Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows 365 for Agents is gebouwd op basis van een beveiligingsarchitectuur. Elke laag, van identiteit en verificatie tot bedreigingsbeveiliging, gegevensbeheer en controlebaarheid, is ontworpen om Zero Trust principes af te dwingen voor agentworkloads. Deze pagina biedt een beveiligingsoverzicht van Windows 365 for Agents.
Elke cloud-pc voor agents is Microsoft Entra gekoppeld en Microsoft Intune ingeschreven, waardoor agents vanaf dag één een beheerde identiteit en apparaatpostuur hebben. Als MCP-hulpprogramma binnen Microsoft Agent 365 wordt weergegeven, neemt Windows 365 for Agents de beveiligings- en audittrail van het platform over, waarbij Microsoft Defender bedreigingsbeveiliging biedt en Microsoft Purview gegevensbeheer en zichtbaarheid van naleving biedt voor elke agentactie.
Beveiligingspijlers in één oogopslag
Het beveiligingsmodel voor Windows 365 for Agents is georganiseerd rond vijf pijlers. Elke pijler heeft betrekking op een afzonderlijke dimensie van het Zero Trust framework dat wordt toegepast op agentworkloads.
| Pijler | Wat het doet | Meer informatie |
|---|---|---|
| Identiteit | Agents gebruiken een toegewezen Microsoft Entra agentgebruikersaccount, gescheiden van menselijke gebruikers. Identiteit is gebonden aan de sessie, niet aan het apparaat. Microsoft Entra biedt een geïntegreerd identiteits- en beleidsbeheervlak voor agents, cloud-pc's en sessies. | Identiteit en beveiliging: veilig door ontwerp |
| Verificatie | Verificatie op basis van tokens is cryptografisch gebonden aan het apparaat. Sessies worden geverifieerd op elke verbinding, met continue verificatie gedurende de levenscyclus van de sessie met behulp van identiteits- en contextsignalen. | Verificatiemodel van agent |
| Bedreigingsbeveiliging | Microsoft Defender voor Eindpunt kunnen worden uitgevoerd op de cloud-pc, met realtime detectie, geavanceerde opsporing, Defender for Cloud Apps bewaking en Just-In-Time-controles op basis van realtime risicosignalen. | Bedreigingsbeveiliging met Microsoft Defender |
| Gegevensbeheer | Microsoft Purview breidt preventie van gegevensverlies (DLP), beheer van gegevensbeveiligingspostuur (DSPM) voor AI en Activity Explorer uit naar agentworkloads, waardoor gevoelige gegevens consistent worden beheerd, ongeacht of ze worden geopend door gebruikers of agents. | Gegevensbeheer met Microsoft Purview |
| Controleerbaarheid | Agent 365 biedt gecentraliseerd beheer en controleerbaarheid. Elke interactie wordt vastgelegd en gecorreleerd tussen identiteit, toegang en acties. Beveiligingsteams kunnen activiteiten van de oorspronkelijke gebruikersaanvraag traceren via de uitvoering van de agent en de resulterende acties. | Governance en controleerbaarheid |
Zero Trust principes voor agentworkloads
Windows 365 for Agents past Zero Trust principes toe op elke agentsessie. Zero Trust gaat ervan uit dat er geen impliciete vertrouwensrelatie bestaat. Elke aanvraag wordt gevalideerd met behulp van identiteits-, apparaat- en beleidssignalen, ongeacht waar de aanvraag vandaan komt of welke resource deze opent.
| Beginsel | Hoe dit van toepassing is op Windows 365 for Agents |
|---|---|
| Expliciet controleren | Elke agentsessie wordt geverifieerd via Microsoft Entra met apparaatgebonden referenties op basis van tokens. Voorwaardelijke toegang evalueert identiteit en context en biedt agent alleen toegang vanaf compatibele apparaten. |
| Toegang met minimale bevoegdheden gebruiken | Resourcetoegang wordt expliciet toegewezen aan elke agent-id. Pooltoewijzing in Intune bepaalt welke agentidentiteiten cloud-pc's kunnen verkrijgen. Downstream-beleid definieert wat agents kunnen doen nadat ze verbinding hebben gemaakt. Beleid voor voorwaardelijke toegang kan expliciet voorkomen dat agentidentiteiten toegang krijgen tot resources. |
| Ga ervan uit dat er sprake is van | Cloud-pc's zijn staatloos en worden na elke agentsessie opnieuw ingesteld, waardoor er geen referenties behouden blijven en er geen vertrouwen bestaat in workloads. Elke sessie wordt uitgevoerd in een toegewezen, geïsoleerde omgeving. Microsoft Defender biedt continue detectie van bedreigingen en Microsoft Purview bewaakt de toegang tot gegevens. |
Hoe beveiliging de levenscyclus van de agent overspant
Beveiligingscontroles zijn geïntegreerd in elke fase van de levenscyclus van de agentsessie. Vanaf het moment dat een cloud-pc wordt ingericht tot het moment dat deze opnieuw wordt ingesteld en wordt teruggezet naar de pool, worden identiteit, beleid en beveiliging continu afgedwongen.
| Levenscyclusfase | Wat gebeurt er | Beveiligingsbesturingselementen |
|---|---|---|
| Voorbereiden | Pools van cloud-pc's worden ingericht, geconfigureerd en beschikbaar gesteld voor agentgebruik. | IT-beheerders definiëren pools met installatiekopieën, regio's en grootte. Elke cloud-pc is Microsoft Entra gekoppeld en Intune ingeschreven. De Microsoft Defender voor Eindpunt sensor kan worden geïmplementeerd. |
| Verwerven | Een cloud-pc is gereserveerd voor een specifieke beller en sessie. | Pooltoewijzing bepaalt welke agentidentiteiten worden geautoriseerd. |
| Verbinding maken | Er wordt een geverifieerde sessie tot stand gebracht en er worden mogelijkheden beschikbaar. | Microsoft Entra problemen en valideert tokens. Met voorwaardelijke toegang worden identiteits-, apparaat- en beleidssignalen geëvalueerd. Tokens zijn cryptografisch gebonden aan het apparaat. |
| Handelen | De agent werkt met de cloud-pc, met optionele menselijke observatie. | Intune beveiligingsbeleid voor apparaten wordt afgedwongen door Windows en Microsoft Edge om de cloud-pc-omgeving te beschermen, terwijl Microsoft Entra voorwaardelijke toegang toegang tot resources garandeert. Microsoft Defender realtime-bewaking biedt, beheert Microsoft Purview gegevens en worden alle acties volledig gecontroleerd en toegewezen. |
| Release | De sessie wordt beëindigd, de cloud-pc wordt opnieuw ingesteld en de capaciteit keert terug naar de pool. | Alle referenties en tokens worden vernietigd. De cloud-pc keert terug naar de ingerichte basislijn. Auditlogboeken zijn voltooid. |
Volgende stappen
- Meer informatie over identiteit en beveiliging in Windows 365 for Agents.