Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Windows 365 for Agents poskytuje spouštěcí prostředí pro úlohy agentů díky kombinaci Microsoft Entra identity, izolace cloudových počítačů a kontrolních mechanismů zabezpečení Microsoft 365, které se řídí od konce nulová důvěra (nulová důvěra (Zero Trust)) principy. Každý Cloud PC je Microsoft Entra připojený a Microsoft Intune zaregistrovaný, což agentům poskytuje spravovanou identitu a stav zařízení od prvního dne. Vystavený jako nástroj MCP v rámci Agent 365 dědí záznam o zabezpečení a auditu platformy, přičemž Microsoft Defender poskytuje ochranu před hrozbami a Microsoft Purview zajišťuje řízení dat a viditelnost dodržování předpisů napříč všemi akcemi agenta.
Cloudové počítače pro agenty jsou:
- Ve fondu: Dynamicky přiřazené ze sdíleného fondu pro jednotlivé úkoly.
- Bezstavové: Resetování po každé relaci agenta bez přenášení stavu
- Programový: Přístup k ho mají agenti, ne interaktivní uživatelé.
Windows 365 for Agents integruje identitu, ověřování a vztah důvěryhodnosti zařízení do každé relace agenta, což zajišťuje, že všechny akce budou řízené, izolované a auditovatelné. Při použití přístupu založeného na identitě, nulová důvěra (nulová důvěra (Zero Trust)) se každý požadavek agenta ověřuje pomocí signálů identity, zařízení a zásad s kontrolními mechanismy zabezpečení vynucovanými po celý životní cyklus relace.
Proč tady záleží na identitě
Identita je základem toho, jak Windows 365 for Agents zajišťuje zabezpečenou automatizaci ve velkém měřítku.
| Schopnosti | Co to umožňuje |
|---|---|
| Umožňuje bezpečné sdružování. | Mnoho agentů sdílí infrastrukturu bez sdílení identity. |
| Přístup s oborem relace | Každé připojení se ověřuje a řídí zásadami. |
| Podporuje dočasné výpočetní prostředky. | Identita se pohybuje s relací, ne se zařízením. |
| Vynucuje izolaci. | Relace jsou nezávislé a resetují se mezi jednotlivými použitími. |
| Úplná auditovatelnost | Každá akce se trasuje zpět k identitě konkrétního uživatele agenta. |
Tento model společně zajišťuje, že agenti mohou pracovat ve velkém měřítku napříč sdílenou dynamickou infrastrukturou a zároveň plně řídit v rámci podnikových hranic zabezpečení a dodržování předpisů. Agenti získají přístup, který potřebují, aby byli produktivní, ve stejných podnikových mantinelech jako vaši uživatelé.
Integrace identit s Microsoft Entra
Microsoft Entra poskytuje jednotnou rovinu řízení identit a zásad napříč agenty (viz Microsoft Entra ID agenta dokumentace), cloudovými počítači a relacemi. V Windows 365 for Agents nemají agenti přiřazené vyhrazené zařízení. Místo toho si cloudový počítač z přiřazeného fondu Cloud PC pro jednotlivé úkoly prověří, použijí ho a po dokončení úkolu se vrátí se změnami do fondu, což aktivuje resetování. Identita uživatele agenta je vázána na relaci, ne na zařízení. Ověřování se znovu nastavuje u každého připojení a přístup se průběžně řídí zásadami.
Identity agentů
Každý agent používá vyhrazenou identitu uživatele agenta Microsoft Entra odděleně od lidských uživatelů a bezproblémově se ověřuje pomocí toků založených na tokenech do Windows 365 for Agents virtuálních počítačů. Přístup k prostředkům se explicitně přiřadí každé identitě agenta, přičemž správa životního cyklu (vytvoření, zakázání, auditování) se centrálně spravuje v Agent 365. Tento model umožňuje více agentům sdílet fond cloudových počítačů při zachování přísné kontroly na úrovni identity, viditelnosti a auditních stop. Agenti nikdy nepouužijí znovu přihlašovací údaje uživatele ani se zosobní, což zajišťuje jasnou hranici zabezpečení. Windows 365 for Agents virtuální počítače jsou jenom pro agenty a jsou výhradně vyhrazené pro úlohy programových agentů, což zajišťuje, že relace, spouštění úloh nebo přístup k prostředkům můžou iniciovat jenom identity autorizovaných agentů. Tento návrh vynucuje silnou izolaci mezi automatizovanými agenty a lidskými uživateli, což dále snižuje riziko a udržuje bezpečnou a auditovatelnou hranici.
Vynucování zásad po celý životní cyklus
Vynucování zásad zahrnuje životní cyklus agenta:
- Řízení identit: Microsoft Entra jako centralizovaná rovina identit a zásad.
- Přiřazení fondu pro agenty v Intune: Určuje, které identity agentů můžou získat cloudové počítače.
- Vytvoření relace: Microsoft Entra podmíněný přístup vyhodnocuje identitu a kontext před povolením připojení.
- Přístup k prostředkům: Podřízené zásady definují, co můžou agenti dělat po připojení.
Tento přístup udržuje agenty v rámci stejných hranic podnikového zabezpečení jako lidské uživatele, a to i jako programoví autonomní aktéři.
Windows 365 for Agents se integruje se zásadami podmíněného přístupu pro identity uživatelů agentů a vynucuje řízení přístupu na základě zásad pro identity uživatelů agenta, které se bude chovat stejně jako lidské uživatele.
S podmíněným přístupem:
- Access se vyhodnocuje v reálném čase pomocí identit a kontextových signálů.
- Zásady zajišťují, aby se agenti spouštěli jenom v důvěryhodných a vyhovujících prostředích.
- Přístup může být dynamicky povolený, omezený nebo blokovaný na základě rizika.
Tento přístup umožňuje:
- Vynucujte podmíněný přístup na základě dodržování předpisů zařízením pomocí ovládacích prvků udělení.
- Použijte konzistentní zásady pro agenty i pro lidské uživatele.
Rozšířením nulová důvěra (nulová důvěra (Zero Trust)) nad rámec ověřování se každý požadavek agenta průběžně ověřuje a řídí. Můžete explicitně zablokovat rizikové nebo neschválené agenty, což zajistí, že k prostředkům budou mít přístup jenom kontrolovaní a vyhovující agenti.
Kompletní záznam auditu
Vzhledem k tomu, že lidský uživatel i uživatel agenta mají různé Microsoft Entra identity, je každá akce správně přiřazena v rámci celého řetězce delegování. Správci můžou trasovat požadavek od okamžiku, kdy uživatel vyzve agenta prostřednictvím každé úlohy, kterou agent provádí jeho jménem, přičemž aktivita koreluje mezi všemi aktivitami:
- Agent 365: Výzva původního uživatele a spuštění úlohy agenta.
- Microsoft Entra protokoly přihlášení: Události ověřování pro lidského uživatele i identitu uživatele agenta.
- Microsoft Defender: Signály hrozeb a události zabezpečení spojené s relací.
- Microsoft Purview: Přístup k datům, dodržování předpisů a aktivity zásad správného řízení.
Toto jednotné zobrazení auditu poskytuje týmům pro zabezpečení a dodržování předpisů jednotný záznam o tom, kdo co inicioval, který agent jednal a co udělal. Zachovává odpovědnost, i když je práce delegovaná na autonomní agenty.
Další informace najdete v tématu Zabezpečení agentů AI ve velkém měřítku pomocí Microsoft Agent 365.
Další kroky
- Seznamte se s modelem ověřování agenta.
- Přečtěte si o životním cyklu relace agenta.