Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Windows 365 for Agents si basa su un'architettura security-first. Ogni livello, dall'identità e dall'autenticazione alla protezione dalle minacce, alla governance dei dati e alla controllabilità, è progettato per applicare i principi di Zero Trust nei carichi di lavoro degli agenti. Questa pagina offre una panoramica della sicurezza di Windows 365 for Agents.
Ogni CLOUD PC for Agents viene aggiunto Microsoft Entra e registrato Microsoft Intune, per offrire agli agenti un'identità gestita e un comportamento del dispositivo fin dal primo giorno. Esposto come strumento MCP all'interno di Microsoft Agent 365, Windows 365 for Agents eredita l'audit trail e la sicurezza della piattaforma, con Microsoft Defender la protezione dalle minacce e Microsoft Purview che offre visibilità sulla conformità e la governance dei dati in ogni azione dell'agente.
Pilastri della sicurezza a colpo d'occhio
Il modello di sicurezza per Windows 365 for Agents è organizzato intorno a cinque pilastri. Ogni pilastro risolve una dimensione distinta del framework Zero Trust applicato ai carichi di lavoro degli agenti.
| Pilastro | Funzione | Ulteriori informazioni |
|---|---|---|
| Identità | Gli agenti usano un account utente dedicato Microsoft Entra agente, separato dagli utenti umani. L'identità è associata alla sessione, non al dispositivo. Microsoft Entra fornisce un piano unificato di controllo delle identità e dei criteri tra agenti, PC cloud e sessioni. | Identità e sicurezza: sicurezza in base alla progettazione |
| Autenticazione | L'autenticazione basata su token è associata in modo crittografico al dispositivo. Le sessioni vengono autenticate in ogni connessione, con verifica continua per tutto il ciclo di vita della sessione usando segnali di identità e contesto. | Modello di autenticazione dell'agente |
| Protezione dalle minacce | Microsoft Defender per endpoint possono essere eseguiti nel CLOUD PC, fornendo rilevamento in tempo reale, visibilità di Ricerca avanzata, monitoraggio Defender for Cloud Apps e controlli JID in base ai segnali di rischio in tempo reale. | Protezione dalle minacce con Microsoft Defender |
| Governance dei dati | Microsoft Purview estende la prevenzione della perdita dei dati degli endpoint (DLP), la gestione del comportamento di sicurezza dei dati (DSPM) per l'intelligenza artificiale ed Esplora attività ai carichi di lavoro degli agenti, garantendo che i dati sensibili siano regolati in modo coerente, indipendentemente dall'accesso di utenti o agenti. | Governance dei dati con Microsoft Purview |
| Controllabilità | Agent 365 offre governance centralizzata e controllabilità. Ogni interazione viene acquisita e correlata tra identità, accesso e azioni. I team di sicurezza possono tracciare l'attività dalla richiesta dell'utente di origine tramite l'esecuzione dell'agente e le azioni risultanti. | Governance e controllabilità |
principi Zero Trust per i carichi di lavoro degli agenti
Windows 365 for Agents applica Zero Trust principi a ogni sessione dell'agente. Zero Trust presuppone l'assenza di attendibilità implicita. Ogni richiesta viene convalidata usando segnali di identità, dispositivo e criteri, indipendentemente dalla posizione di origine della richiesta o dalla risorsa a cui accede.
| Principio | Come si applica a Windows 365 for Agents |
|---|---|
| Verificare esplicitamente | Ogni sessione dell'agente viene autenticata tramite Microsoft Entra con credenziali associate a un dispositivo basate su token. L'accesso condizionale valuta l'identità e il contesto e consente l'accesso dell'agente solo dai dispositivi conformi. |
| Usare l'accesso con privilegi minimi | L'accesso alle risorse viene assegnato in modo esplicito a ogni identità dell'agente. L'assegnazione del pool in Intune determina quali identità dell'agente possono acquisire i PC cloud. I criteri downstream definiscono le operazioni che gli agenti possono eseguire dopo la connessione. I criteri di accesso condizionale possono impedire esplicitamente alle identità dell'agente di accedere alle risorse. |
| Presupporre le violazioni | I PC cloud sono senza stato e vengono reimpostati dopo ogni sessione dell'agente, il che garantisce che nessuna credenziali persista e che non siano presenti trust tra carichi di lavoro. Ogni sessione viene eseguita in un ambiente isolato dedicato. Microsoft Defender fornisce il rilevamento continuo delle minacce e Microsoft Purview monitora l'accesso ai dati. |
Come la sicurezza si estende nel ciclo di vita dell'agente
I controlli di sicurezza vengono intrecciati in ogni fase del ciclo di vita della sessione dell'agente. Dal momento in cui viene eseguito il provisioning di un PC cloud al momento in cui viene reimpostato e restituito al pool, l'identità, i criteri e la protezione vengono applicati continuamente.
| Fase del ciclo di vita | Effetto | Controlli di sicurezza |
|---|---|---|
| Preparazione | I pool di PC cloud vengono sottoposti a provisioning, configurati e resi disponibili per l'uso da parte dell'agente. | Gli amministratori IT definiscono i pool con immagini, aree e dimensioni. Ogni PC cloud viene aggiunto Microsoft Entra e registrato Intune. È possibile distribuire il sensore Microsoft Defender per endpoint. |
| Acquisire | Un PC cloud è riservato per un chiamante e una sessione specifici. | L'assegnazione del pool determina quali identità dell'agente sono autorizzate. |
| Connessione | Viene stabilita una sessione autenticata e le funzionalità diventano disponibili. | Microsoft Entra problemi e convalida i token. L'accesso condizionale valuta i segnali di identità, dispositivo e criteri. I token sono associati in modo crittografico al dispositivo. |
| Azione | L'agente gestisce il Cloud PC, con osservazione umana facoltativa. | Intune criteri di sicurezza dei dispositivi vengono applicati da Windows e Microsoft Edge per proteggere l'ambiente Cloud PC, mentre Microsoft Entra l'accesso condizionale protegge l'accesso alle risorse. Microsoft Defender fornisce il monitoraggio in tempo reale, Microsoft Purview regola i dati e tutte le azioni sono completamente controllate e con attributi. |
| Rilascio | La sessione termina, il PC cloud viene reimpostato e la capacità torna al pool. | Tutte le credenziali e i token vengono eliminati. Il CLOUD PC torna alla baseline di cui è stato effettuato il provisioning. I log di controllo vengono finalizzati. |
Passaggi successivi
- Informazioni su identità e sicurezza in Windows 365 for Agents.