Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Windows 365 for Agents bygger på en säkerhetsarkitektur. Varje lager från identitet och autentisering till skydd mot hot, datastyrning och granskning är utformat för att framtvinga Nolltillit principer för agentarbetsbelastningar. Den här sidan innehåller en säkerhetsöversikt över Windows 365 for Agents.
Varje molndator för agenter är Microsoft Entra-ansluten och Microsoft Intune-registrerad, vilket ger agenter en hanterad identitet och enhetsstatus från dag ett. Exponeras som ett MCP-verktyg inom Microsoft Agent 365, Windows 365 for Agents ärver plattformens säkerhets- och granskningslogg, med Microsoft Defender som ger skydd mot hot och Microsoft Purview som ger datastyrning och efterlevnadssynlighet i varje agentåtgärd.
Säkerhetspelare i korthet
Säkerhetsmodellen för Windows 365 for Agents är organiserad kring fem pelare. Varje pelare hanterar en distinkt dimension av det Nolltillit ramverk som tillämpas på agentarbetsbelastningar.
| Pelaren | Vad den gör | Mer information |
|---|---|---|
| Identitet | Agenter använder ett dedikerat Microsoft Entra agentanvändarkonto, separat från mänskliga användare. Identiteten är bunden till sessionen, inte enheten. Microsoft Entra tillhandahåller ett enhetligt identitets- och principkontrollplan mellan agenter, molndatorer och sessioner. | Identitet och säkerhet: säkert avsiktligt |
| Autentisering | Tokenbaserad autentisering är kryptografiskt bunden till enheten. Sessioner autentiseras för varje anslutning, med kontinuerlig verifiering under hela sessionens livscykel med hjälp av identitets- och kontextsignaler. | Agentautentiseringsmodell |
| Skydd mot hot | Microsoft Defender för Endpoint kan köras på Cloud PC, vilket ger realtidsidentifiering, avancerad jaktsynlighet, Defender for Cloud Apps övervakning och just-in-time-kontroller baserat på risksignaler i realtid. | Hotskydd med Microsoft Defender |
| Datastyrning | Microsoft Purview utökar skydd mot dataförlust för slutpunkter (DLP), hantering av datasäkerhetsstatus (DSPM) för AI och Aktivitetsutforskaren till agentarbetsbelastningar, vilket säkerställer att känsliga data styrs konsekvent oavsett om de används av användare eller agenter. | Datastyrning med Microsoft Purview |
| Granskningsbarhet | Agent 365 ger centraliserad styrning och granskningsbarhet. Varje interaktion samlas in och korreleras mellan identiteter, åtkomst och åtgärder. Säkerhetsteam kan spåra aktivitet från den ursprungliga användarbegäran via agentens körning och resulterande åtgärder. | Styrning och granskning |
Nolltillit principer för agentarbetsbelastningar
Windows 365 for Agents tillämpar Nolltillit principer för varje agentsession. Nolltillit förutsätter inget implicit förtroende. Varje begäran verifieras med hjälp av identitets-, enhets- och principsignaler, oavsett var begäran kommer från eller vilken resurs den kommer åt.
| Principen | Så här gäller det för Windows 365 for Agents |
|---|---|
| Verifiera explicit | Varje agentsession autentiseras via Microsoft Entra med tokenbaserade, enhetsbundna autentiseringsuppgifter. Villkorsstyrd åtkomst utvärderar identitet och kontext och tillåter endast agentåtkomst från kompatibla enheter. |
| Använda åtkomst med lägsta behörighet | Resursåtkomst tilldelas uttryckligen till varje agentidentitet. Pooltilldelning i Intune avgör vilka agentidentiteter som kan hämta molndatorer. Underordnade principer definierar vad agenter kan göra när de har anslutit. Principer för villkorsstyrd åtkomst kan uttryckligen blockera agentidentiteter från att komma åt resurser. |
| Anta intrång | Molndatorer är tillståndslösa och återställs efter varje agentsession, vilket säkerställer att inga autentiseringsuppgifter bevaras och att inget förtroende förekommer mellan arbetsbelastningar. Varje session körs i en dedikerad, isolerad miljö. Microsoft Defender ger kontinuerlig hotidentifiering och Microsoft Purview övervakar dataåtkomst. |
Så här sträcker sig säkerheten över agentens livscykel
Säkerhetskontroller vävs in i varje fas i agentsessionens livscykel. Från det ögonblick då en molndator etableras tills den återställs och returneras till poolen tillämpas identitet, princip och skydd kontinuerligt.
| Livscykelfas | Vad som händer | Säkerhetskontroller |
|---|---|---|
| Förbereda | Pooler med molndatorer etableras, konfigureras och görs tillgängliga för agentanvändning. | IT-administratörer definierar pooler med avbildningar, regioner och storlek. Varje molndator är Microsoft Entra-ansluten och Intune-registrerad. Den Microsoft Defender för Endpoint sensorn kan distribueras. |
| Förvärva | En molndator är reserverad för en specifik uppringare och session. | Pooltilldelning avgör vilka agentidentiteter som är auktoriserade. |
| Ansluta | En autentiserad session upprättas och funktioner blir tillgängliga. | Microsoft Entra problem och validerar token. Villkorlig åtkomst utvärderar identitets-, enhets- och principsignaler. Token är kryptografiskt bundna till enheten. |
| Agera | Agenten använder Cloud PC med valfri mänsklig observation. | Intune enhetssäkerhetsprinciper tillämpas av Windows och Microsoft Edge för att skydda Cloud PC-miljön, medan Microsoft Entra villkorsstyrd åtkomst skyddar resursåtkomsten. Microsoft Defender tillhandahåller övervakning i realtid styr Microsoft Purview data och alla åtgärder granskas och tillskrivs fullständigt. |
| Version | Sessionen avslutas, Cloud PC återställs och kapaciteten återgår till poolen. | Alla autentiseringsuppgifter och token förstörs. Cloud PC återgår till sin etablerade baslinje. Granskningsloggarna har slutförts. |
Nästa steg
- Lär dig mer om identitet och säkerhet i Windows 365 for Agents.