← Terug naar blog
Security

Microsoft Entra Agent ID: geef elke AI-agent een beveiligde identiteit met Conditional Access en risico-detectie

Door Zarioh Digital Solutions5 min leestijd
Delen
Microsoft Entra Agent ID: geef elke AI-agent een beveiligde identiteit met Conditional Access en risico-detectie

AI-agents draaien in Copilot Studio, Azure AI Foundry en tientallen andere omgevingen — maar wie beheert hun identiteit? Entra Agent ID is nu algemeen beschikbaar en brengt Conditional Access, Identity Protection en lifecycle-beheer naar niet-menselijke identiteiten. Wat betekent dit voor IT-teams die AI veilig willen uitrollen?

Elke gebruiker in uw Microsoft 365-omgeving heeft een identiteit in Entra ID. Die identiteit bepaalt wat iemand mag zien, met welke apparaten hij mag inloggen en of er risico's gedetecteerd worden. AI-agents, de geautomatiseerde softwareprocessen die taken uitvoeren, data ophalen en namens gebruikers handelen, hadden dat lange tijd niet. Ze draaiden vaak onder een generiek serviceaccount, een gedeeld credential of helemaal zonder formeel identiteitsbeleid.

Dat verandert. Microsoft bracht Entra Agent ID in april 2026 naar algemene beschikbaarheid. In juli 2026 rollen twee nieuwe serviceplannen uit die Conditional Access en Identity Protection ook voor agent-identiteiten beschikbaar maken. Voor IT-teams die AI-agents verantwoord willen uitrollen, is dit de infrastructuur waar ze op gewacht hebben.

Wat is Entra Agent ID en waarom is het nu relevant?

Entra Agent ID is een product binnen Microsoft Entra dat een identiteitsplatform biedt voor AI-agents. Organisaties die agents bouwen in Copilot Studio of Azure AI Foundry, of inzetten via Microsoft 365 Agent-licenties, krijgen dezelfde identiteitsconstructen als voor menselijke gebruikers en werkbelastingen, maar dan doelgericht voor geautomatiseerde processen.

Het kernprobleem dat Entra Agent ID oplost is zichtbaarheid en controle. Hoeveel AI-agents draaien er momenteel in uw tenant? Welke data hebben ze toegang tot? Wie is eigenaar? Als u die vragen niet kunt beantwoorden, heeft u een governance-gat. Entra Agent ID maakt het mogelijk om via het Entra-beheercentrum een geconsolideerde directory te zien van alle agents in de tenant, inclusief agents uit Copilot Studio, Azure AI Foundry en andere ondersteunde omgevingen.

Agent-identiteiten: een gespecialiseerd identiteitstype

Een agent-identiteit is een specifiek identiteitstype in Entra ID dat ontworpen is voor AI-agents. Elke agent krijgt een uniek object-ID en een app-ID. Voor agents die via Copilot Studio worden aangemaakt, zorgt Entra Agent ID voor automatische provisioning zodra de functie op omgevingsniveau is ingeschakeld. Voor Azure AI Foundry verloopt dit eveneens automatisch door de integratie met de agent lifecycle.

Een van de belangrijkste technische voordelen is dat agents geen secrets of wachtwoorden hoeven te bevatten om toegang te krijgen tot downstream-systemen. Wanneer een agent een tool aanroept, vindt er automatisch een OAuth 2.0 token-uitwisseling plaats tussen de agent-service, Entra ID en het doelresource. Ontwikkelaars hoeven tokens niet handmatig te beheren. Dit elimineert een van de meest voorkomende beveiligingsproblemen bij geautomatiseerde processen: ingebedde credentials in code of configuratie.

Conditional Access voor agents: dezelfde logica als voor gebruikers

Conditional Access is in Microsoft Entra de plek waar toegangsbeslissingen worden genomen. Logt iemand in vanaf een onbekende locatie? Dan vereis je MFA of blokkeer je de toegang. Heeft een account een hoog risiconiveau? Dan vereis je aanvullende verificatie. Deze logica kan nu ook op agent-identiteiten worden toegepast.

Kenmerkend voor Conditional Access voor agents is het blueprint-concept. Een IT-beheerder stelt beleid in op het niveau van een agent-blueprint, een sjabloon waaruit alle instanties van een bepaalde agent voortkomen. Alle toekomstige instances erven automatisch het beleid, zonder dat elke agent individueel geconfigureerd hoeft te worden. Wil je een hele klasse agents uitschakelen? Dat kan met één operatie op blueprint-niveau.

De nieuwe serviceplannen 'Entra Conditional Access for Agents' en 'Entra ID Protection for Agents' rollen in juli 2026 uit onder Microsoft 365 E7 en Microsoft Agent 365-licenties. Voor organisaties met Microsoft 365 E5 is een aparte Agent 365-licentie vereist om deze functionaliteit te activeren.

Identity Protection voor agents: risico-detectie voor niet-menselijke identiteiten

Entra ID Protection bewaakt gebruikersidentiteiten standaard op risicovolle patronen, zoals aanmeldingen vanuit ongebruikelijke locaties, token-manipulatie of gedragsafwijkingen. Diezelfde detectiemechanismen worden nu uitgebreid naar agent-identiteiten.

Dat is relevant omdat agents aanvalsvectoren kunnen worden. Een gecompromitteerde agent die namens een gebruiker handelt, kan data exfiltreren, ongeautoriseerde acties uitvoeren of als sprongpunt dienen voor laterale bewegingen in de omgeving. Identity Protection voor agents detecteert afwijkend gedrag in real-time en kan automatisch remediation-acties triggeren, zoals het blokkeren van de agent of het vereisen van herbeoordeling door een beheerder.

Beheer en governance: het Agent ID-portaal

In het Entra-beheercentrum is onder Agent ID een centrale directory beschikbaar van alle agent-identiteiten in de tenant. IT-teams zien hier welke agents actief zijn, wanneer ze voor het laatst zijn ingezet, welke resources ze hebben benaderd en wie eigenaar of sponsor is.

Het lifecycle-beheer omvat het instellen van een vervaldatum voor een agent-identiteit, het aanwijzen van een verantwoordelijke eigenaar en het definiëren van een sponsor vanuit de business. Een agent die niet meer in gebruik is, verliest automatisch toegang op de ingestelde einddatum. Dit sluit aan op de Entra ID Governance-functies voor toegangsbeoordelingen en autorisatiecycli die IT-teams al kennen van gebruikersbeheer.

Welke stappen zet u als IT-team?

Vier concrete acties voor organisaties die AI-agents inzetten of van plan zijn dit te doen. Ten eerste: inventariseer welke agents er al draaien in uw tenant. Open het Entra-beheercentrum en navigeer naar Agent ID voor een eerste overzicht. U kunt verrast zijn hoeveel agents er al actief zijn, zeker als Copilot Studio of Azure AI Foundry al in gebruik is.

Ten tweede: schakel automatische agent-identiteitsprovisioning in voor de Copilot Studio-omgevingen die u beheert. Dit zorgt dat nieuwe agents direct een formele identiteit krijgen in Entra in plaats van anoniem te draaien.

Ten derde: stel baseline Conditional Access-beleid in voor agent-identiteiten. Vergelijkbaar met hoe u basisbescherming inricht voor gebruikers, definieert u voor agents vanuit welke netwerken ze mogen opereren, welke resources ze mogen benaderen en onder welke omstandigheden hun toegang wordt geblokkeerd.

Ten vierde: controleer uw licentiesituatie. De nieuwe Conditional Access- en Identity Protection-serviceplannen voor agents vallen onder M365 E7 of M365 E5 gecombineerd met een Agent 365-licentie. Heeft u een E3-omgeving, dan is dit het moment om de licentie-roadmap te evalueren in het kader van uw AI-strategie.

Identiteit als fundament van AI-beveiliging

De introductie van Entra Agent ID past in een bredere verschuiving in hoe het beveiligingsmodel rondom AI wordt ingericht. Waar de aanvankelijke focus lag op de beveiliging van de data die agents verwerken, via Purview en DLP-beleid, verschuift de aandacht nu ook naar de identiteit van de agent zelf. Wie of wat is deze agent? Mag hij dit doen? Is zijn gedrag normaal?

Naarmate agents zelfstandiger worden en meer autonome taken uitvoeren binnen Microsoft 365-omgevingen, neemt het belang van identiteitscontrole op agent-niveau toe. Zero Trust-principes, verifieer altijd, geef minimale rechten, ga uit van compromis, gelden nu ook voor de niet-menselijke deelnemers in uw omgeving.

Wilt u een overzicht van welke AI-agents momenteel actief zijn in uw Microsoft 365-omgeving, of hulp bij het inrichten van Conditional Access en governance voor agent-identiteiten? Neem contact op met Zarioh voor een praktisch gesprek over uw AI-beveiligingsstrategie.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen