Microsoft Ignite 2025: Agent 365, die IQ-Familie und ein Betriebshandbuch für die Frontier Firm

18.–21. November 2025, Moscone Center, San Francisco (hybrid). Es war die erste Ignite in San Francisco statt in Chicago oder Seattle – und die erste in jüngerer Erinnerung, auf der Satya Nadella nicht die Eröffnungs-Keynote hielt. Diese Aufgabe übernahm Judson Althoff, der neue CEO von Microsofts Commercial Business, und sein Framing gab den Ton der ganzen Woche vor: Hört auf, KI-Features an eure bestehende Arbeitsweise zu schrauben, und beginnt, die Organisation um Agenten herum neu zu bauen. Das Ergebnis nannte er eine „Frontier Firm". Microsoft spricht von über 20.000 Menschen im Gebäude und mehr als 200.000 online – und zum ersten Mal drehte sich fast keine der Schlagzeilen-Ankündigungen um ein Modell. Es ging darum, wie man betreibt, was die Modelle möglich machen.

Wir verfolgen Ignite anders als Build. Auf der Build erfahren wir, womit wir nächstes Jahr bauen werden. Auf der Ignite erfahren wir, was wir betreiben werden – die Realität aus Governance, Identität, Sicherheit und Lizenzierung, die in jedem Kunden-Tenant landet, den wir betreuen. Und auf dieser Achse war Ignite 2025 eine der folgenreichsten seit Jahren, denn Microsoft hörte endlich auf, Agenten als Demo zu behandeln, und begann, die unglamouröse Maschinerie auszuliefern, die man braucht, um Tausende von ihnen in ein echtes Unternehmen zu bringen, ohne den Überblick zu verlieren.

Von „Schaut, was ein Agent kann" zu „Wer hat diesen Agenten autorisiert?"

Vor einem Jahr hatte das Agenten-Thema nur Sonnenseiten. Jeder Kunde wollte wissen, was ein Copilot-Agent automatisieren kann. Ende 2025 hatte sich die Frage, die uns jede IT-Leitung in EMEA tatsächlich stellte, gedreht: Wie viele Agenten laufen bereits in meinem Tenant, die niemand freigegeben hat, an welche Daten kommen sie heran, und wer haftet, wenn einer davon etwas Dummes tut? Der höfliche Name dafür ist Shadow AI, und es ist das Governance-Kopfzerbrechen der Stunde.

Ignite 2025 war Microsofts Antwort darauf – ausgeliefert als Stack, nicht als einzelnes Produkt. Der rote Faden der Woche – und das, was wir für Kunden zuerst umsetzen werden – heißt Agent 365.

Agent 365: eine Control Plane für die Agenten, von denen man nichts wusste

Agent 365 wird als Control Plane für Agenten positioniert – dieselbe Rolle, die das Microsoft-365-Admin-Center für Nutzer und Geräte spielt, nur für die autonome Software, die jetzt in ihrem Auftrag handelt. Es ist über Microsofts Frontier-Early-Access-Programm verfügbar und organisiert sich um fünf Fähigkeiten, die Microsoft immer wieder betonte:

• Eine Registry – eine einzige Quelle der Wahrheit für jeden Agenten der Organisation, ganz gleich ob er in Copilot Studio, Microsoft Foundry, einem Open-Source-Framework gebaut oder von einem Partner gekauft wurde.
• Zugriffssteuerung – jeder Agent wird auf genau die Ressourcen beschränkt, die er für seine Aufgabe braucht, statt die vollen Rechte eines Menschen zu erben.
• Visualisierung – ein Dashboard, das die Verbindungen zwischen Agenten, Menschen und Daten zeigt, mit Echtzeit-Überwachung des Agentenverhaltens.
• Interoperabilität, damit Agenten verschiedener Hersteller zusammenarbeiten.
• Sicherheit, eingewoben über den restlichen Microsoft-Stack.

Der Teil, der das real macht – und der uns am meisten interessiert – ist Identität. Microsoft Entra Agent ID gibt jedem Agenten eine First-Class-Identität in Entra – kein geteilter Service Account, kein API-Schlüssel in einer Config-Datei, sondern eine gesteuerte Identität mit Conditional Access, Lifecycle und Audit. Das ist genau das richtige Primitiv. In dem Moment, in dem ein Agent eine eigene Identität hat, greift jede Entra-Kontrolle, die wir für Menschen ohnehin konfigurieren, auch für ihn: wer er ist, worauf er zugreifen darf, wann dieser Zugriff abläuft, was er getan hat und wann. Wir bringen Kunden seit fünfzehn Jahren bei, dass jeder Akteur eine Identität braucht. Microsoft hat diese Regel gerade auf Software ausgeweitet, die selbst denkt.

Wir sind ehrlich beim Haken, denn die Analysten vor Ort waren es auch: Die Lizenzierung und Preisgestaltung für Agent 365 – und für den neuen, nutzungsbasierten Agent-Factory-Plan, der Copilot-Studio- und Foundry-Verbrauch bündelt – blieben auf der Ignite ehrlich gesagt unklar. Für einen MSP, der einem Kunden eine Zahl nennen muss, ist „verfügbar im Frontier-Programm" keine Preisliste. Das beobachten wir genau, bevor wir jemandem ein Budget zusagen.

Microsoft Foundry und die „IQ"-Familie

Die Plattform, vormals Azure AI Foundry, heißt nun schlicht Microsoft Foundry. Umbenennungen sind meist Rauschen, doch diese signalisiert etwas: Foundry ist nicht länger ein Azure-Feature für ML-Ingenieure, sondern der unternehmensweite Ort, an dem man Agenten baut, steuert und skaliert. Die für uns nützlichste Änderung: Ein in Foundry gebauter Agent lässt sich jetzt mit einem einzigen Klick in Microsoft 365 und den Teams-Chat veröffentlichen – die Lücke zwischen „wir haben einen Agenten prototypisiert" und „er steht vor den Menschen, die ihn brauchen" wurde dramatisch kleiner.

Unter Foundry sitzt ein Model Router, der automatisch ein Modell auswählt – über OpenAI, Anthropic, Llama, Mistral und andere hinweg – auf Basis von Kosten und Leistung, sowie eine neue Foundry Control Plane für Governance. Und dann ist da das Namensthema, auf das Microsoft die ganze Woche setzte: eine Familie von „IQ"-Ebenen, die Agenten echte Verankerung geben sollen statt selbstbewusster Mutmaßungen.

• Work IQ ist die Intelligenz-Ebene für Microsoft 365 – sie verbindet Copilot und eigene Agenten mit Dateien, E-Mails, Meetings und Chats und baut ein Gedächtnis dafür auf, wie eine Person tatsächlich arbeitet. Entscheidend für Entwickler: Work IQ ist nun per API erreichbar, sodass ein von uns geschriebener Agent im echten Arbeitskontext eines Nutzers verankert werden kann, statt jedes Mal bei null zu starten.
• Foundry IQ ist auf Azure AI Search gebaut und wird als die nächste Generation von Retrieval-Augmented Generation angepriesen – eine einzige gesteuerte Wissensbasis, aus der Agenten schöpfen, gestaltet, um Halluzinationen zu reduzieren.
• Fabric IQ erweitert das semantische Modell, das seit Jahren in Power BI lebt, auf die Geschäftsabläufe, sodass ein Agent darüber nachdenken kann, was eure Daten bedeuten – was ein „Kunde" oder eine „Bestellung" in eurem Unternehmen ist – und nicht nur, was in einer Tabelle steht.

Dieses Framing gefällt uns mehr, als wir erwartet hätten. Der schwierige Teil eines nützlichen Enterprise-Agenten war nie das Modell; es war, das Modell in unordentlichen, berechtigungsgesteuerten, echten Unternehmensdaten zu verankern, ohne dass es halluziniert oder leise etwas liest, was es nicht sollte. Die IQ-Ebenen sind Microsofts Versuch, diese Verankerung zur Plattform-Fähigkeit zu machen, statt sie von jedem Integrator von Hand neu bauen zu lassen. Alle drei waren auf der Ignite in der Preview, deshalb sind wir vorsichtig optimistisch, nicht überzeugt – Preview bleibt Preview.

Anthropics Claude landet auf Azure, neben GPT

Die Ankündigung, die uns aufhorchen ließ: Anthropics Claude-Modelle sind nun in Microsoft Foundry verfügbar – konkret Claude Sonnet 4.5, Claude Opus 4.1 und Claude Haiku 4.5. Microsofts Behauptung: Azure sei jetzt die einzige Cloud, die Zugang zu beidem an einem Ort bietet – den Frontier-Claude-Modellen und OpenAIs GPT-Modellen.

Das steht in einem weit größeren, schwindelerregenden Deal, der parallel verkündet wurde: eine Dreier-Vereinbarung zwischen Microsoft, Anthropic und NVIDIA, in der Anthropic sich zu rund 30 Mrd. US-Dollar Azure-Compute verpflichtet, während Microsoft und NVIDIA 5 Mrd. bzw. 10 Mrd. US-Dollar in Anthropic investieren. Die strategischen Abhängigkeiten darin betrachten wir mit klarem Blick – hier sind alle gleichzeitig Konkurrenten und Partner. Aber der praktische Effekt für unsere Kunden ist der entscheidende: Modell-Optionalität auf der Plattform, der sie ohnehin vertrauen. Eine Aufgabe an Claude oder an GPT routen zu können – innerhalb derselben Foundry-Control-Plane, gesteuert von derselben Identitäts- und Compliance-Technik – ist für einen deutschen Mittelständler mehr wert als ein einzelnes Modell, das ein paar Punkte höher auf einem Benchmark liegt. Wir wollten nie die Plattform eines Kunden auf die Roadmap eines einzelnen Labors setzen, und jetzt müssen wir es nicht.

Sicherheit: Copilot-Agenten und eine Lizenzverschiebung, die echtes Geld bewegt

Sicherheit ist auf der Ignite immer der Teil, der in der DACH-Region am härtesten landet, wo das Kaufgespräch mit Compliance beginnt, nicht mit Funktion. Zwei Dinge stachen heraus:

• Security Copilot ist jetzt in Microsoft 365 E5 enthalten – berichtet mit rund 400 Security Compute Units pro 1.000 Nutzer und Monat. Für MSPs, die E5-Tenants in der DACH-Region weiterverkaufen, ist das keine Fußnote, sondern ein Posten, der die Ökonomie eines Angebots verändert. Eine Fähigkeit, die früher eine separate Verbrauchsrechnung war, gehört nun zu einer SKU, die viele unserer Kunden ohnehin kaufen.
• Eine Welle von Security-Copilot-Agenten, eingebettet ins Defender-Portal – Threat Hunting, Threat-Intelligence-Briefing, dynamische Bedrohungserkennung – dazu der Microsoft Sentinel Data Lake in GA und Sentinel Graph mit MCP-Server, damit Agenten über ein Standardprotokoll über Sicherheitsdaten nachdenken können. Und, passend zum Rest der Woche, Defender for AI Agents: Posture-Management und Runtime-Schutz für die Agenten selbst.

Dieser letzte Punkt ist das leise Thema der ganzen Konferenz. Microsoft verbrachte vier Tage damit, allen zu sagen, sie sollten überall Agenten ausrollen – und dieselben vier Tage damit, die Werkzeuge zu bauen, um diese Agenten mit Argusaugen zu beobachten. Das ist die richtige Reihenfolge, und es ist offen gesagt beruhigend, die Sicherheitsgeschichte mit der Fähigkeitsgeschichte ausgeliefert zu sehen statt zwei Jahre dahinter.

Die Infrastruktur unter allem

Die meisten Silizium- und Rechenzentrums-News sind für einen Laden unserer Größe „interessant, aber nicht umsetzbar" – einen Absatz sind sie trotzdem wert, denn sie sind das Fundament für den Rest. Microsoft kündigte Azure Cobalt 200 an, seine hauseigene Arm-CPU der nächsten Generation, mit der Behauptung von rund 50 % mehr Leistung gegenüber der Vorgängergeneration, dazu Netzwerk-Verbesserungen durch Azure Boost. Und es nahm sein zweites Fairwater-Rechenzentrum in Atlanta in Betrieb, das geografisch getrennte Fairwater-Standorte zu dem verknüpft, was Microsoft eine KI-„Superfactory" nennt – verteilte Campusse, über ein dediziertes Netz mit niedriger Latenz verdrahtet, um Frontier-Modelle als ein einziger virtueller Supercomputer zu trainieren. Die Benchmark-Schlagzahlen hier sind Microsofts eigene, deshalb legen wir sie unter „vielversprechend" ab, bis jemand Unabhängiges nachmisst. Aber die Richtung – Microsoft besitzt mehr von seinem eigenen Silizium und Strom – ist dieselbe Optionalitäts-Geschichte, eine Ebene tiefer.

Warum es für uns zählte

Schält man das Spektakel weg, war Ignite 2025 für einen Microsoft-Stack-Laden wie ThreeBIT ein Handbuch für die nächsten zwei Jahre des Betriebs von Kundenumgebungen.

Agent 365 plus Entra Agent ID ändern, wie wir betreiben – nicht nur, was wir bauen. Die Ära, in der jedes Team leise einen Agenten hochfährt und niemand weiß, was autorisiert ist, endet – und sie endet genau an der richtigen Stelle, mit Identität als Kontrollpunkt. Das sind gute Nachrichten für ernsthafte MSPs und schlechte für jeden, der „Agenten-Governance" aus einer Tabelle heraus betreibt. Wir werden die Registry, die Zugriffsbeschränkung und die Entra-Identitäten für unsere Managed-Kunden einrichten – egal, ob sie sich als „Frontier Firm" verstehen oder nicht.

Modell-Optionalität auf Azure schützt die Wetten unserer Kunden. Claude und GPT in einer gesteuerten Control Plane heißt, dass wir die Plattform eines Kunden nicht an die Roadmap eines einzelnen Anbieters binden müssen – derselbe Instinkt, der uns immer zu den offenen, von einer Foundation getragenen Teilen der .NET-Welt gezogen hat.

Die IQ-Ebenen lösen, wenn sie ihr Preview-Versprechen halten, die unglamouröse Hälfte jedes Agenten-Projekts – die Verankerung in echten, berechtigungsgesteuerten Unternehmensdaten, ohne dass das Ding halluziniert oder zu viel teilt.

Und es gibt einen Faden, der direkt dorthin führt, wohin Microsoft die Geschichte ein halbes Jahr später auf der Build 2026 trug: War Ignite 2025 das Jahr, in dem Microsoft die Governance und Identität auslieferte, um Enterprise-Agenten sicher ausrollbar zu machen, so war Build 2026 das Jahr, in dem es das Produktions-Framework lieferte – Agent Framework 1.0 mit erstklassiger .NET-Unterstützung, Sandboxing auf OS-Ebene, Orchestrierung –, um sie tatsächlich im großen Maßstab zu bauen. Ignite gab uns das Betriebshandbuch; Build gab uns das SDK. Zusammen gelesen sind sie dieselbe Botschaft: Die experimentelle Phase der Enterprise-Agenten ist vorbei, und die langweilige, wichtige Phase – gesteuert, identifiziert, auditiert, in Produktion – hat begonnen.

„AI is no longer a tool that helps you work smarter; it's becoming a collaborator in how work gets done." — Satya Nadella, Microsoft Ignite 2025

Wir lassen unsere Kunden entscheiden, ob sie eine Frontier Firm sind oder eine bequeme Nachhut. So oder so werden die Kontrollen eingerichtet sein, bevor sich der erste Agent anmeldet.

Quellen & weiterführende Links

• Microsoft 365 Blog — Microsoft Ignite 2025: Copilot and agents built to power the Frontier Firm: https://www.microsoft.com/en-us/microsoft-365/blog/2025/11/18/microsoft-ignite-2025-copilot-and-agents-built-to-power-the-frontier-firm/
• Microsoft — Ignite 2025 Book of News: https://news.microsoft.com/ignite-2025-book-of-news/
• Microsoft Azure Blog — Introducing Anthropic's Claude models in Microsoft Foundry: https://azure.microsoft.com/en-us/blog/introducing-anthropics-claude-models-in-microsoft-foundry-bringing-frontier-intelligence-to-azure/
• Microsoft Azure Blog — Azure at Microsoft Ignite 2025: all the intelligent cloud news explained: https://azure.microsoft.com/en-us/blog/azure-at-microsoft-ignite-2025-all-the-intelligent-cloud-news-explained/
• Windows Developer Blog — Ignite 2025: Furthering Windows as the premier platform for developers, governed by security: https://blogs.windows.com/windowsdeveloper/2025/11/18/ignite-2025-furthering-windows-as-the-premier-platform-for-developers-governed-by-security/
• Microsoft Source — From Wisconsin to Atlanta: Microsoft connects datacenters to build its first AI superfactory: https://news.microsoft.com/source/features/ai/from-wisconsin-to-atlanta-microsoft-connects-datacenters-to-build-its-first-ai-superfactory/
• Directions on Microsoft — Microsoft Ignite 2025: Ten Things You Need to Know: https://www.directionsonmicrosoft.com/microsoft-ignite-2025-ten-things-you-need-to-know/

Einzelquellen- oder herstellerseitige Angaben – die Cobalt-200-Leistungszahl, die Investitionssummen von Anthropic/NVIDIA und die genaue Lizenzierung von Agent 365 / Agent Factory – sind hier mit angemessener Vorsicht wiedergegeben; die Benchmark- und Preis-Details sind als vorläufig zu behandeln, bis sie unabhängig bestätigt sind.

Bildnachweise

Alle Fotos werden unter ihren jeweiligen Creative-Commons-Lizenzen verwendet; wir danken den Fotografen.

• Moscone Center, San Francisco (2013) — © Another Believer, CC BY-SA 3.0, via Wikimedia Commons (source).
• 1970 Mission Control Apollo 13 — NASA, public domain, via Wikimedia Commons (source).
• Datacenter Server Racks (22370909788) — © Carl Lender from Sunrise, USA, CC BY 2.0, via Wikimedia Commons (source).