Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Windows 365 for Agents baseia-se numa arquitetura de segurança inicial. Cada camada, desde a identidade e autenticação até à proteção contra ameaças, governação de dados e auditabilidade, foi concebida para impor princípios de Confiança Zero entre cargas de trabalho de agentes. Esta página fornece uma descrição geral de segurança de Windows 365 for Agents.
Cada PC na Cloud para Agentes está associado Microsoft Entra e Microsoft Intune inscrito, o que dá aos agentes uma identidade gerida e postura de dispositivo desde o primeiro dia. Exposto como uma ferramenta MCP no Microsoft Agent 365, Windows 365 for Agents herda o registo de segurança e auditoria da plataforma, com Microsoft Defender a fornecer proteção contra ameaças e o Microsoft Purview a fornecer visibilidade de governação e conformidade de dados em todas as ações do agente.
Pilares de segurança rapidamente
O modelo de segurança para Windows 365 for Agents está organizado em torno de cinco pilares. Cada pilar aborda uma dimensão distinta da arquitetura de Confiança Zero aplicada às cargas de trabalho do agente.
| Pilar | Função | Saiba mais |
|---|---|---|
| Identidade | Os agentes utilizam uma conta de utilizador dedicada Microsoft Entra agente, separada dos utilizadores humanos. A identidade está vinculada à sessão, não ao dispositivo. Microsoft Entra fornece uma identidade unificada e um plano de controlo de políticas entre agentes, PCs cloud e sessões. | Identidade e segurança: segura por predefinição |
| Autenticação | A autenticação baseada em tokens está vinculada criptograficamente ao dispositivo. As sessões são autenticadas em todas as ligações, com verificação contínua ao longo do ciclo de vida da sessão através da utilização de sinais de identidade e contexto. | Modelo de autenticação de agente |
| Proteção contra ameaças | Microsoft Defender para Ponto de Extremidade podem ser executadas no CLOUD PC, fornecendo deteção em tempo real, visibilidade de Investigação Avançada, monitorização Defender para Aplicativos de Nuvem e controlos just-in-time com base em sinais de risco em tempo real. | Proteção contra ameaças com Microsoft Defender |
| Governança de dados | O Microsoft Purview expande a prevenção de perda de dados (DLP), a gestão da postura de segurança de dados (DSPM) para IA e a Explorer de Atividade a cargas de trabalho de agentes, o que garante que os dados confidenciais são regidos de forma consistente, quer sejam acedidos por utilizadores ou agentes. | Governação de dados com o Microsoft Purview |
| Capacidade de auditoria | Agent 365 proporciona governação e auditoria centralizadas. Cada interação é capturada e correlacionada entre identidade, acesso e ações. As equipas de segurança podem rastrear a atividade do pedido de utilizador de origem através da execução do agente e das ações resultantes. | Governação e auditabilidade |
princípios de Confiança Zero para cargas de trabalho de agentes
Windows 365 for Agents aplica princípios Confiança Zero a todas as sessões de agentes. Confiança Zero não assume nenhuma fidedignidade implícita; cada pedido é validado através da utilização de sinais de identidade, dispositivo e política, independentemente da origem do pedido ou do recurso a que acede.
| Princípio | Como se aplica ao Windows 365 for Agents |
|---|---|
| Verificar explicitamente | Todas as sessões de agente são autenticadas através de Microsoft Entra com credenciais baseadas em tokens e vinculadas ao dispositivo. O Acesso Condicional avalia a identidade e o contexto e permite o acesso do agente apenas a partir de dispositivos conformes. |
| Utilizar o acesso com menos privilégios | O acesso a recursos é explicitamente atribuído a cada identidade do agente. A atribuição de conjuntos no Intune determina quais as identidades dos agentes que podem adquirir PCs na Cloud. As políticas a jusante definem o que os agentes podem fazer depois de se ligarem. As políticas de Acesso Condicional podem bloquear explicitamente o acesso de identidades de agentes aos recursos. |
| Assumir violação | Os PCs na cloud não têm monitorização de estado e são repostos após cada sessão do agente, o que garante que nenhuma credencial persiste e que nenhuma confiança é efetuada entre cargas de trabalho. Cada sessão é executada num ambiente dedicado e isolado. Microsoft Defender fornece deteção contínua de ameaças e o Microsoft Purview monitoriza o acesso aos dados. |
Como a segurança abrange o ciclo de vida do agente
Os controlos de segurança são incorporados em todas as fases do ciclo de vida da sessão do agente. Desde o momento em que um CLOUD PC é aprovisionado até ao momento em que é reposto e devolvido ao conjunto, identidade, política e proteção são continuamente impostos.
| Fase do ciclo de vida | O que acontece | Controles de segurança |
|---|---|---|
| Preparar | Os conjuntos de PCs na Cloud são aprovisionados, configurados e disponibilizados para utilização do agente. | Os administradores de TI definem conjuntos com imagens, regiões e tamanho. Cada PC na Cloud está associado Microsoft Entra e Intune inscrito. O sensor Microsoft Defender para Ponto de Extremidade pode ser implementado. |
| Adquirir | Um PC na Cloud está reservado para uma chamada e sessão específicas. | A atribuição do conjunto determina que identidades de agente estão autorizadas. |
| Conectar | É estabelecida uma sessão autenticada e as capacidades ficam disponíveis. | Microsoft Entra problemas e valida tokens. O Acesso Condicional avalia os sinais de identidade, dispositivo e política. Os tokens estão criptograficamente vinculados ao dispositivo. |
| Atuar | O agente opera o CLOUD PC, com observação humana opcional. | Intune políticas de segurança de dispositivos são impostas pelo Windows e pelo Microsoft Edge para proteger o ambiente do CLOUD PC, enquanto Microsoft Entra o Acesso Condicional salvaguarda o acesso aos recursos. Microsoft Defender fornece monitorização em tempo real, o Microsoft Purview governa os dados e todas as ações são totalmente auditadas e atribuídas. |
| Lançar | A sessão termina, o CLOUD PC é reposto e a capacidade regressa ao conjunto. | Todas as credenciais e tokens são destruídos. O CLOUD PC regressa à linha de base aprovisionada. Os registos de auditoria são finalizados. |
Próximas etapas
- Saiba mais sobre identidade e segurança no Windows 365 for Agents.