Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Windows 365 for Agents biedt een uitvoeringsomgeving voor agentworkloads door Microsoft Entra identiteit, cloud-pc-isolatie en Microsoft 365-beveiligingsbesturingselementen te combineren, die end-to-end worden beheerd volgens Zero Trust principes. Elke cloud-pc is Microsoft Entra gekoppeld en Microsoft Intune ingeschreven, waardoor agents vanaf dag één een beheerde identiteit en apparaatpostuur hebben. Het wordt weergegeven als een MCP-hulpprogramma binnen Agent 365 en neemt de beveiligings- en audittrail van het platform over, waarbij Microsoft Defender bedreigingsbeveiliging biedt en Microsoft Purview gegevensgovernance en zichtbaarheid van naleving biedt voor elke agentactie.
Cloud-pc's voor agents zijn:
- Gegroepeerd: dynamisch toegewezen vanuit een gedeelde pool per taak.
- Staatloos: opnieuw instellen na elke agentsessie, zonder status overgedragen
- Programmatisch: toegankelijk door agents, niet door interactieve gebruikers.
Windows 365 for Agents integreert identiteit, verificatie en apparaatvertrouwen in elke agentsessie, waardoor alle acties worden beheerd, geïsoleerd en gecontroleerd. Door gebruik te maken van een identity-first, Zero Trust benadering, wordt elke agentaanvraag gevalideerd met behulp van identiteits-, apparaat- en beleidssignalen, waarbij beveiligingscontroles gedurende de sessielevenscyclus worden afgedwongen.
Waarom identiteit hier van belang is
Identiteit staat centraal in hoe Windows 365 for Agents veilige automatisering op schaal levert.
| Functie | Wat het mogelijk maakt |
|---|---|
| Veilig poolen inschakelen | Veel agents delen infrastructuur zonder identiteit te delen. |
| Toegang binnen sessiebereik | Elke verbinding wordt geverifieerd en beheerd door beleid. |
| Ondersteunt kortstondige berekeningen | Identiteit gaat mee met de sessie, niet met het apparaat. |
| Isolatie afdwingen | Sessies zijn onafhankelijk en worden opnieuw ingesteld tussen gebruik. |
| Volledige controlebaarheid | Elke actie wordt teruggezet naar de identiteit van een specifieke agentgebruiker. |
Samen zorgt dit model ervoor dat agents op schaal kunnen werken, binnen een gedeelde, dynamische infrastructuur, terwijl ze volledig beheerd blijven binnen bedrijfsbeveiligings- en nalevingsgrenzen. Agents krijgen de toegang die ze nodig hebben om productief te zijn, onder dezelfde ondernemingsbescherming als uw menselijke gebruikers.
Identiteitsintegratie met Microsoft Entra
Microsoft Entra biedt een geïntegreerd identiteits- en beleidsbeheervlak voor agents (zie Microsoft Entra Agent-ID documentatie), cloud-pc's en sessies. In Windows 365 for Agents hebben agents geen toegewezen apparaat. In plaats daarvan bekijken ze per taak een cloud-pc uit de toegewezen Cloud-pc-pool, gebruiken deze en checken ze deze vervolgens weer in bij de pool nadat de taak is voltooid, waardoor het opnieuw instellen wordt geactiveerd. De identiteit van de agentgebruiker is gebonden aan de sessie, niet aan het apparaat. Verificatie wordt opnieuw tot stand gebracht voor elke verbinding en toegang wordt continu beheerd door beleid.
Agentidentiteiten
Elke agent maakt gebruik van een toegewezen Microsoft Entra agentgebruikersidentiteit, gescheiden van menselijke gebruikers, en verifieert naadloos met op tokens gebaseerde stromen naar Windows 365 for Agents virtuele machines. Resourcetoegang wordt expliciet toegewezen aan elke agent-identiteit, waarbij levenscyclusbeheer (maken, uitschakelen, controleren) centraal wordt beheerd in Agent 365. Met dit model kunnen meerdere agents een cloud-pc-pool delen met behoud van strikte controle op identiteitsniveau, zichtbaarheid en audittrails. Agents hergebruiken of imiteren nooit gebruikersreferenties, wat zorgt voor een duidelijke beveiligingsgrens. Windows 365 for Agents virtuele machines zijn alleen voor agents en zijn strikt gereserveerd voor programmatische agentworkloads. Dit zorgt ervoor dat alleen geautoriseerde agentidentiteiten sessies kunnen initiëren, taken kunnen uitvoeren of toegang kunnen krijgen tot resources. Dit ontwerp dwingt een sterke isolatie af tussen geautomatiseerde agents en menselijke gebruikers, waardoor het risico verder wordt verminderd en een veilige, controleerbare grens wordt gehandhaafd.
Beleidshandhaving gedurende de levenscyclus
Het afdwingen van beleid beslaat de levenscyclus van de agent:
- Identiteitsbeheer: Microsoft Entra als het gecentraliseerde identiteits- en beleidsvlak.
- Pooltoewijzing voor agents in Intune: bepaalt welke agentidentiteiten cloud-pc's kunnen verkrijgen.
- Sessie tot stand brengen: Microsoft Entra Voorwaardelijke toegang evalueert identiteit en context voordat verbinding wordt toegestaan.
- Toegang tot resources: downstreambeleid definieert wat agents kunnen doen nadat ze verbinding hebben gemaakt.
Deze benadering houdt agents binnen dezelfde beveiligingsgrenzen van het bedrijf als menselijke gebruikers, zelfs als programmatische, autonome actoren.
Windows 365 for Agents integreert met beleid voor voorwaardelijke toegang voor agentgebruikersidentiteiten om op beleid gebaseerd toegangsbeheer af te dwingen voor agentgebruikersidentiteiten, behandeld als menselijke gebruikers.
Met voorwaardelijke toegang:
- Toegang wordt in realtime geëvalueerd met behulp van identiteits- en contextuele signalen.
- Beleid zorgt ervoor dat agents alleen worden uitgevoerd in vertrouwde, compatibele omgevingen.
- Toegang kan dynamisch worden toegestaan, beperkt of geblokkeerd op basis van risico.
Met deze benadering kunt u het volgende doen:
- Voorwaardelijke toegang afdwingen op basis van apparaatcompatibiliteit met behulp van toekenningsbeheer.
- Consistent beleid toepassen op zowel agents als menselijke gebruikers.
Door Zero Trust verder te gaan dan verificatie, wordt de aanvraag van elke agent continu gecontroleerd en beheerd. U kunt riskante of niet-goedgekeurde agents expliciet blokkeren, zodat alleen beoordeelde en compatibele agents toegang hebben tot resources.
End-to-end audittrail
Omdat de menselijke gebruiker en de agentgebruiker elk afzonderlijke Microsoft Entra identiteiten hebben, wordt elke actie correct toegewezen in de volledige overdrachtsketen. Beheerders kunnen een aanvraag traceren vanaf het moment dat een menselijke gebruiker een agent vraagt om elke taak die de agent namens hen uitvoert, met activiteit gecorreleerd in:
- Agent 365: de oorspronkelijke gebruikersprompt en de taakuitvoering van de agent.
- Microsoft Entra aanmeldingslogboeken: verificatiegebeurtenissen voor zowel de menselijke gebruiker als de gebruikersidentiteit van de agent.
- Microsoft Defender: bedreigingssignalen en beveiligingsgebeurtenissen die aan de sessie zijn gekoppeld.
- Microsoft Purview: gegevenstoegang, naleving en governance-activiteit.
Deze geïntegreerde controleweergave biedt beveiligings- en nalevingsteams één, coherente record van wie wat heeft geïnitieerd, welke agent heeft gehandeld en wat de agent heeft gedaan. De aansprakelijkheid blijft behouden, zelfs wanneer werk wordt gedelegeerd aan autonome agents.
Zie Ai-agents op schaal beveiligen met behulp van Microsoft Agent 365 voor meer informatie.
Volgende stappen
- Meer informatie over het verificatiemodel van de agent.
- Meer informatie over de levenscyclus van de agentsessie.