重要
エージェントのWindows 365はパブリック プレビュー段階です。 この機能はアクティブな開発中であり、一般公開前に変更される可能性があります。
エージェントのWindows 365は、エージェント セッション ライフサイクルとクラウド PC アーキテクチャと緊密に統合された認証モデルを使用します。
セッション ライフサイクルでの認証
エージェント認証は 1 回限りのイベントではありません。 それはすべてのセッションに織り込まれています。 エージェント タスクが開始されると、クラウド PC がプールから取得され、認証されたセッションが確立されます。セキュリティで保護されたチャネルが開き、Microsoft Entraが発行され、トークンが検証され、アクセスが ID、デバイス、およびポリシー信号に対して評価されます。 認証はデバイスにバインドされるため、割り当てられたクラウド PC に接続できるのは、承認されたエージェントのみです。 エージェントが接続した後、すべてのアクションは、エンタープライズ シングル サインオン (SSO) を使用して、認証されたエージェント ID の下でアプリケーションとデータに対して実行されます。 この設定により、エージェントは、人間のユーザーと同様に、管理された ID の下でエンタープライズ リソースと対話できます。 タスクが完了すると、セッションが終了し、クラウド PC がリセットされます。
トークンベースのセッション セキュリティ
エージェント セッション トークンはデバイスに暗号化的にバインドされ、セッション トークンはデバイス間で再生できません。 この方法は、対話型認証を、強力なサービス間信頼、セキュリティで保護されたトークン交換、ポリシー ベースのアクセスの強制に置き換えます。
継続的な検証
ゼロ トラストはセッション全体に適用されます。 すべての要求は、ID とコンテキスト信号を使用して検証され、リスクとデバイスの信号は継続的に評価され、条件の変化に応じてアクセスを動的に取り消すことができます。
設計による分離とリセット
ID は、エージェント セッションのエフェメラルな性質によって強化されます。 各セッションは専用環境で実行されます。 ID とトークンは、そのデバイスにスコープが設定され、クラウド PC は再利用前にリセットされます。 資格情報は保持されず、ワークロード間で信頼は実行されません。 この "クリーン境界" モデルにより、すべてのセッションが既知の安全なベースラインから開始され、以前のアクティビティからのリスクが最小限に抑えられます。
次の手順
- エージェント セッションのライフサイクルについて説明します。
- エージェントのWindows 365での ID とセキュリティについて説明します。