Microsoft hat etwas getan, was kein anderer Betriebssystem-Hersteller bisher gewagt hat: das Model Context Protocol direkt in Windows eingebaut. Nicht als Erweiterung eines Drittanbieters, nicht als optionales SDK, sondern als Betriebssystem-Feature mit eigener Registry, eigenem Sicherheitsmodell und eigenem CLI-Tool. Seit dem Insider Preview Build 26220.7344 (Dezember 2025) enthält Windows 11 native MCP-Unterstützung, eine On-Device Agent Registry namens ODR und isolierte Agent Workspaces, in denen KI-Agenten mit eigenen Benutzerkonten arbeiten.
Für Unternehmen im DACH-Raum ist das besonders relevant: Agenten werden über dieselben Werkzeuge verwaltbar, die IT-Abteilungen bereits für Geräte und Benutzer einsetzen. Intune, Group Policy, Entra ID. Die Frage ist nicht mehr, ob KI-Agenten auf Unternehmensgeräten laufen werden, sondern wie die IT-Governance dafür aussieht.
Die On-Device Registry: Wie Windows Agent-Konnektoren erkennt
Die Windows On-Device Agent Registry (ODR) ist ein lokal verwalteter, sicherer Katalog von MCP-Servern, die KI-Agenten zur Laufzeit entdecken und nutzen können. Statt hartcodierter Server-URLs oder manueller Konfigurationsdateien fragen Agenten die ODR ab, welche Werkzeuge verfügbar sind.
Jeder in der ODR registrierte MCP-Server heißt „Agent Connector." Diese Konnektoren verbinden KI-Agenten mit lokalen Anwendungen, Systemfunktionen oder Remote-Diensten. Microsoft liefert zwei eingebaute Konnektoren: Datei-Explorer (Agenten können lokale Dateien verwalten, organisieren und abrufen) und Systemeinstellungen (Agenten können Windows-Konfigurationen anpassen). Auf Copilot+ PCs unterstützt der Datei-Explorer-Konnektor auch natürlichsprachliche Suche basierend auf Dateibeschreibungen, Inhalten und Bildklassifizierung.
So funktioniert odr.exe
Das Kommandozeilen-Tool odr.exe ist die zentrale Schnittstelle zur Verwaltung der On-Device Registry. Es bietet drei Kernoperationen:
# Alle registrierten MCP-Server auflisten
odr mcp list
# MCP-Server über Manifest-Datei registrieren
odr mcp add --manifest pfad/zur/manifest.json
# Remote-MCP-Server über URI registrieren
odr mcp add --uri https://ihr-server.beispiel.com/mcp
Bevor odr.exe genutzt werden kann, müssen die experimentellen agentischen Funktionen unter Einstellungen > System > KI-Komponenten aktiviert werden. Dieser Schalter ist standardmäßig deaktiviert, damit Organisationen die Einführung kontrollieren können.
Jeder Konnektor muss als MSIX-Paket verpackt und von einer vertrauenswürdigen Quelle signiert sein. Das ist dasselbe Paketformat, das Windows für Store-Apps verwendet. IT-Admins können Konnektoren also über Microsoft Intune verteilen, Conditional-Access-Richtlinien anwenden und Managed Installers nutzen. Keine unkontrollierten MCP-Server, die aus ungeparkten Skripten laufen.
ODR vs. Cloud-basierte MCP-Registries
Der zentrale Unterschied zwischen ODR und Cloud-basierten Registries wie der offiziellen MCP-Registry oder Kongs MCP-Registry: die ODR katalogisiert nur die Server, die ein bestimmtes Windows-Gerät nutzen darf. Cloud-Registries listen Tausende öffentliche MCP-Server. ODR ist eine lokale, richtliniengesteuerte Teilmenge.
Für DACH-Unternehmen mit strengen Compliance-Anforderungen (DSGVO, EU AI Act) ist das ein wichtiger Unterschied. Die ODR stellt sicher, dass auf Unternehmensgeräten nur freigegebene Konnektoren erscheinen. Die öffentliche Registry eignet sich zur Evaluierung, die ODR für den Produktionsbetrieb.
Agent Workspace: Isolierte Umgebungen für KI-Agenten
Das architektonisch bedeutsamste Feature ist nicht die Registry selbst, sondern was darauf aufsetzt: der Agent Workspace. Das ist eine isolierte, richtliniengesteuerte und auditierbare Umgebung, in der KI-Agenten in einer eigenen Windows-Sitzung arbeiten, parallel zur Sitzung des Benutzers.
Jeder Agent erhält ein eigenes dediziertes Benutzerkonto, getrennt vom menschlichen Benutzerkonto. Das ist kein Container und keine VM (auch wenn es ähnliche Garantien bietet). Es ist eine separate Windows-Sitzung, in der Agenten mit Apps und Systemressourcen interagieren, ohne die aktive Sitzung des Nutzers zu beeinflussen.
Warum eine separate Sitzung entscheidend ist
Diese Architektur löst drei Probleme, mit denen jedes Unternehmen beim Einsatz von KI-Agenten konfrontiert ist:
Isolation. Wenn ein Agent abstürzt, eine App zum Hängen bringt oder Müll-Dateien erzeugt, passiert das in der Sitzung des Agenten. Laufende Anwendungen, offene Dokumente und der Systemzustand des Nutzers bleiben unberührt.
Nachvollziehbarkeit. Jede Aktion eines Agenten läuft unter seinem dedizierten Benutzerkonto. Windows-Ereignisprotokolle erfassen genau, was jeder Agent wann über welchen Konnektor getan hat. IT-Teams können bestehende Monitoring-Tools zur Überwachung der Agentenaktivität nutzen.
Minimale Rechte. Jeder Agent greift nur auf Ressourcen zu, die explizit freigegeben wurden. Was ein Agent darf, gilt nicht automatisch für andere. Wenn der Dateiverwaltungs-Agent Zugriff auf Dokumente hat, bedeutet das nicht, dass der E-Mail-Agent das auch hat.
Die MCP-Proxy-Schicht
Zwischen Agenten und Konnektoren sitzt eine eingebaute MCP-Proxy-Schicht, die Zustimmung, Governance, Auditing und Containment durchsetzt. Wenn ein Agent auf einen Konnektor zugreifen will, prüft der Proxy, ob der Nutzer zugestimmt hat, ob die IT-Richtlinie die Operation erlaubt und ob der Agent die erforderlichen Fähigkeiten in seinem Manifest deklariert hat. Erst dann erreicht die Anfrage den eigentlichen MCP-Server.
Dieser Ansatz unterscheidet sich von externen MCP-Gateways wie Strata oder Kong, die zwischen Agenten und cloud-gehosteten MCP-Servern sitzen. Der Windows-Proxy arbeitet auf Betriebssystem-Ebene und kann Kontrollen auch für lokale Konnektoren durchsetzen, die nie ein Netzwerk berühren.
MCP-Server für Windows entwickeln
Entwickler, die ihre Anwendungen agent-fähig machen wollen, haben zwei Wege: einen MCP-Server bauen, der sich automatisch über MSIX registriert, oder einen lokalen oder Remote-Server manuell über odr.exe registrieren.
Der MSIX-Weg ist unternehmensfreundlicher. Microsofts Schnellstart-Anleitung führt durch die Erstellung eines MCP-Hosts, der Konnektoren über die ODR erkennt, Tool-Aufrufe verarbeitet und den Consent-Flow handhabt. Der manuelle Weg ist schneller für die Entwicklung: odr.exe auf eine Remote-URI oder ein lokales Manifest zeigen und der Server erscheint sofort in der Registry.
Was Konnektoren deklarieren müssen
Jeder Agent-Konnektor muss die minimalen Fähigkeiten, die er benötigt, explizit deklarieren. Das wird bei der Registrierung geprüft, nicht zur Laufzeit. Wenn ein Konnektor-Manifest nur lesenden Dateizugriff angibt, kann er später keinen Schreibzugriff anfordern, ohne dass das Manifest aktualisiert und der Konnektor neu registriert wird.
Das ist dasselbe Prinzip wie Androids Berechtigungsmodell oder iOS-Entitlements, aber auf den Werkzeugzugriff von KI-Agenten angewandt.
Microsoft hat Beispielcode auf GitHub veröffentlicht, darunter Beispiele für die Datei-Explorer-Integration und benutzerdefinierte Konnektoren.
Worauf sich IT-Teams in Unternehmen vorbereiten sollten
Die agentischen Funktionen sind derzeit experimentell und Opt-in. Aber Microsofts Windows Developer Blog und die Ignite-2025-Ankündigungen zeigen die Richtung: Agenten verwaltet über Intune, gesteuert durch Entra-ID-Richtlinien, auditierbar über bestehende Sicherheitswerkzeuge.
Was IT-Teams jetzt planen sollten:
Konnektor-Governance. Welche MCP-Server soll die Organisation zulassen? Die MSIX-Anforderung ermöglicht bestehende App-Deployment-Pipelines, aber es braucht einen Freigabeprozess für die Bewertung von Konnektor-Manifesten und deren deklarierten Fähigkeiten.
Agent-Identitätsrichtlinien. Jeder Agent läuft unter einem eigenen Konto. Der Entra-ID-Tenant wird Agent-Identitäten neben menschlichen Identitäten haben. Namenskonventionen, Gruppenmitgliedschaften und Conditional-Access-Richtlinien für Agent-Konten sollten definiert werden, bevor der erste Konnektor in Produktion geht.
Audit-Infrastruktur. Agentenaktionen erzeugen Windows-Ereignisprotokolle unter dedizierten Agent-Benutzerkonten. SIEM- oder Log-Aggregations-Pipelines müssen diese Events erfassen, und das Security-Team muss wissen, wie Agentenaktivität in den Logs aussieht.
Netzwerk-Kontrollen. Remote-MCP-Server, die über odr.exe registriert werden, brauchen Netzwerkzugriff. Firewall- und Proxy-Regeln müssen Agent-zu-MCP-Server-Traffic berücksichtigen, der sich von typischem Browser-Traffic unterscheiden kann.
Für deutsche Unternehmen kommt hinzu: Die DSGVO erfordert klare Dokumentation, welche Daten KI-Agenten verarbeiten. Der EU AI Act (ab August 2026 voll anwendbar) verlangt Transparenz über automatisierte Entscheidungssysteme. Die Audit-Fähigkeiten der Agent Workspaces helfen bei beiden Anforderungen, aber nur, wenn die Logging-Infrastruktur steht.
Das große Bild: Windows als Agent-Infrastruktur
Was Microsoft baut, ist nicht einfach „MCP-Support in Windows." Es ist eine vollständige Agent-Ausführungsumgebung auf Betriebssystem-Ebene: Discovery (ODR), Isolation (Agent Workspace), Identität (dedizierte Konten), Governance (MCP-Proxy + Intune) und Auditing (Ereignisprotokolle). Kein anderes Betriebssystem hat diesen Stack.
Apples Ansatz für On-Device-KI konzentriert sich auf Apple Intelligence, ein geschlossenes System ohne Äquivalent zu MCP oder Agent-Registries. Googles Android hat On-Device-ML über TensorFlow Lite, aber keine Agent-Infrastruktur. Linux-Distributionen haben nichts Vergleichbares, auch wenn die Agentic AI Foundation unter der Linux Foundation an plattformübergreifenden Standards arbeitet.
Das Risiko ist offensichtlich: Plattform-Lock-in. Wenn Windows das einzige Betriebssystem wird, auf dem Agenten Werkzeuge über eine verwaltete Registry entdecken, mit lokalen Apps über freigegebene Konnektoren interagieren und unter richtliniengesteuerten Identitäten arbeiten können, wird das Betriebssystem zur Agent-Plattform. Genau das will Microsoft. Und genau das werden Unternehmen mit Windows-lastigen Geräteparks schwer ignorieren können.
Häufig gestellte Fragen
Was ist die Windows On-Device Agent Registry (ODR)?
Die Windows On-Device Agent Registry (ODR) ist ein lokaler, sicherer Katalog in Windows 11, über den KI-Agenten MCP-Server (Agent-Konnektoren) auf dem Gerät entdecken und nutzen können. Sie wird über das Kommandozeilen-Tool odr.exe verwaltet und integriert sich mit Enterprise-Management-Tools wie Microsoft Intune.
Wie schützt der Windows Agent Workspace KI-Agenten?
Agent Workspace führt KI-Agenten in isolierten Windows-Sitzungen mit eigenen dedizierten Benutzerkonten aus, getrennt von der Sitzung des menschlichen Nutzers. Jeder Agent arbeitet nach dem Prinzip der minimalen Rechte und greift nur auf Ressourcen zu, die explizit freigegeben wurden. Eine MCP-Proxy-Schicht setzt Zustimmung, Governance und Auditing durch.
Wie registriert man einen MCP-Server unter Windows?
MCP-Server werden über das Kommandozeilen-Tool odr.exe registriert. Verwenden Sie odr mcp add --manifest pfad/zur/manifest.json für lokale Server mit Manifest-Datei oder odr mcp add --uri https://server-url für Remote-MCP-Server. Zuerst müssen die experimentellen agentischen Funktionen unter Einstellungen > System > KI-Komponenten aktiviert werden.
Können Unternehmen Windows-KI-Agent-Konnektoren über Intune verwalten?
Ja. Agent-Konnektoren, die als MSIX-Pakete verpackt sind, können über Microsoft Intune, Conditional Access und Managed Installers verteilt und verwaltet werden. IT-Admins können steuern, welche Konnektoren auf Geräten verfügbar sind, Richtlinien auf Agent Workspaces anwenden und Agentenaktivität über Windows-Ereignisprotokolle auditieren.
Ist die Windows Agent Registry DSGVO-konform?
Die Agent Registry selbst bietet die technischen Grundlagen für DSGVO-Konformität: Isolation, Auditing und Zugriffskontrolle. Aber Compliance erfordert zusätzlich organisatorische Maßnahmen wie Dokumentation der Datenverarbeitung durch Agenten, Einwilligungsprozesse und Integration der Agent-Logs in bestehende SIEM-Systeme. Unternehmen müssen diese Prozesse selbst aufbauen.