Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Windows 365 for Agents repose sur une architecture axée sur la sécurité. Chaque couche, de l’identité et de l’authentification à la protection contre les menaces, à la gouvernance des données et à l’auditabilité, est conçue pour appliquer Confiance nulle principes sur les charges de travail de l’agent. Cette page fournit une vue d’ensemble de la sécurité de Windows 365 for Agents.
Chaque PC cloud pour agents est joint Microsoft Entra et inscrit Microsoft Intune, ce qui donne aux agents une identité managée et une posture d’appareil dès le premier jour. Exposé en tant qu’outil MCP dans Microsoft Agent 365, Windows 365 for Agents hérite de la piste de sécurité et d’audit de la plateforme, avec Microsoft Defender fournissant une protection contre les menaces et Microsoft Purview offrant une visibilité de la gouvernance et de la conformité des données sur chaque action de l’agent.
Piliers de la sécurité en un coup d’œil
Le modèle de sécurité pour Windows 365 for Agents est organisé autour de cinq piliers. Chaque pilier traite une dimension distincte de l’infrastructure Confiance nulle appliquée aux charges de travail de l’agent.
| Pilier | Ce qu'il fait | En savoir plus |
|---|---|---|
| Identité | Les agents utilisent un compte d’utilisateur d’agent Microsoft Entra dédié, distinct des utilisateurs humains. L’identité est liée à la session, et non à l’appareil. Microsoft Entra fournit un plan de contrôle unifié de l’identité et de la stratégie entre les agents, les PC cloud et les sessions. | Identité et sécurité : sécurisé par la conception |
| Authentification | L’authentification basée sur les jetons est liée par chiffrement à l’appareil. Les sessions sont authentifiées sur chaque connexion, avec une vérification continue tout au long du cycle de vie de session à l’aide de signaux d’identité et de contexte. | Modèle d’authentification de l’agent |
| Protection contre les menaces | Microsoft Defender pour point de terminaison peuvent s’exécuter sur le PC cloud, ce qui fournit une détection en temps réel, une visibilité de repérage avancée, une surveillance Defender for Cloud Apps et des contrôles juste-à-temps basés sur des signaux de risque en temps réel. | Protection contre les menaces avec Microsoft Defender |
| Gouvernance des données | Microsoft Purview étend la protection contre la perte de données de point de terminaison (DLP), la gestion de la posture de sécurité des données (DSPM) pour l’IA et les Explorer d’activité aux charges de travail de l’agent, ce qui garantit que les données sensibles sont régies de manière cohérente, qu’elles soient accessibles par les utilisateurs ou les agents. | Gouvernance des données avec Microsoft Purview |
| Vérifiabilité | Agent 365 fournit une gouvernance et une auditabilité centralisées. Chaque interaction est capturée et corrélée dans l’identité, l’accès et les actions. Les équipes de sécurité peuvent suivre l’activité à partir de la demande de l’utilisateur d’origine via l’exécution de l’agent et les actions qui en résultent. | Gouvernance et auditabilité |
Confiance nulle principes pour les charges de travail de l’agent
Windows 365 for Agents applique Confiance nulle principes à chaque session d’agent. Confiance nulle suppose l’absence d’approbation implicite ; chaque demande est validée à l’aide de signaux d’identité, d’appareil et de stratégie, quel que soit l’origine de la demande ou la ressource à laquelle elle accède.
| Principe | Comment elle s’applique à Windows 365 for Agents |
|---|---|
| Vérifiez explicitement. | Chaque session d’agent est authentifiée via Microsoft Entra avec des informations d’identification basées sur des jetons liées à l’appareil. L’accès conditionnel évalue l’identité et le contexte, et autorise l’accès à l’agent uniquement à partir d’appareils conformes. |
| Utiliser l’accès avec privilège minimum | L’accès aux ressources est explicitement attribué à chaque identité d’agent. L’attribution de pool dans Intune détermine quelles identités d’agent peuvent acquérir des PC cloud. Les stratégies en aval définissent ce que les agents peuvent faire après leur connexion. Les stratégies d’accès conditionnel peuvent explicitement empêcher les identités d’agent d’accéder aux ressources. |
| Supposez une violation. | Les PC cloud sont sans état et réinitialisés après chaque session d’agent, ce qui garantit qu’aucune information d’identification n’est conservée et qu’aucune confiance n’est présente entre les charges de travail. Chaque session s’exécute dans un environnement dédié et isolé. Microsoft Defender fournit une détection continue des menaces, et Microsoft Purview surveille l’accès aux données. |
Comment la sécurité couvre le cycle de vie de l’agent
Les contrôles de sécurité sont intégrés à chaque phase du cycle de vie de la session de l’agent. À partir du moment où un PC cloud est approvisionné jusqu’au moment où il est réinitialisé et retourné au pool, l’identité, la stratégie et la protection sont continuellement appliquées.
| Phase de cycle de vie | Action exécutée | Contrôles de sécurité |
|---|---|---|
| Préparation | Les pools de PC cloud sont provisionnés, configurés et mis à la disposition de l’agent. | Les administrateurs informatiques définissent des pools avec des images, des régions et une taille. Chaque PC cloud est joint Microsoft Entra et inscrit Intune. Le capteur Microsoft Defender pour point de terminaison peut être déployé. |
| Acquérir | Un PC cloud est réservé à un appelant et à une session spécifiques. | L’attribution de pool détermine quelles identités d’agent sont autorisées. |
| Connecter | Une session authentifiée est établie et des fonctionnalités deviennent disponibles. | Microsoft Entra émet et valide les jetons. L’accès conditionnel évalue les signaux d’identité, d’appareil et de stratégie. Les jetons sont liés par chiffrement à l’appareil. |
| Acte | L’agent utilise le PC cloud, avec une observation humaine facultative. | Intune stratégies de sécurité des appareils sont appliquées par Windows et Microsoft Edge pour protéger l’environnement pc cloud, tandis que Microsoft Entra l’accès conditionnel protège l’accès aux ressources. Microsoft Defender fournit une surveillance en temps réel, Microsoft Purview régit les données et toutes les actions sont entièrement auditées et attribuées. |
| Version | La session se termine, le PC cloud est réinitialisé et la capacité revient au pool. | Toutes les informations d’identification et jetons sont détruits. Le PC cloud revient à sa base de référence provisionnée. Les journaux d’audit sont finalisés. |