Windows 365 for Agents 採用以安全為先的架構。 從身份與認證到威脅防護、資料治理與可稽核性,每一層都設計以在代理工作負載間強制執行零信任原則。 本頁提供 Windows 365 for Agents 的安全概述。
每台 Cloud PC for Agents 都已加入 Microsoft Entra 並由 Microsoft Intune 註冊,這讓代理從一開始就擁有受管理的身份與裝置狀態。 Microsoft Agent 365 作為 MCP 工具,Windows 365 for Agents 繼承了該平台的安全與稽核軌跡,Microsoft Defender 提供威脅防護,Microsoft Purview 則提供資料治理與合規可視性,涵蓋每個代理行動。
安全支柱一覽
Windows 365 for Agents 的安全模型圍繞五大支柱組織。 每個支柱針對零信任框架中應用於代理工作負載的不同面向。
| 柱子 | 功能 | 深入了解 |
|---|---|---|
| 身分識別 | 客服人員使用專用的 Microsoft Entra 客服使用者帳號,與人類使用者分開。 身份綁定在會話本身,而不是裝置。 Microsoft Entra 提供跨代理程式、雲端 PC 與會話間統一的身份與政策控制平面。 | 身份與安全性:設計上的安全 |
| 驗證 | 基於憑證的認證是加密綁定於裝置的。 每個連線都會進行認證,並在整個會話生命週期中持續使用身份與上下文訊號進行驗證。 | 代理認證模型 |
| 威脅防護 | 適用於端點的 Microsoft Defender 可在雲端 PC 上運行,提供即時偵測、進階狩獵可視性、Defender for Cloud Apps 監控,以及基於即時風險訊號的即時控管。 | 使用 Microsoft Defender 進行威脅防護 |
| 資料管理 | Microsoft Purview 將端點資料遺失 (DLP) 、AI 資料安全態勢管理 (DSPM) 及活動探索器擴展至代理工作負載,確保敏感資料無論由使用者或代理存取都能一致管理。 | Microsoft Purview 的資料治理 |
| 可稽核性 | Agent 365 提供集中治理與可稽核性。 每一次互動都會被捕捉並關聯於身份、存取與行動之間。 安全團隊可追蹤從原始使用者請求到代理執行及隨後行動的活動。 | 治理與可稽核性 |
代理工作負載的零信任原則
Windows 365 for Agents 對每個代理會話都套用零信任原則。 零信任不假設隱含信任;每個請求都會透過身份、裝置和政策訊號來驗證,無論請求來源或存取何種資源。
| 原則 | 它如何適用於 Windows 365 for Agents |
|---|---|
| 明確驗證 | 每個代理會話都透過 Microsoft Entra 以憑證、裝置綁定的憑證進行認證。 條件存取評估身份與上下文,並僅允許合規裝置的代理存取。 |
| 使用最低權限存取 | 資源存取權會明確指派給每個代理身份。 Intune 中的池分配決定哪些代理身份可以取得雲端電腦。 下游政策定義了客服在連線後可以做什麼。 條件存取政策可以明確阻擋代理身份存取資源。 |
| 假設有安全性缺口 | 雲端 PC 是無狀態的,且每次代理會話後重置,確保沒有任何憑證會持續存在,也不會跨工作負載傳遞信任。 每場會議都在專門且隔離的環境中進行。 Microsoft Defender 提供持續的威脅偵測,而 Microsoft Purview 則監控資料存取。 |
安全性如何跨越代理生命週期
安全控制貫穿代理會話生命週期的每個階段。 從雲端電腦配置的那一刻起,到被重置並返回池的那一刻,身份、政策和保護措施都會持續被強制執行。
| 生命週期階段 | 發生的情況 | 安全性控制項 |
|---|---|---|
| 準備 | 雲端 PC 池會被配置、配置並開放給代理使用。 | IT 管理員會定義包含映像、區域和大小的池。 每台雲端電腦都已加入 Microsoft Entra 並註冊於 Intune。 適用於端點的 Microsoft Defender 感測器可以部署。 |
| 收購 | 雲端電腦是為特定的呼叫者和會話保留的。 | 池分配決定哪些代理人身份被授權。 |
| 連線 | 建立一個認證後的會話,功能也隨之開放。 | Microsoft Entra 會發出並驗證令牌。 條件存取評估身份、裝置及政策訊號。 代幣是加密綁定於裝置上的。 |
| 採取行動 | 該代理操作雲端電腦,並可選擇人工觀察。 | Intune 裝置安全政策由 Windows 與 Microsoft Edge 執行以保護雲端 PC 環境,而 Microsoft Entra 條件存取則保障資源存取。 Microsoft Defender 提供即時監控,Microsoft Purview 管理資料,所有行為皆經過完整稽核與歸屬。 |
| 發行 | 會話結束後,Cloud PC 被重置,容量回到池中。 | 所有憑證和憑證都會被銷毀。 雲端電腦會回到其配置的基準狀態。 審核日誌已完成。 |