Windows 365 for Agents 結合 Microsoft Entra 身份、雲端 PC 隔離與 Microsoft 365 安全控管,並以端到端零信任原則治理,提供代理工作負載的執行環境。 每台雲端電腦都已加入 Microsoft Entra 並由 Microsoft Intune 註冊,這讓代理從第一天起就擁有受管理身份與裝置狀態。 作為 Agent 365 中的 MCP 工具,它繼承了平台的安全與稽核軌跡,Microsoft Defender 提供威脅防護,Microsoft Purview 則提供資料治理與合規可視性,涵蓋每一個代理行動。
代理的雲端電腦包括:
- 池化:從共用池中動態指派每個任務。
- 無狀態:每次代理會話後重置,且不帶任何狀態延續
- 程式化:由代理者存取,非互動使用者。
Windows 365 for Agents 將身份、認證與裝置信任整合進每個代理會話,確保所有操作皆受控、隔離且可稽核。 透過身份優先、零信任方法,每個代理請求都會透過身份、裝置及政策訊號進行驗證,並在整個會話生命週期中強制執行安全控制。
為什麼身份認同在這裡很重要
身份是 Windows 365 for Agents 大規模提供安全自動化的核心。
| 功能 | 它所帶來的意義 |
|---|---|
| 促進安全池化 | 許多代理共享基礎設施卻不共享身份。 |
| 會話範圍存取 | 每個連線都經過驗證並由政策管理。 |
| 支援臨時運算 | 身份會隨會話而行,而不是裝置。 |
| 強化隔離 | 會話是獨立的,會在每次使用之間重置。 |
| 完整可審計性 | 每個行動都追溯到特定客服使用者的身份。 |
此模式確保代理能在共享且動態的基礎設施中大規模運作,同時完全受企業安全與合規規範。 代理人員獲得所需的存取權限,能夠在與你的人類使用者相同的企業規範下運作。
與 Microsoft Entra 的身份整合
Microsoft Entra 提供跨代理 (檢視Microsoft Entra Agent ID文件) 、雲端 PC 與會話的統一身份與政策控制平面。 在 Windows 365 for Agents 中,代理程式沒有指定的專用裝置。 相反地,他們會從分配給的雲端電腦池中借出一台雲端電腦,使用該電腦,完成任務後再把它送回池中,觸發重置。 代理使用者的身份綁定在會話中,而非裝置本身。 每個連線都會重新建立認證,且存取權持續受政策規範。
代理人身份
每個代理程式使用專用的 Microsoft Entra 代理使用者身份,與人類使用者分開,並透過憑證流程無縫認證至 Windows 365 for Agents 虛擬機器。 資源存取權明確分配給每個代理身份,生命週期管理 (建立、停用、稽核) 集中管理於Agent 365中。 此模型允許多個代理共享一個雲端 PC 池,同時維持嚴格的身份層級控制、可見性與稽核軌跡。 客服人員絕不重複使用或冒充使用者憑證,確保安全界線明確。 Windows 365 for Agents 虛擬機器僅支援代理,嚴格保留給程式化代理工作負載,確保只有授權代理身份能啟動會話、執行任務或存取資源。 此設計強化自動化客服與人類使用者間的隔離,進一步降低風險並維持安全且可稽核的邊界。
全生命週期的政策執行
政策執行涵蓋代理的生命週期:
- 身份控制:Microsoft Entra 作為集中式的身份與政策平面。
- Intune 中代理的分配池:決定哪些代理身份可以取得雲端電腦。
- 會話建立:Microsoft Entra 條件存取在允許連線前評估身份與上下文。
- 資源存取:下游政策定義代理在連接後可做的事。
這種做法讓代理者即使作為程式化、自主的行動者,也與人類使用者保持在同一企業安全邊界內。
Windows 365 for Agents 整合條件存取政策,針對代理使用者身份,強制以政策為基礎的存取控制,對代理使用者身份的存取控制,與人類使用者相同。
有條件存取:
- 存取權透過身份與情境訊號即時評估。
- 政策確保代理程式僅在可信且合規的環境中運行。
- 存取可根據風險動態允許、限制或封鎖。
這種方法能讓你:
- 透過授權控制,根據裝置合規性強制執行 條件存取 。
- 在客服人員與人類使用者間套用一致的政策。
透過將零信任延伸至認證之外,每位代理人的請求都能持續被驗證與管理。 你可以明確封鎖風險較高或未經核准的代理人,確保只有經過審核且合規的代理人才能存取資源。
端對端稽核追蹤
由於人類使用者與代理使用者各自擁有不同的 Microsoft Entra 身份,因此每個動作在整個委派鏈中都能正確歸屬。 管理員可以從人類使用者提示代理執行的每一項任務起,追蹤請求,活動相關性如下:
- Agent 365:原始使用者提示字元及代理的任務執行。
- Microsoft Entra 登入日誌:針對人類使用者與代理使用者身份的認證事件。
- Microsoft Defender:與會話相關的威脅訊號和安全事件。
- Microsoft Purview:資料存取、合規與治理活動。
這種統一的稽核視圖為資安與合規團隊提供單一且連貫的紀錄,記錄誰發起了什麼、哪位客服人員行動,以及客服人員做了什麼。 即使工作被委派給自主代理人,也能維持問責。
欲了解更多資訊,請參閱使用 Microsoft Agent 365 進行大規模安全 AI 代理。