenfamilien. Agent identity blueprints define shared metadata, permissions, sponsorship models, and policies for entire families of agents.

Zero-Trust-Schutz Zero Trust protection

Conditional Access, ID Protection, Governance und Netzwerksteuerung werden auf Agenten erweitert und liefern ein einheitliches Sicherheitsmodell. Conditional Access, ID Protection, governance, and network controls extend to agents and provide a unified security model.

Ökosystem und Offenheit Ecosystem and openness

Microsoft Agent 365, Copilot Studio, Foundry, AWS Bedrock, n8n und andere Plattformen können dieselbe Entra-gesteuerte Agentenidentität verwenden. Microsoft Agent 365, Copilot Studio, Foundry, AWS Bedrock, n8n, and other platforms can use the same Entra-governed agent identity.

Was ist Microsoft Entra Agent ID? What is Microsoft Entra Agent ID?

Microsoft Entra Agent ID ist ein Identitäts- und Sicherheitsframework für KI-Agenten. Der Dienst erweitert Microsoft Entra auf assistive, autonome und benutzerähnliche Agenten, die Unternehmensdaten lesen, Aktionen ausführen oder mit anderen Agenten kommunizieren. Microsoft Entra Agent ID is an identity and security framework for AI agents. The service extends Microsoft Entra to assistive, autonomous, and user-like agents that read enterprise data, perform actions, or communicate with other agents.

Im Unterschied zu herkömmlichen App-Registrierungen oder Service Principals beschreibt Agent ID nicht nur den technischen Zugriff, sondern auch Zweck, Sponsor, Lebenszyklus, Vererbungsmodell und Agentenklassifikation. Dadurch lassen sich Identität, Autorisierung, Governance und Schutz als zusammenhängendes Betriebsmodell behandeln. Unlike conventional app registrations or service principals, Agent ID describes not only technical access but also purpose, sponsor, lifecycle, inheritance model, and agent classification. That makes identity, authorization, governance, and protection operable as one coherent model.

Treiber Driver Warum klassische Identitäten nicht reichen Why classic identities are not enough Was Agent ID ergänzt What Agent ID adds
Autonome Ausführung Autonomous execution Ein Service Principal weiß nicht, ob er als Copilot, Digital Worker oder Orchestrierungsagent arbeitet. A service principal does not express whether it acts as a copilot, digital worker, or orchestration agent. Klassifikation, Sponsor, Blueprint-Beziehung und agentenspezifische Richtlinien. Classification, sponsor, blueprint relationship, and agent-specific policies.
Delegierte Benutzerkontexte Delegated user context Normale App-Objekte bilden nicht gut ab, wann ein Agent im Namen eines Benutzers und wann autonom agiert. Normal app objects do not clearly show when an agent acts on behalf of a user and when it operates autonomously. Eigene Flows für OBO, Agent User und Agent Identity mit klaren Subjects und Audiences. Dedicated flows for OBO, agent user, and agent identity with clear subjects and audiences.
Governance in großem Maßstab Governance at scale Zugriffe mehrerer Agenten einer Produktfamilie müssen konsistent verwaltet werden. Access for many agents in one product family must be managed consistently. Blueprint-Vererbung, Sponsoren, Access Packages, Reviews und Lifecycle Tasks. Blueprint inheritance, sponsors, access packages, reviews, and lifecycle tasks.
Risiko und Ermittlungen Risk and investigation Protokolle klassischer Workloads zeigen nicht immer agentische Absicht oder Typ. Classic workload logs do not always expose agentic intent or type. Agent-Typen, risikobehaftete Agents, spezifische Sign-in-Filter und Agent-bezogene Auditdaten. Agent types, risky agents, dedicated sign-in filters, and agent-oriented audit data.
ℹ️ Produktpositionierung ℹ️ Product positioning

Agent ID ist nicht nur eine neue Oberfläche für Service Principals. Microsoft beschreibt eine eigene Identitätsklasse für KI-Agenten mit zusätzlichen Objekten, Verwaltungsrollen und Schutzmechanismen. Agent ID is not merely a new surface for service principals. Microsoft describes a dedicated identity class for AI agents with extra objects, management roles, and protection mechanisms.

Agent Identity Platform und Microsoft Agent 365 Agent identity platform and Microsoft Agent 365

Die Microsoft Agent Identity Platform ist die technische Basis von Agent ID. Sie kombiniert eine OAuth 2.0- und OpenID-Connect-konforme Authentifizierungsschicht, SDKs, einen Agent Registry- und Verwaltungsbereich im Entra Admin Center sowie Objektbeziehungen zwischen Blueprint, Blueprint Principal, Agent Identity und optionalem Agent User. The Microsoft agent identity platform is the technical foundation of Agent ID. It combines an OAuth 2.0 and OpenID Connect compliant authentication layer, SDKs, an agent registry and management surface in the Entra admin center, and object relationships between blueprint, blueprint principal, agent identity, and optional agent user.

Microsoft Agent 365 nutzt diese Plattform, um Agenten über Microsoft 365-Dienste und Unternehmensworkflows hinweg betreiben zu können. Für reine Agent-ID-Funktionen ist Agent ID für Entra-Kunden verfügbar; für tiefe Agent-365-Workflows wird eine Microsoft-Agent-365-Lizenz pro Benutzer benötigt. Microsoft Agent 365 uses this platform so agents can operate across Microsoft 365 services and enterprise workflows. Core Agent ID capabilities are available to Entra customers; deeper Agent 365 workflow integration requires a Microsoft Agent 365 license per user.

Baustein Building block Funktion Function Administrativer Nutzen Administrative value
Authentifizierungsdienst Authentication service Stellt OAuth 2.0 und OIDC für Agenten, OBO-Flows und App-Only-Szenarien bereit. Provides OAuth 2.0 and OIDC for agents, OBO flows, and app-only scenarios. Einheitliche Tokenausgabe, Claims und Richtlinienbewertung. Uniform token issuance, claims, and policy evaluation.
Agent Registry Agent registry Zentraler Katalog für Agenten, Blueprints, Besitzer, Sponsoren und Status. Central catalog for agents, blueprints, owners, sponsors, and status. Schnelle Suche, Abschaltung, Filterung und Beziehungsanalyse. Fast search, disablement, filtering, and relationship analysis.
SDKs SDKs Microsoft Identity Web für .NET und der Microsoft Entra SDK Sidecar für polyglotte Services. Microsoft Identity Web for .NET and the Microsoft Entra SDK sidecar for polyglot services. Weniger eigener Token-Code, konsistentere Sicherheitsmuster. Less custom token code and more consistent security patterns.
Governance-Anbindungen Governance integrations Access Packages, Reviews, Lifecycle Workflows und Sponsorwechsel greifen auf Agentenobjekte zu. Access packages, reviews, lifecycle workflows, and sponsor handoffs operate on agent objects. Nachvollziehbarer Zugriff und überprüfbare Verantwortlichkeit. Traceable access and auditable accountability.
Sicherheitsintegrationen Security integrations Conditional Access, ID Protection, Global Secure Access und Auditdaten können agentbezogen ausgewertet werden. Conditional Access, ID Protection, Global Secure Access, and audit data can be evaluated for agents. Ein konsistentes Zero-Trust-Modell für Menschen, Workloads und Agenten. A consistent Zero Trust model for humans, workloads, and agents.
💡 Einordnungsregel 💡 Framing rule

Wenn du erklären musst, wo Agent ID im Portfolio sitzt, dann ist die kürzeste brauchbare Aussage: Entra liefert die Identitätsebene, Agent ID liefert die agentenspezifischen Identitätsobjekte, und Agent 365 nutzt diese Ebene für produktive M365-Agentenszenarien. When you need to explain where Agent ID sits in the portfolio, the shortest useful summary is: Entra provides the identity layer, Agent ID provides the agent-specific identity objects, and Agent 365 consumes that layer for production Microsoft 365 agent scenarios.

Agent Identities im Vergleich zu Benutzern und Workloads Agent identities compared with users and workloads

Agent Identities sind spezielle Service Principals. Sie werden von einem Blueprint erzeugt und besitzen selbst keine eigenen Anmeldeinformationen. Stattdessen verwendet der Blueprint die dort hinterlegten Anmeldeinformationen, um Token für Agent Identities anzufordern. Agent identities are special service principals. They are created by a blueprint and do not carry their own credentials. Instead, the blueprint uses the credentials attached to it to request tokens for agent identities.

Identitätstyp Identity type Subjekt im Alltag Typical subject Besonderheiten Unique traits Wann passend When appropriate
Benutzerkonto User account Menschlicher Mitarbeiter oder Gast. Human employee or guest. MFA, Gerätebindung, Lizenzzuweisung, persönliche Mailbox und klassische HR-Lifecycle-Signale. MFA, device binding, license assignment, personal mailbox, and classic HR lifecycle signals. Wenn ein Mensch selbst authentifiziert und Entscheidungen trifft. When a human authenticates and makes the decisions.
Workload Identity Workload identity App, Script, Pipeline oder Azure-Ressource. App, script, pipeline, or Azure resource. Optimiert für technische Dienste, nicht für agentische Rollenmodelle oder Sponsorverantwortung. Optimized for technical services, not for agentic role models or sponsor accountability. Wenn eine klassische Anwendung ohne Agentenverhalten arbeitet. When a classic application runs without agent behavior.
Agent Identity Agent identity Der Agent selbst oder seine Agenteninstanz. The agent itself or its runtime instance. Blueprint-Herkunft, Sponsoren, Agent-Typ, Governance und spezifische Sicherheitsauswertung. Blueprint lineage, sponsors, agent type, governance, and dedicated security evaluation. Wenn ein KI-Agent autonome oder assistive Aufgaben übernimmt. When an AI agent performs autonomous or assistive tasks.
Agent User Agent user Benutzerähnlicher digitaler Mitarbeiter. User-like digital worker. Separates Benutzerkonto mit 1:1-Beziehung zur Agent Identity, geeignet für Mailboxen und Collaboration-Flows. Separate user account with a one-to-one relationship to the agent identity, suitable for mailboxes and collaboration workflows. Wenn ein Legacy-System oder M365-Dienst wirklich ein Benutzerobjekt erwartet. When a legacy system or Microsoft 365 service truly requires a user object.

Agententypen Agent types

Typ Type Merkmal Characteristic Typischer Zugriff Typical access Policy-Fokus Policy focus
Assistive Agents Assistive agents Arbeiten im UI- oder Chat-Kontext eines Benutzers. Operate in a user interface or chat context. Vor allem delegierte OBO-Token auf Benutzerressourcen. Primarily delegated OBO tokens to user resources. Benutzer-MFA, App-Auswahl, Datenzugriff und Delegationsgrenzen. User MFA, app selection, data access, and delegation boundaries.
Autonomous Agents Autonomous agents Starten auf Zeitplan, Event oder Workflow ohne anwesenden Benutzer. Start on a schedule, event, or workflow without a user present. App-Only oder agentenspezifische Token. App-only or agent-specific tokens. Least privilege, Agent Risk, Netzwerkpfade und Laufzeitisolation. Least privilege, agent risk, network paths, and runtime isolation.
User-like Agents User-like agents Verhalten sich wie digitale Teammitglieder mit Mailbox oder Chat-Präsenz. Behave like digital teammates with a mailbox or chat presence. Agent User plus bedingte Benutzerkontrollen. Agent user plus conditional user controls. Gerätesignale, Lizenzsteuerung, Postfachschutz und Rezertifizierung. Device signals, license control, mailbox protection, and recertification.
⚠️ Wichtige Grenze ⚠️ Important boundary

Agent Identities selbst sind single-tenant. Microsoft beschreibt jedoch multitenant-fähige Blueprints, die in anderen Tenants lokale Agent Identities erzeugen können. Agent identities themselves are single-tenant. Microsoft does, however, describe multitenant blueprints that can create tenant-local agent identities in other tenants.

Agent Identity Blueprints, Eltern-Kind-Beziehungen und Erstellung Agent identity blueprints, parent-child relationships, and creation

Ein Blueprint ist die Elternressource für eine Agentenfamilie. Er enthält den Namen und den Herausgeber des Agententyps, definierte Rollen, gemeinsam genutzte Berechtigungen, optionale vererbbare OAuth-Scopes, Besitzer und Sponsoren sowie die Anmeldeinformationen, mit denen später Tokens für Agent Identities beschafft werden. A blueprint is the parent resource for a family of agents. It stores the agent type name and publisher, defined roles, shared permissions, optional inheritable OAuth scopes, owners and sponsors, and the credentials later used to obtain tokens for agent identities.

Objekt Object Beziehung Relationship Wofür zuständig Responsible for
Agent Identity Blueprint Agent identity blueprint Elternobjekt Parent object Definiert die gemeinsame Identitätsschablone, Scopes, Rollen und Credential-Strategie. Defines the common identity template, scopes, roles, and credential strategy.
Blueprint Principal Blueprint principal Instanz des Blueprints im Tenant Tenant instance of the blueprint Betriebsobjekt im Tenant und Anker für multitenant-fähige Verteilung. Operational object in the tenant and anchor for multitenant distribution.
Agent Identity Agent identity Kindobjekt des Blueprints Child object of the blueprint Die eigentliche Identität, die in Tokens als Agentensubjekt erscheint. The actual identity that appears as the agent subject in tokens.
Agent User Agent user Optionales 1:1-Kind Optional one-to-one child Benutzerähnlicher Zugriff auf Mail, Kalender, Teams oder Legacy-Apps. User-like access to mail, calendar, Teams, or legacy apps.

Schrittfolge zur manuellen Erstellung Step-by-step manual creation

  1. Lege im Entra Admin Center oder per Graph zuerst einen Agent Identity Blueprint an. Create an agent identity blueprint first in the Entra admin center or via Microsoft Graph.
  2. Bestimme Herausgeber, Display Name, Eigentümer und mindestens einen Sponsor, damit Verantwortlichkeit von Anfang an dokumentiert ist. Set publisher, display name, owners, and at least one sponsor so accountability is documented from day one.
  3. Konfiguriere Anmeldeinformationen für den Blueprint, bevorzugt föderierte Credentials oder Zertifikate statt Secrets für Produktion. Configure blueprint credentials, preferring federated credentials or certificates over secrets in production.
  4. Setze Identifier URI und mindestens einen Scope, wenn der Agent von anderen Clients oder Agenten aufgerufen werden soll. Set an identifier URI and at least one scope if the agent should be invoked by other clients or agents.
  5. Erzeuge den Blueprint Principal explizit, da er nicht in jedem Ablauf automatisch entsteht. Create the blueprint principal explicitly because it is not automatically created in every flow.
  6. Lege eine oder mehrere Agent Identities unter dem Blueprint an und weise bei Bedarf Besitzer oder Sponsoren zu. Create one or more agent identities under the blueprint and assign owners or sponsors as needed.
  7. Falls nötig, verknüpfe einen Agent User, damit der Agent benutzerähnliche Ressourcen wie Mailboxen oder Chat nutzen kann. If necessary, link an agent user so the agent can use user-like resources such as mailboxes or chat.
  8. Validiere Sign-ins, Berechtigungen, Access Packages und Richtlinien bevor der Agent produktiv ausgeführt wird. Validate sign-ins, permissions, access packages, and policies before running the agent in production.
💡 Skalierungsmuster 💡 Scaling pattern

Erstelle Blueprints pro Agentenprodukt oder klarer Funktionsfamilie, nicht pro Umgebung. Die einzelnen Agent Identities repräsentieren dann North America, Finance, HR oder andere reale Deployments unter demselben Blueprint. Create blueprints per agent product or clear functional family, not per environment. Individual agent identities can then represent North America, Finance, HR, or other real deployments under the same blueprint.

Graph API Graph API 
POST https://graph.microsoft.com/beta/serviceprincipals/Microsoft.Graph.AgentIdentity
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>

{
  "displayName": "Contoso Finance Close Agent",
  "agentIdentityBlueprintId": "<blueprint-app-id>",
  "sponsors@odata.bind": [
    "https://graph.microsoft.com/v1.0/users/<sponsor-user-id>"
  ]
}

Authentifizierung, Autorisierung, OAuth 2.0, MCP und A2A Authentication, authorization, OAuth 2.0, MCP, and A2A

Agent ID nutzt OAuth 2.0 für Autorisierung und OpenID Connect für Authentifizierung. Daraus ergeben sich drei Hauptmuster: delegiertes On-Behalf-Of, autonome App-Only-Tokens und agentenbenutzerbasierte Flows für digitale Mitarbeiter. Agent ID uses OAuth 2.0 for authorization and OpenID Connect for authentication. That produces three main patterns: delegated on-behalf-of, autonomous app-only tokens, and agent-user-based flows for digital workers.

Flow Flow Subjekt im Token Token subject Wann sinnvoll When useful Wichtige Richtlinien Key policies
OBO / delegiert OBO / delegated Benutzer mit Agent als Actor. User with the agent as actor. Ein Assistive Agent liest im Namen des Anwenders Mail, Dateien oder Tickets. An assistive agent reads mail, files, or tickets on behalf of the user. Benutzer-MFA, Benutzer-Conditional-Access, Scope-Minimierung. User MFA, user Conditional Access, and scope minimization.
App-Only / autonom App-only / autonomous Agent Identity. Agent identity. Ein Batch-Agent erzeugt Berichte oder reagiert auf Events ohne Benutzer. A batch agent generates reports or reacts to events without a user. Agent Risk, Agent-Conditional-Access, Netzwerkpfade, Zugriffspakete. Agent risk, agent Conditional Access, network paths, and access packages.
Agent User Flow Agent user flow Agent User Konto. Agent user account. Ein digitaler Mitarbeiter benötigt Mailbox, Kalender oder Teams-Präsenz. A digital worker needs a mailbox, calendar, or Teams presence. Benutzerlizenzierung, Gerätesignale, Rezertifizierung, PIM für Adminrollen. User licensing, device signals, recertification, and PIM for admin roles.

MCP und A2A MCP and A2A

Microsoft dokumentiert, dass Agent ID Standardprotokolle wie MCP und A2A unterstützt. In der Praxis bedeutet das, dass Agenten nicht nur Ressourcen aufrufen, sondern auch andere Agenten oder MCP-Server über standardisierte Identitäts- und Tokenmuster ansprechen können. Microsoft documents that Agent ID supports standard protocols such as MCP and A2A. In practice this means agents can not only call resources but also address other agents or MCP servers through standardized identity and token patterns.

Protokoll / Muster Protocol / pattern Ziel Purpose Worauf du achten solltest What to watch
OAuth 2.0 OAuth 2.0 Tokenbeschaffung für Graph, eigene APIs und Agentenressourcen. Token acquisition for Graph, custom APIs, and agent resources. Saubere Audience-Trennung und Scope-Minimierung pro Ressource. Clean audience separation and scope minimization per resource.
OpenID Connect OpenID Connect Identitätsfeststellung zwischen Agent, Plattform und Zielsystem. Identity establishment between agent, platform, and target system. Nur vertrauenswürdige Issuer und gültige Signaturpfade akzeptieren. Accept only trusted issuers and valid signature chains.
MCP MCP Standardisierter Zugriff auf Tools und Kontextserver. Standardized access to tools and context servers. Audience und Claims am MCP-Server strikt validieren. Validate audience and claims strictly at the MCP server.
A2A A2A Agent-zu-Agent-Kommunikation mit nachvollziehbarer Identität. Agent-to-agent communication with traceable identity. Rollen, Delegationsgrenzen und gegenseitige Vertrauensstellung dokumentieren. Document roles, delegation boundaries, and mutual trust relationships.
PowerShell PowerShell 
Connect-MgGraph -Scopes "Application.Read.All","AuditLog.Read.All","Policy.Read.All"

$uri = "https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'"
Invoke-MgGraphRequest -Method GET -Uri $uri

Microsoft Entra SDK for Agents und Sidecar-Muster Microsoft Entra SDK for Agents and the sidecar pattern

Der Microsoft Entra SDK for Agent ID ist ein containerisierter Dienst, der Tokenvalidierung, Tokenbeschaffung und sichere Downstream-API-Aufrufe übernimmt. Er läuft als Companion-Container im selben Vertrauensbereich wie deine Anwendung und stellt eine HTTP-Schnittstelle bereit. The Microsoft Entra SDK for Agent ID is a containerized service that handles token validation, token acquisition, and secure downstream API calls. It runs as a companion container in the same trust boundary as your application and exposes an HTTP interface.

Entscheidung Decision SDK Sidecar verwenden Use the SDK sidecar Direkter Codepfad verwenden Use a direct code path
Mehrere Programmiersprachen Multiple languages Wenn Python, Node.js, Go und Java denselben Identitätsdienst konsumieren sollen. When Python, Node.js, Go, and Java should consume the same identity service. Wenn du nur .NET hast und Microsoft.Identity.Web genügt. When you are .NET only and Microsoft.Identity.Web is sufficient.
Containerisierung Containerization Wenn Pod, Docker Compose, AKS oder Container Apps ohnehin Standard sind. When pod-based, Docker Compose, AKS, or Container Apps deployments are already standard. Wenn der Dienst nicht containerisiert wird oder In-Process-Bibliotheken nötig sind. When the service is not containerized or in-process libraries are required.
Sicherheitsgrenze Security boundary Wenn Secrets und Tokenlogik aus dem Business-Code ausgelagert werden sollen. When secrets and token logic should be removed from business code. Wenn der zusätzliche Netzwerkhop kritischer ist als zentrale Steuerung. When the extra network hop matters more than centralized control.
Agentenarchitektur Agent architecture Wenn Agenten dynamisch Downstream-APIs oder A2A-Endpunkte ansprechen. When agents dynamically call downstream APIs or A2A endpoints. Wenn der Zugriffspfad klein und fest verdrahtet ist. When the access path is small and static.
⛔ Sicherheitsregel ⛔ Security rule

Der Sidecar-Endpunkt darf nicht öffentlich erreichbar sein. Microsoft weist ausdrücklich darauf hin, dass unautorisierte Tokenbeschaffung möglich wird, wenn der SDK-API-Endpunkt aus dem Trust Boundary heraus exponiert wird. The sidecar endpoint must not be publicly reachable. Microsoft explicitly warns that unauthorized token acquisition becomes possible if the SDK API endpoint is exposed outside the trust boundary.

YAML YAML 
services:
  finance-agent:
    image: contoso/finance-agent:latest
    environment:
      ENTRA_SDK_BASE_URL: http://entra-agentid-sidecar:7000
    depends_on:
      - entra-agentid-sidecar

  entra-agentid-sidecar:
    image: mcr.microsoft.com/entra/agent-id-sdk:latest
    environment:
      ENTRA_TENANT_ID: <tenant-id>
      ENTRA_CLIENT_ID: <agent-blueprint-app-id>
      ENTRA_TOKEN_MODE: managed-identity
    ports:
      - "7000:7000"
HTTP HTTP 
POST http://entra-agentid-sidecar:7000/AuthorizationHeaderUnauthenticated/graph
Content-Type: application/json

{
  "scopes": [
    "https://graph.microsoft.com/.default"
  ]
}

Drittanbieterintegration: AWS Bedrock, n8n, Federation und Konfigurationsmuster Third-party integration: AWS Bedrock, n8n, federation, and configuration patterns

Ein zentrales Designziel von Agent ID ist, dass der Agent nicht aus einer Microsoft-Plattform stammen muss. Microsoft dokumentiert Sidecar- und Federation-Muster für AWS Bedrock, n8n, lokale LLM-Orchestrierung sowie andere Agentenframeworks, die OAuth 2.0 oder OIDC unterstützen. A central design goal of Agent ID is that the agent does not have to originate from a Microsoft platform. Microsoft documents sidecar and federation patterns for AWS Bedrock, n8n, local LLM orchestration, and other agent frameworks that support OAuth 2.0 or OIDC.

Muster Pattern Gut geeignet für Best suited for Vorteile Advantages Grenzen Trade-offs
Sidecar Sidecar Containerisierte Agenten, lokale Entwicklung, Bedrock-Runtimes, Ollama, LangChain. Containerized agents, local development, Bedrock runtimes, Ollama, LangChain. Credential-freier Agentencode, standardisierte Token-API, einfache lokale Tests. Credential-free agent code, standardized token API, and easy local testing. Zusätzlicher Container und Netzwerkpfad im selben Trust Boundary. An additional container and network path inside the same trust boundary.
Workload Identity Federation Workload identity federation AWS STS, GCP Workload Identity, externe OIDC-Issuer ohne Container. AWS STS, GCP Workload Identity, external OIDC issuers without containers. Keine Secrets, direkter Token-Tausch auf Identitätsebene. No secrets and direct token exchange at the identity layer. Saubere Trust-Konfiguration und Issuer-Disziplin erforderlich. Requires disciplined trust configuration and issuer control.
Community Node / native connector Community node / native connector Plattformen wie n8n, die Tokenbeschaffung als Workflow-Schritt kapseln. Platforms such as n8n that encapsulate token acquisition as a workflow step. Wenig Code, gute Wiederverwendbarkeit in Automationen. Little code and strong reuse in automations. Governance hängt davon ab, ob Node-Konfiguration und Credentials sauber zentralisiert sind. Governance depends on whether node configuration and credentials are properly centralized.

AWS Bedrock AWS Bedrock

Für Bedrock ist das Sidecar-Muster oft die pragmatischste Wahl: Der Agent ruft lokal den Sidecar an, der seinerseits Entra-Tokens für Graph oder eigene APIs bezieht. Wenn deine Bedrock-Laufzeit bereits einen OIDC- oder STS-Vertrauenspfad besitzt, ist Federation ohne Sidecar die schlankere Produktionsform. For Bedrock, the sidecar pattern is often the pragmatic choice: the agent calls the local sidecar, which in turn obtains Entra tokens for Graph or custom APIs. If the Bedrock runtime already has an OIDC or STS trust path, federation without a sidecar is the leaner production shape.

JSON JSON 
{
  "name": "aws-bedrock-prod",
  "issuer": "https://sts.amazonaws.com",
  "subject": "arn:aws:iam::123456789012:role/contoso-bedrock-agent",
  "audiences": [
    "api://AzureADTokenExchange"
  ]
}

n8n n8n

n8n kann Agent-ID-Token innerhalb des Workflows beziehen. Nutze dafür einen dedizierten Node oder einen HTTP-Aufruf an den Sidecar. Wichtiger als die konkrete Technik ist, dass Tenant ID, Blueprint bzw. Agent Identity, Zielscopes und Protokollierung nicht pro Workflow wild auseinanderlaufen. n8n can acquire Agent ID tokens inside the workflow. You can do that with a dedicated node or with an HTTP call to the sidecar. More important than the exact method is ensuring tenant ID, blueprint or agent identity, target scopes, and logging do not drift across individual workflows.

JSON JSON 
{
  "baseUrl": "http://entra-agentid-sidecar:7000",
  "tokenPath": "/AuthorizationHeaderUnauthenticated/graph",
  "scope": "https://graph.microsoft.com/.default",
  "agentIdentity": "n8n-finance-approvals"
}

Lokale und hybride Entwicklung Local and hybrid development

Sicherheit: Conditional Access, Risk, Netzwerk und Logging Security: Conditional Access, risk, network, and logging

Microsoft erweitert seine Entra-Sicherheitsfunktionen gezielt auf Agenten. Für Agenten relevante Kernbausteine sind Conditional Access für Agent Identities oder Agent Users, Identity Protection für risky agents, Netzwerksteuerung über Global Secure Access und detaillierte Sign-in- sowie Auditlogs. Microsoft explicitly extends Entra security capabilities to agents. The core building blocks for agents are Conditional Access for agent identities or agent users, Identity Protection for risky agents, network control through Global Secure Access, and detailed sign-in and audit logs.

Funktion Feature Lizenz License Was sie bei Agenten leistet What it does for agents Typischer Einsatz Typical use
Conditional Access for agents Conditional Access for agents Entra ID P1 Entra ID P1 Erzwingt blockieren, zulassen oder zusätzliche Bedingungen auf Basis von Identität, Zielressource und Risiko. Enforces allow, block, or extra conditions based on identity, target resource, and risk. Blockiere alle Agenten außer definierte Blueprints oder verlange verwaltete Umgebungen für Agent Users. Block all agents except defined blueprints or require managed environments for agent users.
Identity Protection for agents Identity Protection for agents Entra ID P2 Entra ID P2 Erkennt ungewöhnlichen Ressourcenzugriff, Sign-in-Spikes, Fehlzugriffe und bekannte Threat-Intelligence-Muster. Detects unusual resource access, sign-in spikes, failed access, and known threat intelligence patterns. Blockiere High Agent Risk automatisch und leite Incidents an SOC und Sponsor weiter. Automatically block high agent risk and route incidents to the SOC and sponsor.
Global Secure Access / Secure Web AI Gateway Global Secure Access / Secure Web AI Gateway Entra Internet Access Entra Internet Access Steuert den Netzwerkpfad für Agententraffic und wendet Web-, Threat- und Dateifilter an. Controls the network path for agent traffic and applies web, threat, and file filtering. Copilot-Studio-Agenten nur über erlaubte externe Ziele und MCP-Connectoren leiten. Route Copilot Studio agents only through approved external destinations and MCP connectors.
Sign-in und Audit Logs Sign-in and audit logs Basisfunktionen plus Retention nach Umgebung Base capabilities plus retention per environment Macht Agent-Typ, Agent-Status und Verwaltungsaktionen sichtbar. Makes agent type, agent status, and administrative actions visible. Belege für Audits, Forensik und Rezertifizierung. Evidence for audits, forensics, and recertification.

Risky agents und Echtzeitschutz Risky agents and near-real-time protection

Derzeit beschreibt Microsoft Risky Agents mit Offline-Detektionen wie unfamiliar resource access, signInSpike, failedAccessAttempt, adminConfirmedAgentCompromised und threat-intelligence-basierten Signalen. In OBO-Szenarien wird riskantes Verhalten dem Benutzer zugerechnet; autonome Agenten werden als eigener Risikoträger bewertet. Microsoft currently documents risky agents with offline detections such as unfamiliar resource access, signInSpike, failedAccessAttempt, adminConfirmedAgentCompromised, and threat-intelligence-based signals. In OBO scenarios risky activity is attributed to the user; autonomous agents are evaluated as their own risk subject.

⚠️ CAE und Echtzeit ⚠️ CAE and real time

Conditional Access wird bei Tokenausstellung und -aktualisierung ausgewertet. Einige Ressourcen unterstützen Continuous Access Evaluation und nähern sich damit einer Echtzeitdurchsetzung an. Plane trotzdem immer für Tokenlebensdauer, Wiederholungsversuche und sichere Sperrpfade. Conditional Access is evaluated at token issuance and refresh. Some resources support Continuous Access Evaluation and move closer to near-real-time enforcement. Even so, always plan for token lifetime, retries, and safe blocking paths.

Graph API Graph API 
GET https://graph.microsoft.com/beta/identityProtection/riskyAgents
Authorization: Bearer <token>

GET https://graph.microsoft.com/beta/identityProtection/agentRiskDetections
Authorization: Bearer <token>

Governance: ID Governance, Access Packages, Reviews und Sponsorverantwortung Governance: ID Governance, access packages, reviews, and sponsor accountability

Agent Governance in Entra orientiert sich bewusst an Human Identity Governance: Die richtige Identität erhält den richtigen Zugriff zur richtigen Zeit, und ein verantwortlicher Mensch bleibt über den gesamten Lebenszyklus eingebunden. Für Agenten wird diese Verantwortung über Owners und vor allem Sponsors formalisiert. Agent governance in Entra intentionally mirrors human identity governance: the right identity gets the right access at the right time, and a responsible human stays involved throughout the lifecycle. For agents, that accountability is formalized through owners and especially sponsors.

Governance-Baustein Governance building block Wozu er dient What it is for Empfehlung Recommendation
Sponsors Sponsors Geschäftlich verantwortliche Personen oder Gruppen für Zweck, Risiko und Fortführung eines Agenten. Business-accountable people or groups for an agent's purpose, risk, and continuation. Jede produktive Agent Identity soll mindestens einen Sponsor besitzen. Every production agent identity should have at least one sponsor.
Owners Owners Technische Verwalter für Blueprint oder Agent Identity. Technical administrators for a blueprint or agent identity. Trenne technische Pflege von fachlicher Verantwortung, wo möglich. Separate technical maintenance from business responsibility where possible.
Access Packages Access packages Zuweisung von Gruppen, App-Berechtigungen und Entra-Rollen an Agenten. Assignment of groups, app permissions, and Entra roles to agents. Nutze ablaufende Pakete statt dauerhafter Direktzuweisungen. Use expiring packages instead of permanent direct assignments.
Access Reviews Access reviews Regelmäßige Bestätigung, dass ein Agent oder Agent User einen Zugriff noch benötigt. Recurring confirmation that an agent or agent user still needs a given access right. Kritische Rollen und Hochrisiko-APIs mindestens quartalsweise prüfen. Review critical roles and high-risk APIs at least quarterly.
Lifecycle Workflows Lifecycle workflows Automatisiert Sponsorwechsel, Benachrichtigungen und Eskalation. Automates sponsor changes, notifications, and escalation. Benachrichtige Cosponsors und Manager bei Sponsorabgang. Notify cosponsors and managers when a sponsor leaves.

Microsoft beschreibt drei Anforderungswege für Access Packages: Der Agent beantragt programmgesteuert selbst, ein Sponsor beantragt im Namen des Agenten, oder ein Administrator weist das Paket direkt zu. Diese Mischung ist hilfreich, weil sie Self-Service und Kontrolle kombinieren kann. Microsoft describes three request paths for access packages: the agent requests programmatically, a sponsor requests on behalf of the agent, or an administrator directly assigns the package. That mix is useful because it can combine self-service and control.

Graph API Graph API 
POST https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests
Authorization: Bearer <token>
Content-Type: application/json

{
  "requestType": "AdminAdd",
  "assignment": {
    "targetId": "<agent-identity-id>",
    "accessPackageId": "<access-package-id>"
  }
}
ℹ️ Sponsorwechsel ℹ️ Sponsor handoff

Microsoft dokumentiert, dass Sponsorship bei Austritt des Sponsors auf dessen Manager übergehen kann. Das ist ein starkes Governance-Merkmal, weil ein Agent damit nicht herrenlos im Tenant verbleibt. Microsoft documents that sponsorship can transfer to a sponsor's manager when the sponsor leaves. That is a strong governance trait because it prevents an orphaned agent from remaining in the tenant.

Agent Management: Portal, Wizard, Logs und operative Aufgaben Agent management: portal, wizard, logs, and operational tasks

Administratoren verwalten Agenten zentral im Microsoft Entra Admin Center unter Entra ID > Agents. Dort lassen sich Agent Identities suchen, filtern, deaktivieren, per Multi-Select abschalten, Eigentümer und Sponsoren pflegen sowie Details zu Zugriffen, Berechtigungen und Aktivität prüfen. Administrators manage agents centrally in the Microsoft Entra admin center under Entra ID > Agents. There they can search, filter, disable, batch-disable, maintain owners and sponsors, and inspect access, permissions, and activity details.

Aufgabe Task Rolle Role Ort Location
Agent Identities anzeigen View agent identities Normales Entra-Konto ausreichend A normal Entra account is sufficient Entra Admin Center oder My Account für Owner/Sponsors. Entra admin center or My Account for owners and sponsors.
Agenten verwalten Manage agents Agent ID Administrator oder Cloud Application Administrator; Owner für eigene Objekte. Agent ID Administrator or Cloud Application Administrator; owners for their own objects. Entra ID > Agents > Agent identities. Entra ID > Agents > Agent identities.
Blueprints erstellen Create blueprints Agent ID Developer Agent ID Developer Entra ID > Agents > Agent blueprints oder automatisiert per Skill/Graph. Entra ID > Agents > Agent blueprints or automated by skill or Graph.
Zugriff im Namen eines Agenten anfordern Request access on behalf of an agent Sponsor oder Owner Sponsor or owner My Access Portal. My Access portal.
Risiko untersuchen Investigate risk Security Administrator, Security Operator oder Security Reader Security Administrator, Security Operator, or Security Reader ID Protection > Risky Agents. ID Protection > Risky Agents.

AI-guided Setup Wizard AI-guided setup wizard

Microsoft bietet zusätzlich einen AI-guided Setup-Ansatz an, der GitHub Copilot im Agent-Modus verwendet. Dieses Skill validiert Rollen, Tools und Graph-Berechtigungen, erzeugt konsistente Namen, kann Fehler analysieren und wiederholt idempotent, falls der erste Durchlauf unterbrochen wurde. Microsoft also offers an AI-guided setup approach that uses GitHub Copilot in agent mode. The skill validates roles, tools, and Graph permissions, derives consistent names, can analyze errors, and reruns idempotently if the first pass was interrupted.

  1. Projekt oder Arbeitsverzeichnis in VS Code öffnen. Open the project or working directory in Visual Studio Code.
  2. Copilot Chat auf Agent Mode stellen. Switch Copilot Chat into agent mode.
  3. Das Agent-ID-Skill oder die Skill-Datei referenzieren. Reference the Agent ID skill or the skill file.
  4. Display Name, Sponsor, Credential-Typ und Zahl der Agent Identities bestätigen. Confirm display name, sponsor, credential type, and the number of agent identities.
  5. Erzeugte Ressourcen anschließend im Entra Admin Center validieren. Validate the resulting resources in the Entra admin center afterwards.
💡 Betriebsregel 💡 Operating rule

Nutze den Wizard für Erstaufbau und dokumentierte Standards, verwende aber Graph oder Infrastrukturcode für reproduzierbare Massenbereitstellung in mehreren Umgebungen. Use the wizard for first-run setup and documented standards, but use Graph or infrastructure-as-code for reproducible large-scale provisioning across environments.

Architekturmuster und Best Practices Architecture patterns and best practices

Muster Pattern Beschreibung Description Wann sinnvoll When useful Achte besonders auf Pay special attention to
Single tenant, blueprint per product Single tenant, blueprint per product Ein Tenant mit getrennten Blueprints für HR-, Finance- und Support-Agenten. One tenant with separate blueprints for HR, Finance, and support agents. Die meisten internen Agentenszenarien. Most internal agent scenarios. Klare Trennung von Scopes, Sponsoren und Access Packages. Clear separation of scopes, sponsors, and access packages.
Single tenant, shared platform blueprint Single tenant, shared platform blueprint Mehrere Agenteninstanzen teilen einen Plattform-Blueprint und variieren nur die Agent Identity. Multiple agent instances share a platform blueprint and vary only by agent identity. Wenn Governance zentral und Funktionen homogen sind. When governance is centralized and functions are homogeneous. Überprivilegierung und zu breite Scope-Vererbung vermeiden. Avoid over-privileging and overly broad scope inheritance.
Multitenant blueprint with local child agents Multitenant blueprint with local child agents Ein Anbieter veröffentlicht einen Blueprint, der in Kundentenants lokale Agent Identities erzeugt. A provider publishes a blueprint that creates local agent identities in customer tenants. ISV- oder Plattformmodelle. ISV or platform models. Mandantengrenzen, lokal gültige Richtlinien und Kundensichtbarkeit. Tenant boundaries, locally valid policies, and customer visibility.
User-like digital worker User-like digital worker Agent Identity plus Agent User für Mailbox, Kalender und Kollaborationsfunktionen. Agent identity plus agent user for mailbox, calendar, and collaboration functions. Teams- oder Outlook-zentrierte digitale Mitarbeiter. Digital workers centered on Teams or Outlook. Lizenzierung, mailboxbezogene Schutzrichtlinien und starke Rezertifizierung. Licensing, mailbox protection policies, and strong recertification.

Lizenzierung Licensing

Funktion Capability Minimaler Bedarf Minimum requirement Bemerkung Notes
Agent ID Plattform Agent ID platform Für Microsoft Entra Kunden verfügbar Available to Microsoft Entra customers Deckt Erstellung und Verwaltung von Blueprints und Agent Identities ab. Covers creation and management of blueprints and agent identities.
Integration mit Microsoft Agent 365 Integration with Microsoft Agent 365 Microsoft Agent 365 pro Benutzer Microsoft Agent 365 per user Erforderlich, wenn Agenten in Microsoft 365-Workflows und Agent-365-Szenarien betrieben werden. Required when agents operate in Microsoft 365 workflows and Agent 365 scenarios.
Conditional Access für Agenten Conditional Access for agents Microsoft Entra ID P1 Microsoft Entra ID P1 Oft in Microsoft 365 E5 enthalten. Often included in Microsoft 365 E5.
ID Protection für Agenten ID Protection for agents Microsoft Entra ID P2 Microsoft Entra ID P2 Benötigt für Risky Agents und risikobasierte Richtlinien. Required for risky agents and risk-based policies.
ID Governance für Agenten ID Governance for agents Microsoft Entra ID P1 Microsoft Entra ID P1 Für Access Packages, Reviews und Lifecycle-Prozesse relevant. Relevant for access packages, reviews, and lifecycle processes.
Netzwerkkontrollen für Agenten Network controls for agents Microsoft Entra Internet Access oder Entra Suite Microsoft Entra Internet Access or Entra Suite Für Secure Web and AI Gateway und Global Secure Access Szenarien. For Secure Web and AI Gateway and Global Secure Access scenarios.
⚠️ Lizenzprüfung ⚠️ Licensing check

Plane Agent-ID-Projekte immer mit zwei Ebenen: der Identitätsgrundlage im Tenant und den Zusatzlizenzen für Schutz, Governance oder Agent-365-gestützte Workflows. Always plan Agent ID projects with two layers: the baseline identity capability in the tenant and the add-on licenses needed for protection, governance, or Agent-365-backed workflows.

PowerShell- und Graph-API-Referenz PowerShell and Graph API reference

Die Agent-ID-APIs sind derzeit stark Graph-orientiert und viele Beispiele verwenden Beta-Endpunkte. Für Betriebsautomatisierung ist das normal, sollte aber bewusst dokumentiert, versioniert und mit Change Control versehen werden. Agent ID APIs are currently heavily Graph-oriented and many examples use beta endpoints. That is normal for operational automation, but it should be documented, versioned, and placed under change control.

PowerShell PowerShell 
Connect-MgGraph -Scopes `
  "Application.Read.All",`
  "Application.ReadWrite.All",`
  "AuditLog.Read.All",`
  "Policy.Read.All",`
  "RoleManagement.Read.Directory",`
  "EntitlementManagement.Read.All"

$agentSignIns = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'"
$agentSignIns.value | Select-Object createdDateTime, appDisplayName, resourceDisplayName
PowerShell PowerShell 
$riskyAgents = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/identityProtection/riskyAgents"
$riskyAgents.value |
  Select-Object id, displayName, riskLevel, riskState
Graph API Graph API 
GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=agent/agentType eq 'AgentIdentity'
Authorization: Bearer <token>

GET https://graph.microsoft.com/beta/applications?$filter=startswith(displayName,'Contoso Agent')
Authorization: Bearer <token>

FAQ FAQ

Ist Agent ID einfach nur ein neuer Name für Service Principals? Is Agent ID simply a new name for service principals?

Nein. Agent Identities basieren zwar technisch auf Service Principals, ergänzen aber Blueprint-Herkunft, Sponsoren, Agententyp, Governance- und Schutzintegrationen. No. Agent identities are technically built on service principals, but they add blueprint lineage, sponsors, agent type, governance, and protection integrations.

Braucht jeder Agent einen Agent User? Does every agent need an agent user?

Nein. Ein Agent User ist nur für benutzerähnliche oder legacyabhängige Szenarien nötig. Viele Assistive- und autonome Agenten kommen mit Agent Identity plus OBO oder App-Only aus. No. An agent user is required only for user-like or legacy-dependent scenarios. Many assistive and autonomous agents work with an agent identity plus OBO or app-only access.

Kann ich Agenten aus AWS oder n8n integrieren? Can I integrate agents from AWS or n8n?

Ja. Microsoft dokumentiert Sidecar- und Federation-Muster für Drittplattformen wie AWS Bedrock und n8n. Yes. Microsoft documents sidecar and federation patterns for third-party platforms such as AWS Bedrock and n8n.

Gelten Conditional Access und Identity Protection wirklich für Agenten? Do Conditional Access and Identity Protection really apply to agents?

Ja. Microsoft stellt spezifische CA- und ID-Protection-Szenarien für Agenten bereit, inklusive Agent Risk als Bedingung. Yes. Microsoft provides specific Conditional Access and ID Protection scenarios for agents, including agent risk as a condition.

Soll ich Secrets für Blueprints verwenden? Should I use secrets for blueprints?

Für lokale Entwicklung kann das pragmatisch sein. In Produktion sind föderierte Credentials, Managed Identity oder Zertifikate deutlich vorzuziehen. For local development that can be pragmatic. In production, federated credentials, managed identity, or certificates are strongly preferred.

Wie viele Agent Identities sollte ich pro Blueprint anlegen? How many agent identities should I create per blueprint?

In der Regel eine pro realem Agenten oder pro eindeutigem Deployment mit eigener Verantwortlichkeit und eigenem Blast Radius. Usually one per real agent or per distinct deployment with its own accountability and blast radius.

Wie prüfe ich, ob ein Agent noch gebraucht wird? How do I verify that an agent is still needed?

Kombiniere Access Reviews, Ablaufdaten in Access Packages, Sponsorbestätigung und Sign-in-/Audit-Daten. Inaktive Agenten sollten deaktiviert oder entfernt werden. Combine access reviews, expiration dates in access packages, sponsor confirmation, and sign-in or audit data. Inactive agents should be disabled or removed.

Ist Multi-Tenant mit Agent ID möglich? Is multi-tenant possible with Agent ID?

Für die Identitäten selbst gilt single-tenant. Microsoft beschreibt jedoch multitenant-fähige Blueprints, die in fremden Tenants lokale Child-Identities erzeugen. The identities themselves are single-tenant. Microsoft does, however, describe multitenant-capable blueprints that create local child identities in other tenants.