Microsoft Agent 365 | Die Kontrollebene für Agenten

Vom Wildwuchs zur geordneten Agenten-Flotte

Deine Anwender bauen längst eigene Agenten. Einer im Vertrieb hat sich über den Agent Store einen Lead-Recherche-Bot geholt, das Marketing lässt einen Copilot-Studio-Agenten auf SharePoint-Daten los, und in einem Teams-Kanal werkelt ein selbstgebauter Helfer, von dem die IT nichts weiß. Diese unkontrollierte Verbreitung hat einen Namen: Shadow AI, das neue Shadow IT.

Agenten verhalten sich dabei so, wie sich Endgeräte vor zehn Jahren verhalten haben. Sie vermehren sich schnell, werden uneinheitlich bereitgestellt und sind für die IT weitgehend unsichtbar. IDC rechnet bis 2028 mit über 1,3 Milliarden Agenten weltweit, eine von Microsoft gesponserte Prognose, deren Richtung aber stimmt. Ohne zentrale Verwaltung wird aus Produktivitätsgewinn ein Governance-Risiko, das sich selbst skaliert.

Agent 365 ist Microsofts Antwort darauf, angekündigt auf der Ignite 2025 und seit dem 1. Mai 2026 allgemein verfügbar. Microsoft nennt es die Control Plane für Agenten, also die Ebene, um jeden KI-Agenten im Tenant zu beobachten, zu steuern und abzusichern, egal ob er in Copilot Studio, in Microsoft Foundry, mit einem Open-Source-Framework oder bei einem Partner entstanden ist.

Charles Lamanna, bei Microsoft für Business Apps und Agents zuständig, fasst die Designidee in einem Satz: Der beste Weg, Agenten zu verwalten, ist die Infrastruktur zu erweitern, die du schon für deine Nutzer einsetzt. Genau das macht Agent 365. Es baut keine neue Verwaltungswelt auf, sondern setzt auf Entra ID, Defender und Purview auf. Für dich heißt das: Du lernst kein zweites Sicherheitsmodell, sondern wendest dein vorhandenes auf Agenten an.

Warum eine eigene Kontrollebene nötig wird

Ein Agent ist keine klassische App. Er handelt autonom, greift im Namen von Nutzern auf Daten zu und kann mit anderen Agenten kommunizieren. Bekommt ein finanzfokussierter Agent Zugriff auf Vertragsdaten und niemand kontrolliert, was er damit tut, hast du dieselbe Angriffsfläche wie bei einem überprivilegierten Servicekonto. Nur dass dieses Konto eigenständig Entscheidungen trifft und sich in Minuten statt Monaten vervielfacht.

Agent 365 schließt diese Lücke, indem es jedem Agenten eine verwaltbare Identität gibt und sein Verhalten überwachbar macht.

Die Kontrollebene gliedert sich in fünf Funktionsbereiche. Der Registry liefert ein Inventar aller Agenten im Tenant, vom Entra-registrierten Agenten über die im Teams Store bekannten bis hin zu Shadow-Agenten.

Die Zugriffssteuerung weist jedem Agenten über Microsoft Entra Agent ID eine eindeutige Identität zu, sodass du Least-Privilege durchsetzen kannst. Die Observability macht über Telemetrie, Dashboards und Alerts sichtbar, was die Agenten tatsächlich tun. Die Interoperabilität zieht auch Open-Source- und Partner-Agenten unter dieselbe Verwaltung. Die Security-Ebene koppelt Defender zur Bedrohungsabwehr und Purview zur Erkennung von Datenabflüssen an. Auffällige Agenten kannst du in Quarantäne setzen, wodurch sie für Nutzer ausgeblendet und von Verbindungen zu anderen Agenten oder Ressourcen abgeschnitten werden.

Lizenz und Voraussetzungen

Hier lohnt ein genauer Blick, weil die Lizenzierung oft falsch verstanden wird. Agent 365 wird pro Nutzer lizenziert, nicht pro Agent.

Die Lizenz hängt an dem Menschen, der einen Agenten nutzt, besitzt, verwaltet oder als Sponsor verantwortet. Die Agenten selbst brauchen keine eigene Lizenz, und eigene Verbrauchskosten fallen für Agent 365 derzeit nicht an.

Es gibt drei Stufen:

Basisstufe (kostenlos): steht jedem Tenant mit Microsoft-Cloud-Abonnement zur Verfügung. Enthält Agentenidentität, Inventarsicht, einfache Nutzungsinsights und die Kern-Governance (veröffentlichen, bereitstellen, blockieren, löschen, freigeben, Besitz neu zuweisen).
Premium Standalone (15 US-Dollar pro Nutzer und Monat): setzt eine qualifizierende Basislizenz voraus, entweder Microsoft 365 E5, oder Defender plus Purview Suite (FLW), oder Business Premium. Bringt erweiterte Analysen, Governance-Richtlinien, Security Posture Management, Bedrohungserkennung und Datensicherheitskontrollen.
Microsoft 365 E7 (99 US-Dollar pro Nutzer und Monat): die Frontier Suite bündelt E5, Microsoft 365 Copilot, Agent 365 und die Entra Suite. Enthält dieselbe Premium-Funktionalität wie die Standalone-Lizenz.

Du musst also nicht auf E7 wechseln, um Agent 365 produktiv zu nutzen. Für einen kleinen Kreis aus IT, Security oder einem KI-Kompetenzteam reicht die Standalone-Lizenz auf E5-Basis. E7 lohnt sich erst, wenn du ohnehin alle vier Bestandteile ausrollst. Achtung bei der Aktivierung: Mindestens ein Nutzer im Tenant muss eine qualifizierende Agent-365-Lizenz tragen, damit du Agent 365 überhaupt einschalten kannst. Die Observability-Signale erscheinen, sobald du die erste Lizenz zugewiesen hast.

Für die Verwaltung brauchst du eine Rolle mit den passenden Rechten. Microsoft hat dafür die Rolle Microsoft Entra AI Administrator vorgesehen, deren Berechtigungen auf Copilot, Agenten und verwandte KI-Dienste zugeschnitten sind. Governance-Aktionen wie das Genehmigen von Agentenanfragen oder das Zuweisen von Besitz sind ausschließlich dieser Rolle und dem Global Administrator vorbehalten. Andere Rollen sehen die Governance-Lücken, können aber nicht eingreifen. Den Global Administrator hältst du wie immer für Notfälle zurück.

Einrichtung im Microsoft 365 Admin Center

Die zentrale Anlaufstelle ist das Microsoft 365 Admin Center unter admin.microsoft.com. Den Agenten-Workload findest du in der linken Navigation unter Agents, gegebenenfalls erst nach einem Klick auf Alle anzeigen. Bevor du loslegst, prüfst du drei Dinge:

die richtige Lizenz im Tenant,
deine Admin-Rolle,
und ob im Bereich Agents, Settings die passenden Vorgaben gesetzt sind.

Die Settings-Seite bündelt fünf Stellschrauben:

User access: legt fest, ob alle Nutzer, keine Nutzer oder nur bestimmte Gruppen Agenten verwenden dürfen.
Allowed agent types: steuert, ob Agenten von Microsoft, aus der eigenen Organisation oder von externen Publishern erlaubt sind.
Security templates: Vorlagen, die jeder neue Agent automatisch erbt, wodurch du nicht jeden Agenten einzeln absichern musst.
Sharing: regelt, wer Agenten teilen darf und über welche Wege.
Agent management rules: automatisiert wiederkehrende Lifecycle-Aufgaben.

Damit rollst du Agenten kontrolliert nach Abteilung oder Pilotgruppe aus, statt den ganzen Tenant auf einmal zu öffnen. Für den Anfang empfiehlt sich der enge Weg: erst eine Testgruppe über User access freischalten, eine Security-Vorlage als Default setzen, dann schrittweise erweitern.

Registry und Agententypen

Das Herzstück ist der Agent Registry, erreichbar über Agents, All Agents, Registry. Hier siehst du jeden Agenten, der deiner Organisation zur Verfügung steht, mit Besitzer, Publisher, Status und aggregierten Risiken. Die Liste lässt sich nach Status filtern und als Excel-Datei exportieren, mit über 30 Datenfeldern je Agent für Reporting und Audit.

Die Agenten teilen sich in vier Typen:

Microsoft-eigene Agenten (1P): baut und pflegt Microsoft selbst, etwa Researcher oder Analyst.
Partner-Agenten: stammen von geprüften Drittentwicklern und sind breiter veröffentlicht.
Von der Organisation veröffentlichte Agenten: eure freigegebenen Custom- oder LOB-Agenten.
Shared Agents: erstellen einzelne Anwender oder Entwickler und teilen sie intern.

Gerade die letzte Kategorie ist der Wildwuchs-Kandidat, den du im Blick behalten musst. Praktisch dabei: Agenten, die mit Copilot Studio gebaut werden, landen automatisch im Registry, senden Telemetrie an Agent 365 und bekommen ohne Zutun eine Entra Agent ID. Du musst sie also nicht manuell registrieren, sondern findest sie direkt im Inventar wieder.

Achtung beim Löschen: Bei Agenten mit dem Tag AI teammate erzeugen Nutzer einzelne Instanzen. Löschst du eine Instanz, werden Instanzkonten und Daten nach 30 Tagen endgültig entfernt, die Audit-Logs bleiben erhalten.

Agent Details am Beispiel Researcher

Wie konkret die Detailansicht ausfällt, zeigt der Microsoft-Agent Researcher im Registry. Über Agents, All Agents öffnest du sein Flyout. Oben stehen die Aktionen Lizenz verwalten, Deinstallieren und Blockieren sowie der Status Verfügbar. Darunter gliedert sich die Ansicht in acht Tabs: Details, Benutzer, Daten und Tools, Sicherheit, Berechtigungen, Aktivität, Computernutzung und Verbundene Agents.

Der Tab Details fasst die Stammdaten zusammen: Version, Erstellungsdatum, letzte Aktualisierung, Publisher, Herausgebertyp, Besitzer, Verfügbarkeit, Entra-Agent-ID und Vertraulichkeit. Bei einem Microsoft-1P-Agenten wie Researcher steht beim Publisher die Microsoft Corporation, beim Besitzer und bei der Entra-Agent-ID dagegen ein Strich, weil Microsoft den Agenten verantwortet und keine eigene Tenant-Identität nötig ist. Genau hier siehst du auf einen Blick, ob ein Agent einen Besitzer hat, ein wichtiges Signal bei selbstgebauten Agenten.

Der Tab Daten und Tools beantwortet die entscheidende Frage, worauf der Agent zugreift. Bei Researcher steht unter Kann lesen der Eintrag Öffentliche Websites, während Graph-Connectors, Wissensquellen und Tools nicht konfiguriert sind. So erkennst du, ob ein Agent nur im Web recherchiert oder tief in deine Unternehmensdaten greift.

Im Tab Sicherheit siehst du die aktiven Schutzmaßnahmen. Der Purview-Schutz überwacht die Agent-Aktivität, schützt vertrauliche Daten gegen Lecks und übermäßiges Teilen und bietet eine KI-Baselinebewertung für Compliancelücken. Die Entra-Schutzmaßnahmen greifen, sobald der Agent eine Identität hat. Bei Researcher steht hier, dass der Agent keine Berechtigungen von Entra ID besitzt.

Der Tab Aktivität liefert die 30-Tage-Telemetrie: aktive Benutzer, Sitzungen, Ausnahmen und Agentlaufzeit, dazu Verlaufskurven und die Liste der aktiven Nutzer mit Datum der letzten Nutzung. Damit siehst du, ob ein Agent wirklich genutzt wird oder als Karteileiche im Tenant liegt.

Besonders für die Absicherung zählt der Tab Computernutzung. Researcher kann eine VM nutzen, um Websites aufzurufen und Aktionen im Namen von Nutzern auszuführen. Du steuerst, ob das für alle, für niemanden oder nur für bestimmte Gruppen erlaubt ist, ob der Agent dabei auf Arbeitsdaten zugreifen darf und welche Websites zulässig sind, wahlweise alle, nur bestimmte URLs oder eine Ausschlussliste. Voraussetzung ist eine aktivierte Websuche.

Der Tab Verbundene Agents zeigt, mit welchen anderen Agenten Researcher zusammenarbeitet. Du verbindest bis zu zehn Agenten, ausgenommen jene, die der Ersteller bereits hinzugefügt hat.

Agent Management Rules

Für wiederkehrende Aufgaben gibt es Agent Management Rules unter Agents, Settings. Mit der Regel Reassign Ownerless Agents überträgst du verwaiste Agenten, deren Ersteller die Organisation verlassen hat, per Massenaktion an den Manager des bisherigen Besitzers entlang der Entra-Hierarchie.

Diese Regel greift bisher nur bei Agenten aus dem Microsoft 365 Copilot Agent Builder, also nicht bei allen Typen. Mit Install Microsoft (1P) Agents verteilst du Microsoft-eigene Agenten proaktiv im Tenant. Das Modell folgt einer einfachen Wenn-Dann-Logik, wodurch Lifecycle-Governance automatisierbar wird. Microsoft hat weitere Szenarien angekündigt, etwa das automatische Blockieren riskanter und das Löschen inaktiver Agenten.

PowerShell: Agentenidentitäten verwalten

Die Identitäten laufen über Microsoft Entra Agent ID. Hier bist du als Admin nah an der PowerShell, denn Blueprints und Identitäten lassen sich per Microsoft Graph erstellen. Ein Blueprint ist die Vorlage, aus der einzelne Agentenidentitäten entstehen, vergleichbar mit dem Verhältnis von App Registration und Enterprise Application. Wichtig vorweg: Die Agent-ID-APIs laufen weiterhin über den Beta-Endpunkt von Microsoft Graph. Wer produktiv automatisiert, sollte Skripte gegen API-Änderungen absichern.

Du brauchst PowerShell 7 und die passenden Graph-Module:

# Module installieren (Beta wird fuer Agent-ID-Operationen benoetigt)
Install-Module Microsoft.Graph.Applications -Scope CurrentUser -Force
Install-Module Microsoft.Graph.Beta.Applications -Scope CurrentUser -Force

# Mit den noetigen Delegated Scopes verbinden
$allScopes = @(
    "AgentIdentityBlueprint.Create",
    "AgentIdentityBlueprint.AddRemoveCreds.All",
    "AgentIdentityBlueprint.ReadWrite.All",
    "AgentIdentityBlueprintPrincipal.Create",
    "User.Read"
)
Connect-MgGraph -Scopes $allScopes -TenantId $TenantId -UseDeviceCode -NoWelcome

Stolperfalle bei der Authentifizierung: Tokens aus der Azure CLI funktionieren nicht. Sie tragen die Berechtigung Directory.AccessAsUser.All, die von den Agent-ID-APIs mit 403 abgewiesen wird. Du musst über Connect-MgGraph mit den expliziten Scopes arbeiten.

Den Blueprint legst du über einen Graph-Request an. Der Header OData-Version 4.0 und der Typ @odata.type sind Pflicht. Fehlen sie, erzeugt die API eine normale Application statt eines Agent-Blueprints:

$blueprintBody = @{
    "@odata.type"         = "Microsoft.Graph.AgentIdentityBlueprint"
    "displayName"         = "Sales-Assistant-Agent"
    "sponsors@odata.bind" = @("https://graph.microsoft.com/v1.0/users/$SponsorUserId")
    "owners@odata.bind"   = @("https://graph.microsoft.com/v1.0/users/$OwnerUserId")
}

$blueprint = Invoke-MgGraphRequest -Method POST `
    -Uri "https://graph.microsoft.com/beta/applications" `
    -Headers @{ "OData-Version" = "4.0"; "Content-Type" = "application/json" } `
    -Body ($blueprintBody | ConvertTo-Json -Depth 5) `
    -OutputType PSObject

$blueprint | Select-Object displayName, appId, id

Beachte: Das Anlegen eines Blueprints erzeugt nicht automatisch sein Service-Principal. Ohne diesen Principal scheitert jede Identitätserstellung, also musst du ihn separat anlegen. Wem der reine Graph-Weg zu sperrig ist: Mit dem Microsoft Entra PowerShell Modul ab Version 1.2.0 gibt es Invoke-EntraBetaAgentIdInteractive, einen siebenstufigen Assistenten, der Blueprint, Secret und Identität in einem Durchlauf einrichtet. Jeder Blueprint braucht einen Sponsor, also den Menschen oder die Gruppe, die für den Agenten verantwortlich ist. Das ist kein Formalismus, sondern die Adresse, an die ein Sicherheitsvorfall eskaliert wird.

Auch der Developer-Pfad nutzt PowerShell zur Kontrolle. Nach a365 publish prüfst du das erzeugte Manifest mit Bordmitteln:

Test-Path /manifest/manifest.json
Test-Path /manifest/manifest.zip
Get-Content a365.generated.config.json | ConvertFrom-Json | Select-Object agentBlueprintId

Agenten absichern: Netzwerk und privilegierte Rollen

Identität allein reicht nicht. Ein Agent telefoniert nach außen, lädt Dateien und kann über manipulierte Prompts zu schädlichen Aktionen verleitet werden. Genau hier setzt Network Control für Agenten an, seit dem 1. Mai 2026 allgemein verfügbar.

Agent 365 zieht die Microsoft Entra Network Controls auf Copilot-Studio-Agenten und auf lokale Agenten auf den Endgeräten herunter, etwa OpenClaw. Damit erkennst du nicht sanktionierte KI-Nutzung, beschränkst Verbindungen auf freigegebene Webziele, filterst riskante Dateibewegungen und blockst Prompt-Injection-Angriffe schon auf Netzwerkebene, bevor sie eine Aktion auslösen.

Vergiss neben den Agenten nicht die Admins. Die Rolle AI Administrator darf Agenten genehmigen und Besitz zuweisen, also viel. Eine Daueraktivierung dieser Rolle ist ein unnötiges Risiko. Sichere sie über Microsoft Entra Privileged Identity Management ab: Just-in-Time-Aktivierung, Genehmigungs-Workflow und erzwungene MFA bei der Aktivierung. So aktiviert ein Admin die Rechte nur für die Dauer der Aufgabe, und jede Aktivierung ist protokolliert.

Achtung bei den Voraussetzungen:

Network Control für Agenten setzt eine Agent365-Lizenz und Microsoft Entra Internet Access voraus. Auf den Endgeräten muss der Global Secure Access Client installiert sein, sonst greift die Kontrolle dort nicht. Lokale Agenten findest du über die neue Shadow-AI-Seite in Agent 365 im Admin Center. Per Intune-Richtlinie blockierst du die üblichen Startwege von OpenClaw, die Abdeckung wächst auf weitere Tools wie GitHub Copilot CLI und Claude Code.

Welche Ansichten Agent 365 bietet

Die Überwachung läuft über mehrere Dashboards. Die Agent Overview im Admin Center zeigt eine 30-Tage-Momentaufnahme samt handlungsorientierter Karten:

Pending Requests for Agents: listet offene Genehmigungsanfragen.
Agents at risk: zeigt die Agenten mit den höchsten aggregierten Risiken über Entra, Defender und Purview.
Agents without owners: zählt verwaiste Agenten.
Agents with exceptions: führt Agenten mit Fehlern in ihren Konversationen auf.
Top-Plattformen: zeigt die fünf meistgenutzten Agenten-Plattformen.

Jede Karte führt per Klick in eine vorgefilterte Registry-Ansicht, in der du sofort handeln kannst.

Im Registry führt die Spalte Risks die hochkritischen Risiken aus Entra, Defender und Purview zusammen. Ein Klick darauf öffnet den Security-Tab des Agenten, wo die Risiken nach Plattform aufgeschlüsselt sind und du direkt blockieren oder weiter untersuchen kannst. Für die Datenseite liefert Purview den tieferen Blick: Über AI Observability und den Activity Explorer siehst du, welche Agenten auf sensible Inhalte zugreifen, überwacht über Exchange, SharePoint, OneDrive und Endgeräte. Damit schließt Microsoft die Sichtbarkeitslücke, die bislang die größte Schwäche bei der Agentenverwaltung war: Du siehst nicht nur, dass ein Agent existiert, sondern auch, wie riskant sein Verhalten ist und an welche Daten er kommt.

Neben der Listenansicht im Registry gibt es die Agent Map (Agentzuordnung). Sie gruppiert deine Agenten visuell nach der Plattform, auf der sie gebaut wurden, sodass du Cluster und Einführungsmuster auf einen Blick erkennst. Du filterst nach Status, Publisher-Typ, Plattform, Kanal, Datenquelle oder Nutzung, machst einen Drilldown auf einzelne Agenten und siehst, wie Agenten miteinander in Beziehung stehen, also Abhängigkeiten und Interaktionen. Die nutzungsbasierte Ansicht wird über Agent-365-Insights für Tenants mit unter 4.000 Agenten unterstützt.

Fazit

Agent 365 ist architektonisch konsequent. Statt eine separate Verwaltungswelt für Agenten aufzuziehen, erweitert Microsoft die Werkzeuge, die deine IT und dein Security-Team ohnehin betreiben. Das senkt die Einstiegshürde, weil du kein neues Verwaltungsmodell lernen musst. Wer seinen Tenant über Entra, Defender und Purview schon im Griff hat, ist für Agent 365 vorbereitet. Für Junior-Admins ist der saubere Startweg klar: Testgruppe freischalten, Security-Vorlage als Default setzen, Registry beobachten, verwaiste und riskante Agenten zuerst aufräumen.

Die eigentliche Kostenfalle steckt nicht in Agent 365 selbst, sondern eine Ebene tiefer. Agent 365 verwaltet und sichert, deckt aber nicht die Rechenkosten der Agenten. Wer Agenten in Copilot Studio oder Foundry baut und betreibt, zahlt nutzungsbasiert über Copilot Credits oder Azure. Wenn ein Agent zusätzlich eine eigene Desktop-Umgebung über Windows 365 for Agents braucht, kommen 0,40 US-Dollar pro VM und Stunde obendrauf, abgerechnet als separate Position. Ein Agent in einer Endlosschleife oder ein vergessener Test-Bot kann so binnen Tagen ein vierstelliges Budget verbrennen, ohne dass es jemand bemerkt. Plane den Verbrauch getrennt vom Lizenzpreis ein.

Zwei weitere Punkte gehören auf den Zettel:

Lizenzverschiebung ab 1. Juli 2026: Agenten-Sicherheitsfunktionen aus Defender for Cloud und Defender for Cloud Apps wandern unter die Agent-365- beziehungsweise E7-Lizenz. Ohne passende Lizenz fällt dieser Schutz weg.
Beta-Endpunkt: Einzelne Bausteine wie die Entra-Agent-ID-APIs laufen weiterhin über den Beta-Endpunkt, was du bei produktiver Automatisierung berücksichtigen musst.

Die Botschaft bleibt: Governance ist bei Agenten keine Kür mehr, sondern Pflicht. Ein Agent ohne Identität, ohne Besitzer und ohne Überwachung ist ein Risiko, das sich selbst vervielfacht. Der richtige Zeitpunkt, die Kontrollebene aufzusetzen, ist nicht, wenn der erste Vorfall passiert, sondern jetzt, solange du deine Agenten noch an einer Hand abzählen kannst. Wer früh anfängt, verwaltet später eine geordnete Flotte statt eines Wildwuchses.

FAQ

Wird Agent 365 pro Nutzer oder pro Agent lizenziert? Pro Nutzer. Die Lizenz hängt an der Person, die einen Agenten nutzt, besitzt, verwaltet oder als Sponsor verantwortet. Die Agenten selbst brauchen keine eigene Lizenz, und eine Lizenz deckt alle Agenten ab, mit denen dieser Nutzer zu tun hat.

Was kostet Agent 365? Als Standalone-Lizenz 15 US-Dollar pro Nutzer und Monat, im Microsoft 365 E7 für 99 US-Dollar pro Nutzer und Monat. Eigene verbrauchsbasierte Kosten fallen für Agent 365 derzeit nicht an. Alle Interaktionen der Agenten eines Nutzers laufen unter dessen Lizenz.

Brauche ich E7, um Agent 365 zu nutzen? Nein. Agent 365 gibt es als Standalone-Add-on. E7 liefert das vollständigste Paket, weil es E5, Microsoft 365 Copilot, Agent 365 und die Entra Suite bündelt. Für einen kleinen Governance-Kreis reicht die Standalone-Lizenz.

Welche Basislizenz setzt Agent 365 voraus? Als Enterprise-Kunde brauchst du Microsoft 365 E5 oder alternativ Defender Suite und Purview Suite zusammen als Standalone. Frontline-Worker brauchen Microsoft 365 F5 mit Defender plus Purview Suite. Im Mittelstand setzt es Business Premium voraus, plus Defender Suite und Purview Suite für SMB, um die Funktionen freizuschalten. Im Bildungsbereich gilt A5 for Faculty oder Defender plus Purview Suite for Education.

Reicht Microsoft 365 Copilot allein für den Agentenschutz? Nein. Copilot bringt die KI-Funktionen für Endanwender, Agent 365 verwaltet, steuert und sichert die Agenten selbst, auch über Copilot hinaus. Kurz gesagt: Copilot regelt, was KI kann, Agent 365 regelt, was KI darf.

Welche Funktionen sind ohne Lizenz nutzbar? Jeder Tenant mit Microsoft-Cloud-Abo bekommt die Basisstufe: Agentenidentität, Registry, einfache Nutzungsinsights, die Kern-Governance (veröffentlichen, bereitstellen, blockieren, löschen, genehmigen, neu zuweisen), Audit-Logs und eDiscovery für Agentenaktivität, das Blocken nicht sanktionierter lokaler Agenten und die Erkennung von KI auf Endgeräten.

Welche Funktionen sind lizenzpflichtig? Die Premium-Stufe. Dazu zählen erweiterte Nutzungsanalysen, Agent Map, Registry Sync, Graph API, Identity Governance und Lifecycle-Automatisierung für Agenten, Policy-Vorlagen, DSPM, Insider Risk Management, Sensitivity Labels und DLP für Agenten, Conditional Access und Identity Protection, SASE, Gerätecompliance sowie Threat Detection, Blocking und Hunting.

Wen sollte ich lizenzieren? Alle Nutzer, die mit Agenten interagieren, sie verwalten oder sponsern. Wer Premium-Funktionen nutzt oder davon profitiert, ohne lizenziert zu sein, bringt dich in die Non-Compliance. Multiplexing, also das Poolen von Lizenzen zur Reduzierung der Lizenzzahl, ist nicht erlaubt.

Zählen Blueprints, Agenten und Instanzen einzeln? Nein. Sie sind keine eigenen Lizenzeinheiten. Ein lizenzierter Nutzer kann beliebig viele Blueprints, Agenten und Instanzen anlegen und verwalten, ohne Aufpreis pro Agent oder Instanz.

Kann ein einzelner Sponsor eine ganze Agenten-Flotte verwalten? Ja. Das Lizenzmodell kennt keine feste Obergrenze für die Zahl der Agenten je lizenziertem Nutzer, auch nicht bei Agent-to-Agent- oder Agent-to-Tool-Szenarien. Standard-Schutzmechanismen und Fair-Use-Limits der Plattform greifen weiterhin.

Kostet die Absicherung eines Foundry-Agenten extra gegenüber Copilot Studio? Nein. Agent 365 unterscheidet nicht, ob ein Agent in Foundry oder Copilot Studio gebaut wurde. Da die Lizenz am Nutzer hängt, sind Security und Governance ohne Aufpreis enthalten.

Ist Windows 365 for Agents in Agent 365 enthalten? Nein. Es ist ein eigenes Produkt, das mit Agent 365 zusammenspielt, aber separat gekauft wird. Abgerechnet wird nutzungsbasiert mit 0,40 US-Dollar pro VM und Stunde als eigene Position. Agent 365 liefert die Governance, Windows 365 for Agents die Laufzeitumgebung, wenn ein Agent einen vollen Desktop braucht.

Erfüllt E7 mit Agent 365 die EU-Data-Boundary? Ja. Microsoft 365 E7 inklusive Agent 365 ist auf Microsofts EU-Data-Boundary-Zusagen ausgelegt und wie andere kommerzielle Angebote mit und ohne Microsoft Teams verfügbar.

Ab wann greifen die Funktionen nach der Lizenzzuweisung? Sobald du die erste Agent-365-Lizenz zuweist. Ab diesem Moment erscheinen die Observability-Signale und Insights auf der Agent-365-Overview-Seite.

Welche Reports helfen bei der Bedarfsermittlung? Zwei, die du zusammen nutzt. Der Report "Active users using agents in Microsoft 365 Copilot" unter Reports, Usage, Microsoft 365 Copilot, Agents zeigt die eindeutigen Agenten-Nutzer der letzten 30 Tage. Der Report "Registry agent owners" unter Agents, All agents listet die Besitzer aller Agenten im Registry, inklusive Drittanbieter- und 1P-Agenten. Beide brauchen keine Lizenz und lassen sich exportieren.

Worin unterscheiden sich E5 und Agent 365? E5 schützt Nutzer und Daten, also wie Menschen mit KI arbeiten. Agent 365 schützt die Agenten selbst, über ihren gesamten Lebenszyklus und über die Interaktionsarten Agent-to-Human, Agent-to-Agent und Agent-to-Tool hinweg. E7 deckt beides ab.

Checkliste für die Agent 365 Governance

Hier ist dein Leitfaden, um die Kontrolle über deine Agenten-Flotte zurückzugewinnen.

1. Vorbereitung & Fundament

[ ] Rollen-Setup: Weise dir oder deinem Team die Rolle Microsoft Entra AI Administrator zu. Governance-Aktionen wie das Genehmigen von Anfragen sind exklusiv dieser Rolle (und dem Global Admin) vorbehalten.
[ ] PIM-Absicherung: Aktiviere für die AI-Administrator-Rolle zwingend Microsoft Entra Privileged Identity Management (PIM). Nutze Just-in-Time-Aktivierung und erzwungene MFA, um das Risiko einer Daueraktivierung zu minimieren.
[ ] Lizenz-Check: Prüfe, ob dein Tenant über die nötigen Voraussetzungen verfügt (M365 E5, Defender+Purview Suite oder Business Premium).
[ ] Aktivierung: Weise mindestens einem Nutzer eine qualifizierende Agent 365-Lizenz zu – erst dann erscheinen die Observability-Signale im Admin Center.

2. Policy-Steuerung (Die 5 Stellschrauben)

Konfiguriere unter Agents > Settings die Leitplanken für deine Anwender:

User access: Starte mit einer dedizierten Pilotgruppe, statt den gesamten Tenant zu öffnen.
Allowed agent types: Lege fest, ob externe Publisher oder nur interne Eigenentwicklungen zulässig sind.
Security templates: Definiere eine Default-Vorlage, damit jeder neue Agent automatisch Basisschutz-Richtlinien erbt.
Sharing: Reglementiere, wer Agenten teilen darf und über welche Wege.
Agent management rules: Automatisiere den Lifecycle, beispielsweise für verwaiste Agenten.

3. Inventur & Risikomanagement

Nutze das Agent Registry (Agents > All Agents > Registry) als dein zentrales Cockpit:

[ ] Bestandsaufnahme: Exportiere die Liste (über 30 Datenfelder!) für dein Reporting.
[ ] Wildwuchs-Bereinigung: Filtere gezielt nach Shared Agents und Agenten ohne Besitzer.
[ ] Risiko-Dashboard: Nutze die Spalte Risks, um kritische Agenten zu identifizieren, die sensible Daten (via Purview) oder unsichere Verbindungen (via Entra) aufweisen.
[ ] Nutzer-Audit: Überprüfe im Tab Aktivität, welche Agenten tatsächlich im Einsatz sind und welche als "Karteileichen" dein Sicherheitsrisiko unnötig erhöhen.

4. Tiefe Absicherung

[ ] Datenschutz: Prüfe unter Daten und Tools, ob ein Agent lediglich Web-Recherchen durchführt oder direkten Zugriff auf unternehmenskritische SharePoint-Daten/Graph-Connectors hat.
[ ] Compute-Kontrolle: Bei Agenten mit VM-Zugriff: Beschränke die erlaubten Websites per Whitelist.
[ ] Netzwerk-Security: Installiere den Global Secure Access Client, um nicht sanktionierte KI-Nutzung und Prompt-Injection-Angriffe auf Netzwerkebene zu blockieren.

5. Betrieb & Finanzen

[ ] Budget-Trennung: Trenne in deiner Planung die Lizenzkosten (pro User) von den verbrauchsabhängigen Kosten (Copilot Credits, Azure, VM-Stunden).
[ ] Automatisierung: Nutze PowerShell 7 und die Microsoft Graph Beta-Module für das Management von Agent Blueprints und Identitäten.
[ ] Compliance-Deadline: Beachte die Lizenzumstellung zum 1. Juli 2026 – stelle sicher, dass Sicherheitsfunktionen aus Defender for Cloud dann durch die Agent-365-Lizenz abgedeckt sind.