Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Windows 365 for Agents se basa en una arquitectura de seguridad. Cada capa, desde la identidad y la autenticación hasta la protección contra amenazas, la gobernanza de los datos y la auditabilidad, está diseñada para aplicar los principios de Confianza cero entre las cargas de trabajo del agente. En esta página se proporciona información general sobre la seguridad de Windows 365 for Agents.
Cada equipo en la nube para agentes se une a Microsoft Entra y se inscribe Microsoft Intune, lo que proporciona a los agentes una identidad administrada y una posición del dispositivo desde el primer día. Expuesto como una herramienta MCP dentro de Microsoft Agent 365, Windows 365 for Agents hereda la pista de seguridad y auditoría de la plataforma, con Microsoft Defender proporcionar protección contra amenazas y Microsoft Purview ofrece gobernanza de datos y visibilidad de cumplimiento en todas las acciones del agente.
Pilares de seguridad de un vistazo
El modelo de seguridad para Windows 365 for Agents se organiza en torno a cinco pilares. Cada pilar aborda una dimensión distinta del marco de Confianza cero aplicado a las cargas de trabajo del agente.
| Pilar | Qué hace | Más información |
|---|---|---|
| Identidad | Los agentes usan una cuenta de usuario de agente de Microsoft Entra dedicada, independiente de los usuarios humanos. La identidad está enlazada a la sesión, no al dispositivo. Microsoft Entra proporciona un plano unificado de control de directivas e identidades entre agentes, equipos en la nube y sesiones. | Identidad y seguridad: segura por diseño |
| Autenticación | La autenticación basada en tokens está enlazada criptográficamente al dispositivo. Las sesiones se autentican en cada conexión, con verificación continua durante todo el ciclo de vida de la sesión mediante señales de identidad y contexto. | Modelo de autenticación del agente |
| Protección contra amenazas | Microsoft Defender para punto de conexión se puede ejecutar en el equipo en la nube, lo que proporciona detección en tiempo real, visibilidad de búsqueda avanzada, supervisión de Defender for Cloud Apps y controles Just-In-Time basados en señales de riesgo en tiempo real. | Protección contra amenazas con Microsoft Defender |
| Gobierno de datos | Microsoft Purview amplía la prevención de pérdida de datos de punto de conexión (DLP), la administración de la posición de seguridad de datos (DSPM) para la inteligencia artificial y el Explorador de actividad a las cargas de trabajo del agente, lo que garantiza que los datos confidenciales se rigen de forma coherente tanto si los usuarios como los agentes acceden a ellos. | Gobernanza de datos con Microsoft Purview |
| Auditabilidad | Agent 365 proporciona gobernanza y auditabilidad centralizadas. Cada interacción se captura y correlaciona entre identidad, acceso y acciones. Los equipos de seguridad pueden realizar un seguimiento de la actividad desde la solicitud del usuario de origen a través de la ejecución del agente y las acciones resultantes. | Gobernanza y auditabilidad |
principios de Confianza cero para cargas de trabajo de agente
Windows 365 for Agents aplica principios de Confianza cero a cada sesión de agente. Confianza cero asume que no hay confianza implícita; cada solicitud se valida mediante señales de identidad, dispositivo y directiva, independientemente de dónde se origine la solicitud o de a qué recurso acceda.
| Principio | Cómo se aplica a Windows 365 for Agents |
|---|---|
| Comprobar de forma explícita. | Cada sesión del agente se autentica a través de Microsoft Entra con credenciales enlazadas a dispositivos basadas en tokens. El acceso condicional evalúa la identidad y el contexto, y permite el acceso del agente solo desde dispositivos compatibles. |
| Uso del acceso con privilegios mínimos | El acceso a los recursos se asigna explícitamente a cada identidad de agente. La asignación de grupos en Intune determina qué identidades de agente pueden adquirir equipos en la nube. Las directivas de nivel inferior definen lo que los agentes pueden hacer después de conectarse. Las directivas de acceso condicional pueden bloquear explícitamente el acceso de las identidades de agente a los recursos. |
| Asumir la vulneración. | Los equipos en la nube no tienen estado y se restablecen después de cada sesión del agente, lo que garantiza que no persistan las credenciales y que no haya confianza en las cargas de trabajo. Cada sesión se ejecuta en un entorno dedicado y aislado. Microsoft Defender proporciona detección continua de amenazas y Microsoft Purview supervisa el acceso a los datos. |
Cómo la seguridad abarca el ciclo de vida del agente
Los controles de seguridad se entretejen en cada fase del ciclo de vida de la sesión del agente. Desde el momento en que se aprovisiona un equipo en la nube hasta el momento en que se restablece y se devuelve al grupo, la identidad, la directiva y la protección se aplican continuamente.
| Fase del ciclo de vida | Qué ocurre | Controles de seguridad |
|---|---|---|
| Preparar | Los grupos de equipos en la nube se aprovisionan, configuran y ponen a disposición para el uso del agente. | Los administradores de TI definen grupos con imágenes, regiones y tamaño. Cada equipo en la nube está unido a Microsoft Entra y está inscrito Intune. Se puede implementar el sensor de Microsoft Defender para punto de conexión. |
| Adquirir | Un equipo en la nube está reservado para un llamador y una sesión específicos. | La asignación de grupo determina qué identidades de agente están autorizadas. |
| Conectar | Se establece una sesión autenticada y las funcionalidades están disponibles. | Microsoft Entra problemas y valida los tokens. El acceso condicional evalúa las señales de identidad, dispositivo y directiva. Los tokens se enlazan criptográficamente al dispositivo. |
| Acción | El agente opera el equipo en la nube, con observación humana opcional. | Intune windows y Microsoft Edge aplican directivas de seguridad de dispositivos para proteger el entorno de PC en la nube, mientras que Microsoft Entra acceso condicional protege el acceso a los recursos. Microsoft Defender proporciona supervisión en tiempo real, Microsoft Purview controla los datos y todas las acciones se auditan y atribuyen por completo. |
| Versión | Finaliza la sesión, se restablece el equipo en la nube y la capacidad vuelve al grupo. | Se destruyen todas las credenciales y tokens. El equipo en la nube vuelve a su línea base aprovisionada. Se finalizan los registros de auditoría. |
Pasos siguientes
- Obtenga información sobre la identidad y la seguridad en Windows 365 for Agents.