Microsoft macht aus AutoGen und Semantic Kernel einen einzigen SDK, bringt Agent 365 mit Entra/Intune-Integration, und positioniert Windows als OS-Level-Agent-Runtime. Das ändert, wie Software gebaut wird.
Microsoft Build 2026 ist vorbei, und die zentrale Botschaft ist klar: Shipping AI-Agenten ist keine Spezial-Herausforderung mehr, die Forschungsteams vorbehalten ist, sondern ein erwarteter Teil der Mainstream-Software-Entwicklung. Das ist keine Marketing-Rhetorik. Microsoft hat mit Agent Framework GA, Microsoft Execution Containers (MXC), und Agent 365 SDK die drei fehlenden Infrastruktur-Schichten geliefert, die Agenten von Prototypen zu produktionsreifen Enterprise-Tools machen.
Für Schweizer Entwickler — ob bei Ergon Informatik, Wavaria, oder What Digital — bedeutet das: Der Stack für agentic Apps ist jetzt da. Keine Experimente mehr mit instabilen Open-Source-Frameworks. Keine selbstgebauten Orchestrierungs-Layer. Microsoft bietet einen kommerziell unterstützten, SLA-backed SDK mit Security, Observability und Enterprise-Integration out-of-the-box.
Microsoft Agent Framework (AutoGen + Semantic Kernel verschmolzen) wird GA mit Commercial-Support. Microsoft Execution Containers (MXC) bieten OS-Level-Containment für Agenten (Windows + WSL). Agent 365 SDK integriert Entra, Intune, Defender, Purview (Preview Juli 2026). Foundry Agent Service hostet Agenten in Azure (GA Juli 2026). Rayfin (Open-Source SDK) deployt agent-gebaute Apps auf Fabric. Lokale Ausführung kostenlos, Azure-Hosting consumption-basiert. Policies sind framework-agnostic (LangChain, OpenAI SDK, Anthropic SDK, CrewAI, MCP).
Agent Framework GA: AutoGen + Semantic Kernel werden eins
Die Headline-Developer-Ankündigung bei Build 2026 ist das Production-Release des Microsoft Agent Framework — die formale Verschmelzung von AutoGen und Semantic Kernel in einen einzigen, kommerziell unterstützten SDK für Multi-Agent-Systeme. Das klingt technisch, ist aber fundamental: AutoGen (Microsoft Research) war das beste Open-Source-Framework für Agent-Orchestrierung, aber ohne Enterprise-Support. Semantic Kernel war Microsoft’s offizieller SDK, aber weniger flexibel. Jetzt sind beide eins — mit SLA, Security-Integrationen, und Production-Garantien.
1 SDK
AutoGen + Semantic Kernel
Formal convergence in einen kommerziell unterstützten SDK mit SLA-Garantien.
A2A-Protokoll
Work IQ Agent-to-Agent
Built on IETF-draft A2A protocol, co-developed mit Google — wire-kompatibel mit Copilot Studio.
Free lokal
Pricing-Modell
Lokale Ausführung kostenlos. Azure-hosted AgentRuntime: per-invocation + per tool call.
Was ändert sich konkret für Entwickler? Heute baut ein Entwickler bei Novu oder A4 Agentur eine Multi-Agent-App mit separaten Bibliotheken für Orchestrierung (AutoGen), Prompt-Management (LangChain), Tool-Calling (OpenAI SDK), und State-Management (eigenes Zeugs). Mit Agent Framework GA gibt’s einen SDK, der alle Schichten abdeckt: Agent-Definition, Orchestration, Tool-Registry, Memory, und Inter-Agent-Communication.
AutoGen und Semantic Kernel sind im letzten Jahr in einen einheitlichen Developer-SDK konvergiert, und diese Integration-Story sollte prominent bei Build 2026 gezeigt werden. Und genau das ist passiert: Der SDK ist jetzt production-ready, mit Support für LangChain, OpenAI Agents SDK, Anthropic Agents SDK, AutoGen (legacy), CrewAI, und MCP Tools.
Microsoft Execution Containers (MXC): OS-Level-Sandbox für Agenten
Das fundamentale Sicherheitsproblem bei Agenten: Wie verhindert man, dass autonome Software unkontrolliert Schaden anrichtet? Ein Agent, der E-Mails triagieren soll, könnte versehentlich alle Mails löschen. Ein Agent, der Code schreibt, könnte Produktionsdatenbanken überschreiben. Ein Agent, der Web-Recherche macht, könnte sensible Daten an externe APIs senden.
Microsoft’s Antwort: Microsoft Execution Containers (MXC) — eine cross-platform, policy-driven Execution-Layer für Agenten über Windows und WSL. Entwickler deklarieren, worauf ein Agent zugreifen kann (Files, Networking), und MXC erzwingt diese Grenzen zur Laufzeit.
⚠ DAS IST KEIN DOCKER-CONTAINER
MXC ist fundamental ein SDK und Policy-Modell, eingebettet in Windows und WSL, das ein „composable spectrum of sandboxes" liefert. Das reicht von lightweight process isolation (schon von GitHub Copilot CLI genutzt) bis zu Micro-VMs, Linux-Containern und Full-Cloud-Instanzen auf Windows 365. Jeder Agent ist an eine Identity gebunden (lokal oder Entra-backed), sodass jede Agent-Aktion attributierbar, auditierbar und governable ist.
Warum ist das wichtig für Schweizer Finanz- und Healthcare-Kunden? Weil DSG- und FINMA-Anforderungen vorschreiben, dass jede automatisierte Aktion auditierbar sein muss. Ein Agent ohne Identity ist eine Black Box. Ein Agent mit MXC + Entra ist eine auditierte, policy-governed Entity, bei der IT-Teams nachvollziehen können: Welcher Agent hat wann auf welche Daten zugegriffen, und warum?
Windows 365 for Agents (jetzt GA) ermöglicht es, jeden Agenten in einem vollständig isolierten, policy-governed Cloud-PC laufen zu lassen. Native Windows-Integration mit Agent 365 bietet eine gemeinsame Foundation für Observability, Security und Governance, inklusive eingebauter Intune-Fähigkeiten, um Policies zu setzen, die Agent-Runtime-Execution und Agent-Verhalten kontrollieren.
Agent 365 SDK: Entra, Intune, Defender, Purview — alles eingebettet
Mit der General Availability des Agent 365 SDK können Entwickler Controls direkt in ihre Development-Workflows integrieren und Observability, Access Controls und Compliance-Enforcement in die Art und Weise einbetten, wie Agenten designed und deployed werden. Das ist der Enterprise-Layer auf top von MXC.
Was ist Agent 365 konkret? Eine Version des Agent Framework SDK, die tief in Microsoft’s Enterprise-Security-Stack integriert ist:
- Entra für Identity & Access Management (jeder Agent hat eine Entra-Identity)
- Intune für Device & Agent Management (IT-Teams können Policies zentral deployen)
- Defender für Threat Protection (Agenten werden auf anomalous behaviour gescannt)
- Purview für Data Governance (welche Daten darf ein Agent sehen / modifizieren?)
Agent 365 — eine Version, die tief in Microsoft’s Enterprise-Security-Stack integriert ist — wird im Juli 2026 in Preview gehen und Entra Identity Services, Intune Device Management, Defender Threat Protection und Purview Data Governance auf MXC layern, was zentralisiertes IT-Management der Agent-Isolation ermöglicht.
Für eine Agentur wie Online Marketing AG oder SIA Media, die heute schon Microsoft 365 für Kunden betreiben, heisst das: Agenten sind jetzt First-Class-Citizens im M365-Ökosystem. Ein Agent, der für einen Versicherungs-Kunden automatisch Schadensfälle aus E-Mails extrahiert und in Dynamics 365 einträgt, läuft mit der gleichen Identity-, Permissions- und Audit-Infrastruktur wie ein menschlicher Mitarbeiter.
Ist das nur für Microsoft-Kunden relevant, oder auch für Open-Source-Stacks?
Beides. Der Agent Compliance Shield (ACS) wird als SDK released mit Plugins für LangChain, OpenAI Agents SDK, Anthropic Agents SDK, AutoGen, CrewAI, Semantic Kernel, Microsoft.Extensions.AI, und MCP Tools. Das heisst: Auch wenn du primär mit Claude oder OpenAI arbeitest, kannst du Microsoft’s Policy-Framework nutzen, um Compliance-Rules zu enforcen. Die tiefste Integration gibt’s natürlich in Azure + M365 — aber der SDK ist framework-agnostic.
Was kostet das konkret für eine Schweizer Agentur, die damit arbeiten will?
Lokale Ausführung ist kostenlos. Azure-hosted AgentRuntime, verwaltet via Azure AI Foundry, wird nach Consumption abgerechnet: per-Agent-Invocation + per Tool Call resolved durch die Foundry-Layer. Genaue per-Invocation-Rates wurden am 2. Juni im Keynote angekündigt. Teams mit hohem Volumen sollten das neue AI Credits Billing-Modell (seit 1. Juni 2026) im Auge behalten — das kann bei Production-Workloads schnell teuer werden, wenn nicht vorher kalkuliert.
Was ist Rayfin und warum wird es als Supabase-Competitor positioniert?
Rayfin ist ein Open-Source-SDK und CLI, das agent-gebaute Applikationen direkt auf die Fabric-Platform als governed production backends deployed. Das Problem, das Rayfin löst: Wenn Agenten selbst Apps generieren (z. B. ein Dashboard, eine API, ein Report), entstehen normalerweise neue Data-Silos ausserhalb des Governance-Layers. Rayfin deployed die Apps direkt in OneLake (Microsoft’s unified data lake), sodass alle App-Daten in den gleichen Compliance- und Data-Governance-Pipeline fliessen wie manuelle Daten. Das ist der Kern-Differentiator zu Supabase/Neon: Governance by default, nicht als Add-On.
Kann ich das heute schon nutzen, oder ist alles nur Preview/Vaporware?
Jetzt verfügbar: Agent Framework SDK (GA), MXC SDK (early preview), Windows 365 for Agents (GA), Foundry Toolkit for VS Code (GA). Preview Juli 2026: Agent 365 (mit Entra/Intune/Defender/Purview), Foundry Agent Service (hosted agents). Pricing live seit 1. Juni: AI Credits Billing-Modell für Azure AI Foundry. Du kannst also heute schon lokal entwickeln (kostenlos), und ab Juli in Production auf Azure hosten.
Foundry Agent Service: Hosted Agents mit State, Filesystem, Framework-Flexibilität
Build 2026 fügt mehr der Platform-Pieces hinzu, die Entwickler brauchen, um Agenten von Prototypen zu Production zu bringen: Hosted Agents im Foundry Agent Service, expected GA bis Anfang Juli 2026, bieten eine managed Runtime. Das heisst: Du musst keine eigene Infrastruktur für Agent-Hosting bauen. Microsoft übernimmt Sandboxing, Session-State, Filesystem-Access, und Framework-Flexibilität.
Was bedeutet das konkret? Ein Entwickler bei Pixelium oder Frei Webdesign kann einen Agenten bauen (z. B. „automatische SEO-Audits für KMU-Websites”), lokal testen, und dann mit einem CLI-Command nach Azure Foundry deployen — ohne eigene Server, ohne Kubernetes, ohne Observability-Setup. Microsoft übernimmt Monitoring, Scaling, und Security.
Mit Publishing zu Microsoft Teams und Microsoft 365 Copilot, planned GA Juni 2026, kann jeder Foundry-Agent direkt in die Tools deployed werden, die Mitarbeiter bereits nutzen — mit Identity, Permissions und Policy, die automatisch durchfliessen. Das ist der Game-Changer für Enterprise-Adoption: Ein Agent ist kein separates Tool mehr, das Nutzer lernen müssen — er ist einfach da, in Teams oder Outlook, und reagiert auf natürlichsprachliche Anfragen.
ASSERT & Agent Compliance Shield: Testing + Policies für Agenten
Microsoft hat zwei neue Tools für Agent-Testing und Policy-Enforcement vorgestellt:
-
ASSERT (Adaptive Spec-driven Scoring for Evaluation and Regression Testing): Ein Open-Source-Framework, das AI nutzt, um high-level natural-language Beschreibungen von Goals, Policies oder Expected Behaviors in strukturierte Scoring-Tests zu übersetzen. Du schreibst: „Dieser Agent darf niemals persönliche Daten an externe APIs senden” — ASSERT generiert automatisch Test-Cases, die das verifizieren.
-
Agent Compliance Shield (ACS): Development-, Compliance- und Security-Teams definieren Policy-Files, die spezifizieren: was Agenten tun dürfen, was sie niemals tun dürfen, wann Human-Approval nötig ist, und welche Evidence für Audits geloggt werden muss. Policies sind in einzelnen Files definiert, die mit Agenten gebundelt werden und seamless über Frameworks und Umgebungen reisen können.
Für Schweizer Finanz- und Healthcare-Kunden ist ACS kritisch: DSG und FINMA schreiben vor, dass automatisierte Entscheidungen auditierbar sein müssen. Ein Agent ohne Policy-File ist Compliance-technisch ein Desaster. Ein Agent mit ACS + Entra + Purview ist eine governable, auditierte Entity.
Was bedeutet das für Schweizer Entwickler konkret?
Drei Take-Aways:
-
Der Stack ist jetzt production-ready. Keine Experimente mehr mit selbstgebauten Orchestrierungs-Layern. Microsoft liefert Agent Framework (GA), MXC (preview), Agent 365 (preview Juli), und Foundry Agent Service (GA Juli) — alles mit SLA, Support, und Enterprise-Security.
-
Agentic Apps werden Standard. Shipping AI-Agenten ist jetzt ein erwarteter Teil der Mainstream-Software-Entwicklung. Kunden werden nicht mehr fragen „Könnt ihr einen Chatbot bauen?” sondern „Könnt ihr einen Agenten bauen, der unsere Supply-Chain automatisch optimiert?” Agenturen, die das nicht können, verlieren Aufträge.
-
Policy-first Design wird Pflicht. Ein Agent ohne Compliance-Layer ist für Enterprise-Kunden unverkaufbar. Agenturen wie Uovo, Rekos Agency, oder Hitsch Design, die heute schon B2B-Software bauen, müssen lernen: Policy-Files sind der neue Contract. Kunden wollen nicht nur funktionale Specs, sondern auch Governance-Specs: Was darf der Agent? Was darf er niemals? Wann braucht er Human-Approval?
Quellen & Methodik
Artikel basiert auf öffentlich zugänglichen Microsoft Build 2026 Quellen (2.–3. Juni 2026):
- Agent Framework: TechRadar Build Preview, DEV Community Build Recap
- MXC & Agent 365: Windows Developer Blog, Microsoft Security Blog
- Foundry Agent Service: Microsoft Foundry Blog
- ASSERT & ACS: TechFlow detailed analysis
Stand: 3. Juni 2026, 10:00 UTC.