Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Windows 365 for Agents je postaven na architektuře, která je založená na zabezpečení. Každá vrstva od identity a ověřování až po ochranu před hrozbami, zásady správného řízení dat a auditovatelnost je navržená tak, aby vynucování nulová důvěra (nulová důvěra (Zero Trust)) principů napříč úlohami agentů. Tato stránka poskytuje přehled zabezpečení Windows 365 for Agents.
Každý Cloud PC pro agenty je Microsoft Entra připojený a Microsoft Intune zaregistrovaný, což agentům poskytuje spravovanou identitu a stav zařízení od prvního dne. V rámci Microsoft Agent 365 Windows 365 for Agents jako nástroj MCP dědí záznam zabezpečení a auditu platformy, přičemž Microsoft Defender poskytuje ochranu před hrozbami a Microsoft Purview zajišťuje zásady správného řízení dat a viditelnost dodržování předpisů v rámci každé akce agenta.
Přehled pilířů zabezpečení
Model zabezpečení pro Windows 365 for Agents je uspořádaný kolem pěti pilířů. Každý pilíř řeší odlišnou dimenzi architektury nulová důvěra (nulová důvěra (Zero Trust)) použité na úlohy agentů.
| Pilíř | Co to dělá | Další informace |
|---|---|---|
| Identita | Agenti používají vyhrazený uživatelský účet agenta Microsoft Entra odděleně od lidských uživatelů. Identita je vázána na relaci, ne na zařízení. Microsoft Entra poskytuje jednotnou rovinu řízení identit a zásad napříč agenty, cloudovými počítači a relacemi. | Identita a zabezpečení: zabezpečení podle návrhu |
| Ověřování | Ověřování na základě tokenů je kryptograficky vázané na zařízení. Relace se ověřují u každého připojení s průběžným ověřováním v průběhu celého životního cyklu relace pomocí signálů identity a kontextu. | Model ověřování agenta |
| Ochrana před hrozbami | Microsoft Defender for Endpoint můžete spustit na cloudovém počítači a poskytovat detekci v reálném čase, viditelnost rozšířeného proaktivního vyhledávání, monitorování Defender for Cloud Apps a kontroly za běhu založené na rizikových signálech v reálném čase. | Ochrana před hrozbami pomocí Microsoft Defender |
| Zásady správného řízení dat | Microsoft Purview rozšiřuje ochranu před únikem informací koncového bodu (DLP), správu stavu zabezpečení dat (DSPM) pro AI a Průzkumníka aktivit na úlohy agentů, což zajišťuje konzistentní řízení citlivých dat bez ohledu na to, jestli k datům přistupují uživatelé nebo agenti. | Zásady správného řízení dat s využitím Microsoft Purview |
| Auditovatelnost | Agent 365 poskytuje centralizované zásady správného řízení a auditovatelnost. Každá interakce se zaznamenává a koreluje napříč identitou, přístupem a akcemi. Bezpečnostní týmy můžou sledovat aktivitu z požadavku uživatele, který pochází, prostřednictvím provádění agenta a výsledných akcí. | Zásady správného řízení a auditovatelnost |
nulová důvěra (nulová důvěra (Zero Trust)) principy pro úlohy agentů
Windows 365 for Agents aplikuje na každou relaci agenta nulová důvěra (nulová důvěra (Zero Trust)) principy. nulová důvěra (nulová důvěra (Zero Trust)) nepředpokládá žádný implicitní vztah důvěryhodnosti. Každý požadavek se ověřuje pomocí signálů identity, zařízení a zásad bez ohledu na to, odkud požadavek pochází nebo k jakému prostředku přistupuje.
| Zásadě | Jak to platí pro Windows 365 for Agents |
|---|---|
| Explicitní ověření | Každá relace agenta se ověřuje prostřednictvím Microsoft Entra pomocí přihlašovacích údajů vázaných na zařízení založených na tokenech. Podmíněný přístup vyhodnocuje identitu a kontext a umožňuje přístup agenta pouze ze zařízení vyhovujících předpisům. |
| Použití přístupu s nejnižšími oprávněními | Přístup k prostředkům se explicitně přiřadí každé identitě agenta. Přiřazení fondu v Intune určuje, které identity agentů můžou získat cloudové počítače. Podřízené zásady definují, co můžou agenti dělat po připojení. Zásady podmíněného přístupu můžou explicitně blokovat přístup k prostředkům identitám agentů. |
| Předpokládat porušení zabezpečení | Cloudové počítače jsou bezstavové a po každé relaci agenta se resetují, což zajišťuje, že žádné přihlašovací údaje zůstanou zachovány a že se mezi úlohami nepřenese žádný vztah důvěryhodnosti. Každá relace běží ve vyhrazeném izolovaném prostředí. Microsoft Defender poskytuje nepřetržité zjišťování hrozeb a Microsoft Purview monitoruje přístup k datům. |
Jak zabezpečení pokrývá životní cyklus agenta
Ovládací prvky zabezpečení jsou součástí každé fáze životního cyklu relace agenta. Od okamžiku zřízení počítače Cloud PC do okamžiku jeho resetování a vrácení do fondu se identita, zásady a ochrana neustále vynucují.
| Fáze životního cyklu | Co se stane | Ovládací prvky zabezpečení |
|---|---|---|
| Příprava | Fondy cloudových počítačů jsou zřízené, nakonfigurované a zpřístupněné pro použití agentem. | Správci IT definují fondy s obrázky, oblastmi a velikostí. Každý Cloud PC je Microsoft Entra připojený a Intune zaregistrovaný. Senzor Microsoft Defender for Endpoint je možné nasadit. |
| Získat | Cloud PC je vyhrazený pro konkrétního volajícího a relaci. | Přiřazení fondu určuje, které identity agentů jsou autorizované. |
| Připojit | Vytvoří se ověřená relace a zpřístupní se možnosti. | Microsoft Entra problémy a ověřuje tokeny. Podmíněný přístup vyhodnocuje signály identity, zařízení a zásad. Tokeny jsou kryptograficky vázané na zařízení. |
| Zákona | Agent provozuje cloudový počítač s volitelným pozorováním člověkem. | Intune zásady zabezpečení zařízení vynucují Windows a Microsoft Edge, aby chránily prostředí Cloud PC, zatímco Microsoft Entra podmíněný přístup chrání přístup k prostředkům. Microsoft Defender poskytuje monitorování v reálném čase, Microsoft Purview řídí data a všechny akce jsou plně auditovány a přiřazovat. |
| Release | Relace se ukončí, Cloud PC se resetuje a kapacita se vrátí do fondu. | Všechny přihlašovací údaje a tokeny se zničí. Cloud PC se vrátí ke svému zřízenému směrnému plánu. Protokoly auditu se dokončují. |
Další kroky
- Seznamte se s identitou a zabezpečením v Windows 365 for Agents.