Microsoft Agent 365 erklärt: Was IT-Admins jetzt wissen müssen

15 Min. Lesezeit Von FindSkill Team

Microsoft Agent 365 ist seit 1. Mai allgemein verfügbar. Plain-English-Erklärung für IT-Admins: Was es kann, Lizenzen, DSGVO-Folgen.

Inhaltsverzeichnis

Wenn du IT-Admin in einem Unternehmen mit Microsoft-365-Stack bist, war dein Posteingang am 1. Mai voll. Microsoft Agent 365 ist seit diesem Datum allgemein verfügbar (GA), dein Account Manager hat sich vermutlich schon gemeldet, und die offizielle Microsoft-Dokumentation liest sich wie – nun ja, offizielle Microsoft-Dokumentation. Zwölf Produktseiten, drei SKU-Diagramme und das wiederkehrende Gefühl, dass alle das Wort “Agent” leicht unterschiedlich meinen.

Hier ist die Klartext-Variante. Was Agent 365 wirklich ist, was es nicht ist, was es kostet – und welche Entscheidungen DACH-Unternehmen dieses Quartal treffen müssen, gerade mit Blick auf DSGVO und Mittelstand-Budgets.

Die Definition in einem Satz

Agent 365 ist die Steuerungsebene für KI-Agenten in deinem Tenant – der Ort, an dem du sie siehst, lizenzierst, auditierst und abschaltest. Es ist nicht der Ort, an dem du sie baust. Es ist nicht der Ort, an dem sie laufen.

Das ist das ganze Mentalmodell. Wer diese eine Unterscheidung verinnerlicht, versteht den Rest der Dokumentation auch.

Was “Steuerungsebene” konkret heißt

Im deutschen Microsoft-Blog und beim deutschen Fachportal IT-Administrator ist das gut beschrieben. Agent 365 liefert dir vier Dinge, die du vorher so nicht hattest:

  1. Ein Agenten-Verzeichnis. Jeder Agent in deinem Tenant – egal ob in Copilot Studio gebaut, im Microsoft Foundry, von Entwickler:innen im Code oder als Drittanbieterprodukt aus ServiceNow, SAP oder Workday installiert – taucht in einer Liste auf. Mit Identität, Verantwortlichkeit, letztem Lauf, Berechtigungen und Laufzeitkosten.
  2. Entra-Identitäten für Agenten. Jeder Agent bekommt eine echte Identität im Verzeichnis, wie eine Nutzerin oder ein Service Principal. Du vergibst Berechtigungen, scopest sie ein, ziehst sie wieder ein. Die Ära “Der Agent läuft halt unter dem Account von dem, der ihn gebaut hat” ist vorbei.
  3. Purview- und Defender-Durchsetzung. Die DSGVO-Schutzrichtlinien (DLP), die du für Menschen geschrieben hast, gelten jetzt auch für Agenten. Der Agent, der einen Finanzordner lesen will, bekommt die gleiche Schranke wie eine externe Kraft.
  4. Das Admin-Center-Dashboard. Registrierte Agenten, aktive Nutzer:innen, Wachstumstrends, Laufzeitstunden, Risiko-Signale – auf einem Bildschirm. Das ist die “Mir wurde das gerade übergeben und ich muss wissen, was läuft”-Übersicht.

Microsoft Defender zeigt die Agent-Map mit verbundenen KI-Agenten und AWS-Ressourcen Quelle: Microsoft Security Blog – die Defender-Agent-Map visualisiert jeden Agenten im Tenant und welche Cloud-Ressourcen er anfasst

Was es nicht ist: Ein Tool zum Bauen von Agenten. Ein Hosting für Agenten. Ein Natural-Language-Designer. Ein No-Code-Studio. Ein Chat-Interface.

Agent 365 vs. Copilot Studio – der eine Satz

Diese Verwechslung sehe ich in deutschen Microsoft-Foren täglich, also klar:

Copilot Studio ist der Ort, an dem du Agenten baust (und bisher meistens auch betreibst). Agent 365 ist der Ort, an dem du jeden Agenten in deinem Tenant siehst, regulierst und abschaltest – egal wo er gebaut wurde oder läuft.

In Microsofts eigener Formulierung: Copilot Studio ist das Fundament zum Bauen; Agent 365 ist die operative Steuerungsebene für Beobachten, Einschränken und Untersuchen, sobald Agenten in Produktion laufen.

Wer schon mal einen Entra-Tenant verwaltet hat: Agent 365 verhält sich zu Agenten wie Entra ID zu Nutzer:innen. Dass Entra keine Nutzer:innen für dich anlegt, ist kein Mangel – es ist der Punkt. Genauso hier.

Was es kostet

Die Preisgestaltung hat drei Türen:

  • Agent 365 als Standalone – 15 US-Dollar pro Nutzer:in und Monat. Laut Schneider IT Management (deutscher M365-Lizenzspezialist) ist das der sauberste Einstieg, wenn man Governance will, ohne den gesamten Tenant umzulizenzieren.
  • Gebündelt in Microsoft 365 E7 – 99 US-Dollar pro Nutzer:in und Monat. Inkludiert Agent 365 plus alles in E5 plus die neuen “Frontier”-Werkzeuge. Wer schon auf E5 ist (rund 57 US-Dollar), zahlt netto rund 42 US-Dollar extra – davon ist Agent 365 ein Teil.
  • Versteckte Position: Laufzeit kostet extra. Agent 365 reguliert Agenten; es betreibt sie nicht. Die Aktivität deiner Agenten zieht weiterhin aus Copilot Studio Messages, Foundry Consumption oder deinem eigenen Runtime-Budget. Das wird oft übersehen.

Interessanter Punkt für die deutsche Weiterbildung: AB-900 (“Microsoft 365 Certified: Copilot and Agent Administration Fundamentals”) ist die neue Zertifizierung. Sie ist nagelneu, hat aktuell kaum Konkurrenz im Ranking und wird ab Sommer schnell befüllt sein. Wer als Admin früh besteht, ist für die kommenden zwei Jahre in den Suchergebnissen sichtbar – das wiederholt sich nicht.

Standalone 15 USD/User
Nur wer Agenten nutzt, braucht eine Lizenz. Sauberster Einstieg für Piloten und Mittelstand.
E5 + Standalone
Bereits auf E5; Agent 365 nur für die Teilmenge mit Governance-Bedarf. Pragmatischer Mittelweg.
Microsoft 365 E7 (99 USD)
Bündelt Agent 365 + E5 + Frontier. Rechnerisch ab etwa 60 % Agent-Nutzer-Anteil günstiger.
wenige Anteil der Nutzer:innen, die wirklich Agenten anfassen viele

Was du, der Admin, dieses Quartal tatsächlich tun musst

Wenn dein CIO heute ins Büro kommt und sagt “Wir brauchen Agent 365 bis Quartalsende live”, dann ist das hier die echte Liste. Nicht die Marketing-Liste – die Admin-Liste.

Schritt 1: Prüfen, ob du überhaupt Agenten zum Regulieren hast

Mach eine schnelle Inventur. Copilot Studio im Tenant öffnen. Admin-Center → Apps → Agents. Sicherheitswarnungen auf “Agent” durchsuchen. Wenn die Antwort lautet “drei Agenten, eine Person, keine sensiblen Daten” – Agent 365 vertagen und beim Renewal nochmal anschauen.

Wenn die Antwort lautet “40 Agenten quer durch sechs Abteilungen, und der Vertrieb fragt nach einem Agent, der SharePoint anzapft” – brauchst du Agent 365 schon gestern.

Schritt 2: Lizenztür wählen

  • Weniger als ~30 % deiner Nutzer:innen interagieren mit Agenten: Standalone 15 US-Dollar nur für genau diese Nutzer:innen. Günstiger.
  • Großteil der Organisation nutzt Agenten und ist auf E5: E7 rechnen lassen. Die Bündel-Mathematik wird ab etwa 60 % Agent-Nutzer-Anteil interessant.
  • Auf E3 und kein E5 geplant: Standalone ist der einzig sinnvolle Weg. Lass dich nicht in E7 hineinverkaufen, wenn die E5-Features nicht ohnehin auf deiner Roadmap stehen.

Schritt 3: Verzeichnis verkabeln

Microsoft 365 Admin Center: Registry-Sync mit Amazon Bedrock und vier synchronisierten KI-Agenten Quelle: Microsoft Security Blog – Registry Sync mit AWS Bedrock ist in Public Preview

Nach Lizenzierung wird das Verzeichnis nicht automatisch mit Drittanbieter-Agenten befüllt. Du verbindest Plattform für Plattform – AWS Bedrock, Google Cloud, ServiceNow, SAP, Workday. Der Registry Sync ist für AWS und Google Cloud aktuell in Public Preview; den Rest inventarisierst du manuell.

Schritt 4: Drei Leitplanken einrichten

  • Eine Purview-DLP-Richtlinie, die für Agenten genauso gilt wie für Menschen (die meisten DACH-Unternehmen mit bestehender DSGVO-konformer DLP kopieren die existierende Richtlinie und scopen sie auf Agent-Identitäten).
  • Eine Entra-Conditional-Access-Richtlinie für Agenten – die häufigste: Agenten laufen nicht außerhalb der Geschäftszeiten, dürfen bestimmte sensible Standorte nicht erreichen, nutzen ausschließlich Managed Identities.
  • Eine Defender-for-Cloud-Apps-Richtlinie für Laufzeit-Alarme – “Meldung, wenn ein Agent plötzlich die zehnfache Laufzeit zeigt” ist die kanonische.

Schritt 5: Notausschalter-Runbook schreiben

Das hier schreibt niemand, bis es zu spät ist. Schreib das Runbook jetzt: Wer hat um 2:00 Uhr morgens das Recht, einen Agenten zu deaktivieren, was ist der Befehl (ein Toggle im Admin-Center, aber neue Admins kennen ihn nicht), welche Benachrichtigungen gehen raus, wenn jemand abgeschaltet wird. Inklusive Rollback, falls es ein Fehlalarm war.

Was die Daten dazu sagen, warum Agent 365 gerade jetzt kommt

Microsoft veröffentlicht keine Tenant-Zahlen, aber die umgebenden Zahlen erklären die Eile:

  • 42 Prozent der Großunternehmen hatten bis September 2025 KI-Agenten produktiv im Einsatz, gegenüber 11 Prozent zwei Quartale davor – KPMG Enterprise-AI-Umfrage. 76 Prozent der Führungskräfte erwarten, dass Mitarbeitende in zwei bis drei Jahren aktiv Agenten managen, und 78 Prozent sehen die Cybersicherheit der Agenten bereits als Risiko. Diese Nachfragekurve verkauft Microsoft jetzt.
  • Gartner prognostiziert AI-Governance-Ausgaben von 492 Millionen US-Dollar für 2026, wachsend auf über 1 Milliarde bis 2030 – 36 Prozent CAGR bis 2033. Agent 365 sitzt mitten in dieser Kategorie. Der Gesamtmarkt für KI-Agenten erreicht 2026 voraussichtlich 10,9 bis 12,06 Milliarden US-Dollar bei 44–46 Prozent CAGR.
  • Gartners deutliche Warnung: Mehr als 40 Prozent der Agenten-KI-Projekte sind bis 2027 abbruchgefährdet wegen Governance- und ROI-Lücken. Genau diese Zahl macht Agent 365 vom “Nice-to-have” zum “Wir müssen das vor dem Lenkungsausschuss vorzeigen können”.

Die Stolperfallen, die unabhängige Analysten markieren – Microsoft aber nicht

  • Die “Microsoft Agent 365 Frontier”-Lizenzfalle. Ein Microsoft-Q&A-Thread dokumentiert das kanonische Symptom der ersten Woche: Ein Agent erscheint in Teams, aber neue Nutzer:innen können ihn nicht hinzufügen oder verwenden. Ursache: Die Frontier-Lizenz ist nicht tenant-weit aktiviert oder pro Nutzer:in nicht richtig zugewiesen. Tenant-Service-Aktivierung, Per-User-Lizenzierung und App-Berechtigungsrichtlinien müssen vor dem Rollout korrekt sitzen – nicht danach.
  • Der Browser-Blindfleck ist real. Browser-Security-Anbieter LayerX hat gemessen: 71,6 Prozent des Enterprise-Zugriffs auf GenAI-Tools laufen über nicht-betriebliche Konten, und 77 Prozent der Mitarbeitenden fügen Daten in GenAI-Prompts ein – die Hälfte davon enthält Unternehmensdaten. Agent 365 reguliert Identitäten und Endpoints; es sieht nicht, was ein:e Mitarbeiter:in in eine persönliche ChatGPT-Session im Browser einfügt. Behandel es als Ergänzung zu einer Browser-DLP-Schicht, nicht als Ersatz – das hat DSGVO-Relevanz.
  • Das Bedrohungsmodell von Agent 365 dreht sich um Verhalten, nicht um Bugs in der Steuerungsebene. Bisher keine öffentlichen CVE-Disclosures direkt gegen Agent 365. Die relevante Sicherheitsforschung betrifft Nachbarklassen – Aim Securitys EchoLeak Zero-Click-Angriff auf Copilot (Juni 2025), bei dem eine präparierte E-Mail sensible M365-Daten ziehen und exfiltrieren konnte, sowie das wiederkehrende Muster überprivilegierter Copilot-Studio-Agenten mit eingebetteten Credentials. Defender-Baselines fangen Teile davon ab; Konfigurationshygiene bleibt deine Aufgabe.
  • Aktuelle Entra-Agent-ID-Schwachstelle. Ein Microsoft-Sicherheitsexperte hat auf LinkedIn ein Entra-Agent-ID-Problem offengelegt, das kurz nach dem AI-Tour-Event – auf dem Agent 365 stark beworben wurde – gepatcht wurde. Details sind dünn, aber das Signal: Die Identitätsschicht unter Agent 365 zieht bereits gezielte Red-Team-Forschung.

Was es nicht kann (die ehrlichen Grenzen)

  1. Es macht aus einem schlecht gebauten Agenten keinen guten. Ein registrierter, regulierter Agent, der Preisdaten halluziniert, halluziniert weiter Preisdaten. Agent 365 protokolliert es; die Korrektur passiert in Copilot Studio oder Foundry.
  2. Der Registry Sync ist Stückwerk. AWS Bedrock und Google Cloud sind Public Preview. Lifecycle-Aktionen (Start/Stop/Delete) über diese Clouds hinweg sind “demnächst”. Wenn deine Agenten komplett außerhalb von Azure leben, sinkt der Nutzen von Agent 365 in der ersten Jahreshälfte deutlich.
  3. Es enthält nicht den Researcher Agent, der Claude verwendet. Dieses Feature, in Microsoft-Learn-Seiten ab 4. Mai angedeutet, ist eine separate Copilot-Funktion. Anthropic-Modelle laufen also nicht innerhalb der Agent-365-Governance-Dashboards.
  4. Bei laufzeitintensiven Tenants wird die Rechnung schnell unübersichtlich. 15 US-Dollar pro Nutzer:in ist die Untergrenze. Wer mit 5000 Nutzer:innen rund um die Uhr Agenten in vielen Konnektoren laufen lässt, zahlt zusätzlich die Foundry- oder Copilot-Studio-Laufzeit. Das ist die Position, die viele DACH-Mittelständler bei der Verhandlung übersehen.
  5. Es setzt voraus, dass Entra, Purview und Defender korrekt konfiguriert sind. Wer 365 nur als E-Mail-Plattform betreibt, sieht das Dashboard – aber die Enforcement-Ebene darunter ist nicht da. Dann ist Agent 365 eine teure Bildanzeige.

Was das für dich heißt

Wenn du IT-Admin im Mittelstand bist (200–2 000 Mitarbeitende): Agent 365 als Standalone ist meistens der richtige Einstieg. Pilot mit der Abteilung, die bereits Agenten baut, bevor du tenant-weit ausrollst. DSGVO-Konformität bekommst du nur, wenn Purview-DLP schon sauber konfiguriert ist – das ist die unsichtbare Voraussetzung.

Wenn du im Konzernumfeld auf E5 bist: Die E7-Rechnung lohnt dieses Quartal. Bundle-Rabatte sind klein; der eigentliche Wert von E7 liegt in der Lifecycle-Vereinfachung (eine SKU statt drei).

Wenn du Microsoft-Partner oder IT-Beratung bist: Es gibt gerade einen echten First-Mover-Vorteil bei “Agent-365-Implementation-Pakete”. Der deutsche Markt sucht nach “Agent 365 Anleitung” – und außer Microsoft Learn ist da fast nichts. Bis Q3 wird der Platz weg sein.

Wenn du als Admin die AB-900 anstrebst: Jetzt anfangen. Die Prüfung ist neu, die Vorbereitungslandschaft leer, und wer vor September besteht, ist im DACH-Markt für längere Zeit der/die Ansprechpartner:in.

Wenn du in einer kleinen Firma sitzt (<100 Plätze): Dieses Quartal aussetzen. Der Governance-Overhead übersteigt das Agentenrisiko bei dieser Tenant-Größe – und die Integrationskosten lohnen sich erst, wenn mindestens ein Dutzend Agenten zu hüten ist.

Fazit

Agent 365 ist das, was jede IT-Abteilung sich gewünscht hat – an dem Tag, an dem der erste Copilot-Agent ohne offizielle Freigabe im Tenant auftauchte. Es ist nicht der Agent selbst. Es ist die Schicht zwischen dir und dem Chaos, dass dein Tenant plötzlich 17 Agenten mit unklarer Verantwortung und schwammigen Berechtigungen hat.

Wer noch nicht im 17-Agenten-Chaos angekommen ist, braucht es nicht. Wer bereits dort steht, hätte es letztes Jahr gebraucht.

Für IT-Verantwortliche, die einen klaren Rahmen für Copilot- und Agenten-Rollouts im Unternehmen wollen, geht unser Kurs KI-Compliance im Unternehmen durch die Governance-Muster, an denen die meisten Teams stolpern – die Schritte, die schon vor dem Agent-365-Dashboard kommen.

Quellen

Echte KI-Skills aufbauen

Schritt-für-Schritt-Kurse mit Quizzes und Zertifikaten für den Lebenslauf