Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows 365 for Agents basiert auf einer Sicherheitsarchitektur. Jede Ebene von Identität und Authentifizierung bis hin zu Bedrohungsschutz, Datengovernance und Überprüfbarkeit ist so konzipiert, dass Zero Trust Prinzipien für Agent-Workloads erzwungen werden. Diese Seite bietet eine Sicherheitsübersicht über Windows 365 for Agents.
Jeder Cloud-PC für Agents ist Microsoft Entra eingebunden und Microsoft Intune registriert, wodurch Agents vom ersten Tag an eine verwaltete Identität und Gerätestatus erhalten. Als MCP-Tool in Microsoft Agent 365 verfügbar gemacht, erbt Windows 365 for Agents den Sicherheits- und Überwachungspfad der Plattform, wobei Microsoft Defender Bedrohungsschutz bietet und Microsoft Purview Datengovernance und Compliance-Transparenz für jede Agent-Aktion bereitstellt.
Sicherheitssäulen auf einen Blick
Das Sicherheitsmodell für Windows 365 for Agents ist in fünf Säulen unterteilt. Jede Säule befasst sich mit einer eigenen Dimension des Zero Trust Frameworks, das auf Agentworkloads angewendet wird.
| Pfeiler | Funktion der Einstellung | Weitere Informationen |
|---|---|---|
| Identität | Agents verwenden ein dediziertes Microsoft Entra-Agent-Benutzerkonto, das von menschlichen Benutzern getrennt ist. Die Identität ist an die Sitzung gebunden, nicht an das Gerät. Microsoft Entra bietet eine einheitliche Identitäts- und Richtlinienkontrollebene für Agents, Cloud-PCs und Sitzungen. | Identität und Sicherheit: sicheres Design |
| Authentifizierung | Die tokenbasierte Authentifizierung wird kryptografisch an das Gerät gebunden. Sitzungen werden bei jeder Verbindung authentifiziert, wobei während des gesamten Sitzungslebenszyklus kontinuierlich überprüft wird, indem Identitäts- und Kontextsignale verwendet werden. | Agent-Authentifizierungsmodell |
| Bedrohungsschutz | Microsoft Defender for Endpoint können auf dem Cloud-PC ausgeführt werden und bieten Echtzeiterkennung, erweiterte Suchsicht, Defender for Cloud Apps Überwachung und Just-in-Time-Steuerungen basierend auf Echtzeit-Risikosignalen. | Bedrohungsschutz mit Microsoft Defender |
| Datengovernance | Microsoft Purview erweitert die Verhinderung von Datenverlust (Data Loss Prevention, DLP), die Verwaltung des Datensicherheitsstatus (data security posture management, DSSM) für KI und Aktivitäts-Explorer auf Agent-Workloads, wodurch sichergestellt wird, dass vertrauliche Daten konsistent gesteuert werden, unabhängig davon, ob Benutzer oder Agents darauf zugreifen. | Datengovernance mit Microsoft Purview |
| Überprüfbarkeit | Agent 365 bietet zentralisierte Governance und Überprüfbarkeit. Jede Interaktion wird erfasst und über Identität, Zugriff und Aktionen hinweg korreliert. Sicherheitsteams können Aktivitäten von der ursprünglichen Benutzeranforderung über die Ausführung des Agents und die daraus resultierenden Aktionen nachverfolgen. | Governance und Überprüfbarkeit |
Zero Trust-Prinzipien für Agent-Workloads
Windows 365 for Agents wendet Zero Trust Prinzipien auf jede Agentsitzung an. Zero Trust setzt keine implizite Vertrauenswürdigkeit voraus. Jede Anforderung wird mithilfe von Identitäts-, Geräte- und Richtliniensignalen überprüft, unabhängig davon, woher die Anforderung stammt oder auf welche Ressource sie zugreift.
| Prinzip | Anwendung auf Windows 365 for Agents |
|---|---|
| Explizit verifizieren | Jede Agentsitzung wird über Microsoft Entra mit tokenbasierten, gerätegebundenen Anmeldeinformationen authentifiziert. Der bedingte Zugriff wertet Identität und Kontext aus und lässt den Agent-Zugriff nur von kompatiblen Geräten aus zu. |
| Verwenden des Zugriffs mit den geringsten Rechten | Der Ressourcenzugriff wird jeder Agent-Identität explizit zugewiesen. Die Poolzuweisung in Intune bestimmt, welche Agent-Identitäten Cloud-PCs abrufen können. Downstreamrichtlinien definieren, was Agents tun können, nachdem sie eine Verbindung hergestellt haben. Richtlinien für bedingten Zugriff können agent-Identitäten explizit am Zugriff auf Ressourcen hindern. |
| Gehe von einem Verstoß aus | Cloud-PCs sind zustandslos und werden nach jeder Agent-Sitzung zurückgesetzt. Dadurch wird sichergestellt, dass keine Anmeldeinformationen beibehalten werden und keine vertrauenswürdigen Workloads übertragen werden. Jede Sitzung wird in einer dedizierten, isolierten Umgebung ausgeführt. Microsoft Defender bietet eine kontinuierliche Bedrohungserkennung, und Microsoft Purview überwacht den Datenzugriff. |
So erstreckt sich die Sicherheit über den Agent-Lebenszyklus
Sicherheitskontrollen sind in jede Phase des Agent-Sitzungslebenszyklus eingebunden. Von der Bereitstellung eines Cloud-PCs bis zu dem Zeitpunkt, zu dem er zurückgesetzt und an den Pool zurückgegeben wird, werden Identität, Richtlinie und Schutz kontinuierlich erzwungen.
| Lebenszyklusphase | Folge | Sicherheitskontrollen |
|---|---|---|
| Vorbereiten | Pools von Cloud-PCs werden bereitgestellt, konfiguriert und für die Agent-Verwendung zur Verfügung gestellt. | IT-Administratoren definieren Pools mit Images, Regionen und Größe. Jeder Cloud-PC ist Microsoft Entra eingebunden und Intune registriert. Der Microsoft Defender for Endpoint Sensor kann bereitgestellt werden. |
| Erwerben | Ein Cloud-PC ist für einen bestimmten Aufrufer und eine bestimmte Sitzung reserviert. | Die Poolzuweisung bestimmt, welche Agent-Identitäten autorisiert sind. |
| Verbinden | Eine authentifizierte Sitzung wird eingerichtet, und Funktionen werden verfügbar. | Microsoft Entra Token aus und überprüft sie. Der bedingte Zugriff wertet Identitäts-, Geräte- und Richtliniensignale aus. Token werden kryptografisch an das Gerät gebunden. |
| Handeln | Der Agent betreibt den Cloud-PC mit optionaler Menschlicher Beobachtung. | Intune Gerätesicherheitsrichtlinien werden von Windows und Microsoft Edge erzwungen, um die Cloud-PC-Umgebung zu schützen, während Microsoft Entra bedingter Zugriff den Ressourcenzugriff schützt. Microsoft Defender Echtzeitüberwachung bietet, steuert Microsoft Purview Daten, und alle Aktionen werden vollständig überwacht und zugeordnet. |
| Freigabe | Die Sitzung wird beendet, der Cloud-PC wird zurückgesetzt, und die Kapazität kehrt an den Pool zurück. | Alle Anmeldeinformationen und Token werden zerstört. Der Cloud-PC kehrt zu seiner bereitgestellten Baseline zurück. Überwachungsprotokolle werden abgeschlossen. |
Nächste Schritte
- Erfahren Sie mehr über Identität und Sicherheit in Windows 365 for Agents.