Microsoft Agent Framework 1.0: Architektur-Leitfaden
Enterprise-Architektur-Leitfaden zu Microsoft Agent Framework 1.0 und Azure AI Foundry — A2A, MCP, Observability, Sicherheit und Kostensteuerung für produktive Agenten.
Agentische KI verbrachte das Jahr 2025 überwiegend in der Demo-Phase. Beeindruckende Notebooks, überzeugende Konferenz-Keynotes — und sehr wenige Systeme, die ein CISO für den Produktivbetrieb freigeben würde. Mit der allgemeinen Verfügbarkeit von Microsoft Agent Framework 1.0 am 3. April 2026 hat sich dieses Gespräch verändert. Das Framework ist quelloffen, unterstützt und für .NET und Python gebaut — und es führt die zersplitterte Linie von Semantic Kernel und AutoGen in einer Codebasis zusammen, auf die ein Unternehmen tatsächlich standardisieren kann.
Dies ist ein Architektur-Leitfaden für jene, die diese Entscheidung treffen müssen: CTOs, CISOs und Enterprise-Architekten, die verstehen müssen, wie die Teile zusammenpassen, wo die Risiken liegen und was nötig ist, um Agenten produktiv statt im Sandkasten zu betreiben.
Das Wichtigste in Kürze
- Microsoft Agent Framework 1.0 (GA 3. Apr. 2026) ist der produktionsreife, quelloffene Nachfolger von Semantic Kernel und AutoGen, für .NET und Python, mit integriertem A2A und MCP.
- Azure AI Foundry ist die Steuerungsebene: Modell-Hosting, Identität, Tracing, Evaluierung, Inhaltssicherheit und Kostensteuerung für Enterprise-KI-Agenten.
- Der prägende Wandel 2026 ist der Schritt vom Pilot zur Produktion — Zuverlässigkeit, Observability, Sicherheit, Evaluierung und Kostenkontrolle, nicht die reine Modellleistung.
- Verstehen Sie MCP als die Art, wie ein Agent zu seinen Fähigkeiten kommt, und A2A als die Art, wie Agenten zusammenarbeiten; gestalten Sie beides bewusst.
- Für europäische Unternehmen gilt: Bilden Sie die Autonomie von Agenten von Tag eins auf die Pflichten aus EU AI Act, NIS2 und DORA ab — Governance ist eine Architekturfrage, kein nachgelagerter Papierkram.
Warum 1.0 für das Unternehmen zählt
Die Zahl, die den Moment einordnet: Über 160.000 Organisationen haben bereits mehr als 400.000 individuelle Agenten auf Copilot Studio bereitgestellt. Adoption ist nicht mehr die Frage. Beständigkeit ist es. Der ehrliche Engpass war für die meisten Unternehmen nie „Können wir einen Agenten bauen?" — sondern „Können wir diesem Agenten vor einem Kunden, einer Aufsichtsbehörde oder einer produktiven Datenbank vertrauen?"
Microsoft Agent Framework 1.0 setzt an drei Stellen an. Erstens ist es ein unterstütztes Framework statt konkurrierender experimenteller Bibliotheken — entscheidend, wenn Sie ein Plattformteam und eine Fünfjahres-Roadmap binden. Zweitens standardisiert es die Interoperabilität von Agenten über A2A und MCP, statt jedes Team eigenen Klebstoff erfinden zu lassen. Drittens ist es darauf ausgelegt, über Azure AI Foundry beobachtbar und steuerbar zu sein — und dort liegt die eigentliche Produktivgeschichte.
Die Architektur, Schicht für Schicht
Es hilft, Framework und Plattform zu trennen. Das Framework ist das SDK, mit dem Sie Code schreiben. Azure AI Foundry ist die Plattform, auf der Sie bereitstellen, steuern und beobachten. Beides zu vermengen ist der häufigste Architekturfehler, den wir bei frühen Anwendern sehen.
| Schicht | Verantwortung | Bereitgestellt durch |
|---|---|---|
| Orchestrierung | Agentendefinitionen, Workflows, Planung, Werkzeugaufrufe | Microsoft Agent Framework (.NET / Python) |
| Fähigkeiten | Anbindung von Agenten an Werkzeuge, Daten und Kontext | MCP-Server |
| Zusammenarbeit | Auffinden und Delegieren über Grenzen hinweg | A2A-Protokoll |
| Laufzeit & Modelle | Modell-Hosting, Skalierung, Identität | Azure AI Foundry |
| Governance | Tracing, Evaluierung, Inhaltssicherheit, Kostenkontrolle | Azure AI Foundry |
Orchestrierung: das Framework selbst
Hier definieren Sie Agenten, ihre Anweisungen, die Werkzeuge, die sie aufrufen dürfen, und wie ein Workflow zwischen ihnen vermittelt. Das Framework übernimmt die unscheinbare, aber essenzielle Mechanik: Function Calling, strukturierte Ausgaben, Konversationszustand und mehrstufige Planung. Da es .NET und Python nativ unterstützt, müssen Sie keine polyglotte Architektur erzwingen, um Data-Science- und Plattformteam zugleich zu bedienen — ein echter Vorteil in gemischten Unternehmenslandschaften.
Fähigkeiten: Model Context Protocol
MCP ist die Art, wie ein Agent die Außenwelt erreicht — eine Datenbank, ein Ticketsystem, eine interne API, ein Dokumentenspeicher. Ein gut entworfener MCP-Server ist ebenso sehr Sicherheitsgrenze wie Integration: Er entscheidet genau, was ein Agent lesen und tun darf. Macht man das falsch, hat man einem probabilistischen System ungescopten Zugriff auf die Produktion gegeben. Wir behandeln dies ausführlich in unserem Leitfaden zum Enterprise-MCP-Server-Design; die Kernregel lautet: Jedes Werkzeug nach dem Least-Privilege-Prinzip einschränken und den MCP-Server als Teil Ihrer Angriffsfläche behandeln.
Zusammenarbeit: das A2A-Protokoll
A2A ist das Protokoll, mit dem ein Agent einen anderen findet und an ihn delegiert — über Prozesse, Teams und sogar Organisationen hinweg. Ein Planer-Agent delegiert Recherche an einen Spezialisten; ein Beschaffungs-Agent verhandelt mit dem Agenten eines Lieferanten. Die spannenden Architekturentscheidungen drehen sich um Vertrauen, Identität und Vertrag: Woher weiß Agent A, dass Agent B der ist, der er zu sein vorgibt, und wo verläuft die abgegrenzte Schnittstelle zwischen beiden? Die wiederkehrenden Entwürfe erläutern wir in unserem Beitrag zu den A2A-Protokollmustern.
Vom Pilot zur Produktion: der Teil, den niemand demonstriert
Das ist der Kern der Geschichte 2026 — und wo der Großteil der Ingenieursarbeit tatsächlich anfällt. Ein Demo-Agent ruft ein Modell auf und gibt ein Ergebnis aus. Ein produktiver Agent muss zuverlässig, beobachtbar, sicher, evaluierbar und bezahlbar sein. Diese Checkliste arbeiten wir mit Kunden durch:
- Observability und Tracing. Jeder Agentenaufruf, jeder Werkzeugaufruf und jede Delegation muss einen verteilten Trace erzeugen. Wenn ein Agent in der Produktion eine falsche Antwort liefert, müssen Sie die vollständige Argumentations- und Werkzeugkette sehen, nicht raten. Foundrys Tracing plus OpenTelemetry ist die Grundlage — siehe unsere ausführliche Betrachtung zu Observability und Tracing für KI-Agenten.
- Evaluierung. Agenten degradieren still, wenn sich eine Modellversion oder ein Prompt ändert. Sie brauchen automatisierte Evaluierungssuiten — Faktentreue, Aufgabenerfolg, Sicherheit — in der CI, nicht Bauchgefühl vor jedem Release.
- Sicherheit und Identität. Jeder Werkzeugaufruf sollte eine eingeschränkte Identität tragen. Verwenden Sie verwaltete Identitäten, niemals langlebige Geheimnisse, und wenden Sie Least Privilege auf der MCP-Schicht an. Ein Agent mit weitreichenden Berechtigungen ist ein Confused-Deputy-Problem im Wartezustand.
- Kostensteuerung. Token-Verbrauch ist ein produktiver Kostenposten, und agentische Schleifen können ihn dramatisch verstärken. Setzen Sie Budgets je Agent, begrenzen Sie Argumentationsschleifen, cachen Sie konsequent und leiten Sie auf günstigere Modelle, wo die Qualität es zulässt.
- Zuverlässigkeitstechnik. Retries mit Backoff, Timeouts, Idempotenzschlüssel und Human-in-the-Loop-Freigaben für folgenreiche Aktionen. Behandeln Sie den Agenten wie jede andere Komponente eines verteilten Systems, denn genau das ist er.
In einem aktuellen Projekt haben wir den vielversprechenden Support-Triage-Prototyp eines Kunden — der im Notebook wunderbar lief — produktiv gehärtet, und diese Härtung machte rund 80 % des Gesamtaufwands aus. Das Modell war nie der Engpass. Tracing, Evaluierungs-Gates, Identitäts-Scoping und eine harte Obergrenze für autonome Werkzeugaufrufe waren es.
Governance für europäische Unternehmen
Für unsere Kunden ist die Framework-Diskussion untrennbar mit der regulatorischen verbunden. Ein autonomer Agent, der folgenreiche Entscheidungen trifft, ist kein neutrales technisches Artefakt — er fällt mitten in den EU AI Act und, je nach Branche, auch unter NIS2 und DORA.
- EU AI Act. Beeinflusst Ihr Agent Entscheidungen über Menschen — Kredit, Einstellung, Zugang zu Dienstleistungen — befinden Sie sich wahrscheinlich im Hochrisikobereich. Damit verbunden sind Pflichten zu Risikomanagementmaßnahmen, technischer Dokumentation, menschlicher Aufsicht und Nachweisen zur Konformitätsbewertung. Gestalten Sie den Agenten so, dass diese Entscheidungen von Anfang an protokolliert und erklärbar sind.
- NIS2. Agenten, die auf kritische Systeme einwirken können, vergrößern Ihre Angriffsfläche und fallen unter Ihre Risikomanagement- und Meldepflichten. Die Geschäftsleitung trägt hier die Verantwortung.
- DORA. Für Finanzunternehmen ist ein Agent, der MCP-Server Dritter aufruft, Teil Ihres IKT-Drittparteienrisikos und Ihrer Lieferkette — er muss inventarisiert und vertraglich geregelt werden.
Der praktische Rat: Bauen Sie den Audit-Trail und die Aufsichts-Gates als Architektur, nicht als nachträgliche Compliance-Beilage. Governance einem autonomen System nachträglich überzustülpen ist weit schwerer, als sie von Beginn an einzuplanen.
Ein pragmatischer Einführungspfad
Sie brauchen kein Mondlandeprojekt. Die Reihenfolge, die wir empfehlen:
- Wählen Sie einen abgegrenzten, internen Anwendungsfall mit klarer Erfolgsmetrik und geringem Schadensradius — interne Wissenssuche, Ticket-Triage, Dokumentenentwürfe.
- Bauen Sie ihn auf dem Framework, zunächst lokal, mit von Anfang an verdrahtetem Tracing.
- Beschränken Sie jedes Werkzeug über MCP nach Least Privilege und ergänzen Sie Evaluierungssuiten, bevor jemand anderes daran arbeitet.
- Setzen Sie auf Azure AI Foundry produktiv, mit Kostenbudgets und aktivierter Inhaltssicherheit.
- Erst dann führen Sie A2A ein, damit Ihr bewährter Agent mit anderen zusammenarbeiten kann. Die Komplexität mehrerer Agenten ist die Belohnung dafür, die Zuverlässigkeit eines einzelnen Agenten richtig gemacht zu haben — kein Ausgangspunkt.
Das Fazit
Microsoft Agent Framework 1.0 ist das erste Mal, dass sich die Agentengeschichte auf Azure wie eine Engineering-Plattform anfühlt und nicht wie ein Forschungs-Preview. Das Framework liefert ein unterstütztes, quelloffenes Fundament; Azure AI Foundry liefert die Governance und Observability für den sicheren Betrieb; A2A und MCP liefern Interoperabilität, die nicht jedes Team in maßgeschneiderte Verkabelung zwingt. Die verbleibende Arbeit — Zuverlässigkeit, Evaluierung, Sicherheit, Kosten, Compliance — ist echtes Engineering, und genau diese Arbeit verwandelt ein beeindruckendes Pilotprojekt in ein System, auf das sich ein reguliertes europäisches Unternehmen verlassen kann.
Wenn Sie abwägen, wie Sie Agenten verantwortungsvoll in die Produktion bringen, hat unser Team genau diese Härtungs- und Governance-Arbeit bereits geliefert. Werfen Sie einen Blick auf unsere Leistungen rund um KI- und Datenplattform-Engineering — wir tauschen uns gern aus.
FAQ
Was ist Microsoft Agent Framework 1.0?
Microsoft Agent Framework 1.0 ist ein produktionsreifes, quelloffenes Framework für den Bau von KI-Agenten in .NET und Python. Es erreichte am 3. April 2026 die allgemeine Verfügbarkeit (GA) und führt die Erfahrungen aus Semantic Kernel und AutoGen in einer unterstützten Codebasis zusammen. Es liefert das Agent-to-Agent-Protokoll (A2A) und die Model-Context-Protocol-Integration (MCP) und arbeitet mit Azure AI Foundry für Bereitstellung, Governance und Observability zusammen.
Wie verhält sich das Microsoft Agent Framework zu Azure AI Foundry?
Das Framework ist das SDK, mit dem Sie Agenten programmieren; Azure AI Foundry ist die Plattform, auf der Sie diese bereitstellen, steuern und beobachten. Foundry liefert Modell-Hosting, Identitätsintegration, Tracing, Evaluierung und Kostenkontrolle. Sie können Agenten lokal entwickeln und denselben Code ohne Umschreiben der Orchestrierungslogik in Foundry produktiv setzen.
Was ist der Unterschied zwischen A2A und MCP?
MCP (Model Context Protocol) standardisiert, wie ein Agent sich mit Werkzeugen, Datenquellen und Kontext verbindet — es ist die Integrationsschicht zwischen einem Agenten und den Systemen, auf die er einwirkt. A2A (Agent-to-Agent) standardisiert, wie Agenten sich gegenseitig finden und über Prozess- und Organisationsgrenzen hinweg delegieren. Praktisch verleiht MCP einem Agenten seine Fähigkeiten, während A2A die Zusammenarbeit mehrerer spezialisierter Agenten ermöglicht.
Ist das Microsoft Agent Framework produktionsreif für regulierte europäische Unternehmen?
Das 1.0-GA-Release ist ausdrücklich für den Produktivbetrieb positioniert, und Azure AI Foundry liefert die Kontrollen, die regulierte Organisationen benötigen: Audit-Protokollierung, Evaluierung, Inhaltssicherheit und Optionen zur EU-Datenresidenz. Die Compliance-Arbeit verbleibt bei Ihnen — das Abbilden von Agentenentscheidungen auf die Pflichten des EU AI Act, das Dokumentieren von Risikomanagementmaßnahmen und das Vorhalten von Nachweisen zur Konformitätsbewertung. Das Framework macht dies erreichbar, nicht automatisch.
Sollten wir bestehende Semantic-Kernel- oder AutoGen-Agenten migrieren?
Das Microsoft Agent Framework ist der konsolidierte Nachfolger beider, daher sollten neue Vorhaben hier beginnen. Bestehende Systeme migrieren Sie, wenn Sie die einheitliche A2A- und MCP-Unterstützung, die unterstützte GA-Codebasis oder die engere Foundry-Integration benötigen. Stabile, selten geänderte Agenten können bleiben, wo sie sind; wir migrieren typischerweise opportunistisch statt im Big-Bang.
Was ist nötig, um Agenten-Pilotprojekte in den Produktivbetrieb zu bringen?
Der Wandel 2026 geht von Demos zu verlässlichen Systemen. Das bedeutet Observability und verteiltes Tracing über alle Agentenaufrufe, Evaluierungs-Pipelines, die Regressionen erkennen, Sicherheit und eine Identität nach dem Least-Privilege-Prinzip für jeden Werkzeugaufruf sowie Kostensteuerung für planbaren Token-Verbrauch. Zuverlässigkeitstechnik — Retries, Timeouts, Idempotenz, Human-in-the-Loop-Freigaben — unterscheidet ein Pilotprojekt von einem produktiven Agenten.
Themen