Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Windows 365 for Agents está en versión preliminar pública. La característica está en desarrollo activo y podría cambiar antes de la disponibilidad general.
Windows 365 for Agents ofrece un entorno de ejecución para cargas de trabajo de agente mediante la combinación de Microsoft Entra identidad, aislamiento de PC en la nube y controles de seguridad de Microsoft 365, que se rigen de un extremo a otro por Confianza cero principios. Cada equipo en la nube está unido a Microsoft Entra y está inscrito Microsoft Intune, lo que proporciona a los agentes una identidad administrada y una posición del dispositivo desde el primer día. Expuesta como una herramienta MCP dentro de Agent 365, hereda la pista de seguridad y auditoría de la plataforma, con Microsoft Defender que proporcionan protección contra amenazas y Microsoft Purview ofrece gobernanza de datos y visibilidad de cumplimiento en todas las acciones del agente.
Los equipos en la nube para agentes son:
- Agrupado: asignado dinámicamente desde un grupo compartido por tarea.
- Sin estado: restablezca después de cada sesión del agente, sin que se haya llevado a cabo ningún estado
- Mediante programación: a la que acceden los agentes, no los usuarios interactivos.
Windows 365 for Agents integra la identidad, la autenticación y la confianza del dispositivo en cada sesión del agente, lo que garantiza que todas las acciones se rigen, aíslan y auditables. Mediante el uso de un enfoque de Confianza cero primero de identidad, cada solicitud de agente se valida mediante señales de identidad, dispositivo y directiva, con controles de seguridad aplicados a lo largo del ciclo de vida de la sesión.
¿Por qué importa la identidad aquí?
La identidad es fundamental para la forma en que Windows 365 for Agents ofrece automatización segura a escala.
| Funcionalidad | Lo que permite |
|---|---|
| Habilita la agrupación segura | Muchos agentes comparten la infraestructura sin compartir la identidad. |
| Acceso con ámbito de sesión | Cada conexión se autentica y se rige por directivas. |
| Admite proceso efímero | La identidad viaja con la sesión, no con el dispositivo. |
| Aplica el aislamiento | Las sesiones son independientes y se restablecen entre usos. |
| Auditoría completa | Cada acción realiza un seguimiento de la identidad de un usuario de agente específico. |
Juntos, este modelo garantiza que los agentes puedan funcionar a escala, a través de una infraestructura dinámica y compartida, a la vez que permanecen totalmente gobernados dentro de los límites de seguridad y cumplimiento empresariales. Los agentes obtienen el acceso que necesitan para ser productivos, bajo las mismas barreras de seguridad empresariales que los usuarios humanos.
Integración de identidades con Microsoft Entra
Microsoft Entra proporciona un plano unificado de control de directivas e identidades entre agentes (consulte Agente de Microsoft Entra ID documentación), equipos en la nube y sesiones. En Windows 365 for Agents, los agentes no tienen un dispositivo dedicado asignado. En su lugar, comprueban un equipo en la nube del grupo de PC en la nube asignado por tarea, lo usan y, a continuación, lo vuelven a proteger en el grupo después de la finalización de la tarea, lo que desencadena un restablecimiento. La identidad del usuario del agente está enlazada a la sesión, no al dispositivo. La autenticación se restablece en cada conexión y el acceso se rige continuamente por la directiva.
Identidades de agente
Cada agente usa una identidad de usuario de agente Microsoft Entra dedicada, independiente de los usuarios humanos y se autentica sin problemas con flujos basados en tokens en Windows 365 for Agents máquinas virtuales. El acceso a recursos se asigna explícitamente a cada identidad de agente, con administración del ciclo de vida (creación, deshabilitación, auditoría) administrada de forma centralizada en Agent 365. Este modelo permite que varios agentes compartan un grupo de equipos en la nube mientras mantienen estrictos seguimientos de auditoría, visibilidad y control de nivel de identidad. Los agentes nunca reutilizan ni suplantan las credenciales de usuario, lo que garantiza un límite de seguridad claro. Windows 365 for Agents máquinas virtuales son solo de agente y están estrictamente reservadas para cargas de trabajo de agente mediante programación, lo que garantiza que solo las identidades de agente autorizadas puedan iniciar sesiones, ejecutar tareas o acceder a recursos. Este diseño exige un fuerte aislamiento entre agentes automatizados y usuarios humanos, lo que reduce aún más el riesgo y mantiene un límite seguro y auditable.
Aplicación de directivas a lo largo del ciclo de vida
La aplicación de directivas abarca el ciclo de vida del agente:
- Control de identidad: Microsoft Entra como el plano de identidad y directiva centralizado.
- Asignación de grupos para agentes en Intune: determina qué identidades de agente pueden adquirir equipos en la nube.
- Establecimiento de sesión: Microsoft Entra acceso condicional evalúa la identidad y el contexto antes de permitir la conexión.
- Acceso a recursos: las directivas de nivel inferior definen qué pueden hacer los agentes después de conectarse.
Este enfoque mantiene a los agentes dentro de los mismos límites de seguridad empresariales que los usuarios humanos, incluso como actores autónomos mediante programación.
Windows 365 for Agents se integra con directivas de acceso condicional para las identidades de usuario del agente a fin de aplicar el control de acceso basado en directivas para las identidades de usuario del agente, tratadas igual que los usuarios humanos.
Con acceso condicional:
- El acceso se evalúa en tiempo real mediante señales de identidad y contextuales.
- Las directivas garantizan que los agentes solo se ejecuten en entornos de confianza y compatibles.
- El acceso se puede permitir, restringir o bloquear dinámicamente en función del riesgo.
Este enfoque permite:
- Aplique el acceso condicional en función del cumplimiento del dispositivo mediante controles de concesión.
- Aplique directivas coherentes entre agentes y usuarios humanos.
Al ampliar Confianza cero más allá de la autenticación, la solicitud de cada agente se comprueba y controla continuamente. Puede bloquear explícitamente los agentes de riesgo o no aprobados, lo que garantiza que solo los agentes revisados y conformes puedan acceder a los recursos.
Seguimiento de auditoría de un extremo a otro
Dado que el usuario humano y el usuario del agente tienen identidades Microsoft Entra distintas, todas las acciones se atribuyen correctamente en toda la cadena de delegación. Los administradores pueden realizar un seguimiento de una solicitud desde el momento en que un usuario humano solicita a un agente cada tarea que el agente realiza en su nombre, con la actividad correlacionada entre:
- Agent 365: el símbolo del sistema de origen y la ejecución de la tarea del agente.
- Microsoft Entra registros de inicio de sesión: eventos de autenticación para el usuario humano y la identidad de usuario del agente.
- Microsoft Defender: señales de amenazas y eventos de seguridad vinculados a la sesión.
- Microsoft Purview: actividad de acceso a datos, cumplimiento y gobernanza.
Esta vista de auditoría unificada proporciona a los equipos de seguridad y cumplimiento un registro único y coherente de quién inició qué, qué agente actuó y qué hizo el agente. Conserva la responsabilidad incluso cuando el trabajo se delega en agentes autónomos.
Para obtener más información, consulte Protección de agentes de inteligencia artificial a escala mediante Microsoft Agent 365.
Pasos siguientes
- Obtenga información sobre el modelo de autenticación del agente.
- Obtenga información sobre el ciclo de vida de la sesión del agente.