Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Windows 365 des agents est en préversion publique. La fonctionnalité est en cours de développement actif et peut changer avant la disponibilité générale.
Windows 365 for Agents fournit un environnement d’exécution pour les charges de travail des agents en combinant Microsoft Entra identité, l’isolation des PC cloud et les contrôles de sécurité Microsoft 365, régis de bout en bout par Confiance nulle principes. Chaque PC cloud est joint Microsoft Entra et inscrit Microsoft Intune, ce qui donne aux agents une identité managée et une posture d’appareil dès le premier jour. Exposé en tant qu’outil MCP dans Agent 365, il hérite de la piste de sécurité et d’audit de la plateforme, avec Microsoft Defender fournissant une protection contre les menaces et Microsoft Purview offrant une visibilité sur la gouvernance et la conformité des données sur chaque action de l’agent.
Les PC cloud pour les agents sont les suivants :
- Mis en pool : attribué dynamiquement à partir d’un pool partagé par tâche.
- Sans état : réinitialisez après chaque session d’agent, sans état reporté
- Programmatique : accessible par les agents, et non par les utilisateurs interactifs.
Windows 365 pour agents intègre l’identité, l’authentification et l’approbation des appareils dans chaque session d’agent, ce qui garantit que toutes les actions sont régies, isolées et auditables. En utilisant une approche Confiance nulle d’identité, chaque demande d’agent est validée à l’aide de signaux d’identité, d’appareil et de stratégie, avec des contrôles de sécurité appliqués tout au long du cycle de vie de la session.
Pourquoi l’identité est importante ici
L’identité est essentielle à la façon dont Windows 365 pour les agents fournit une automatisation sécurisée à grande échelle.
| Fonctionnalité | Ce qu’il active |
|---|---|
| Active le regroupement sécurisé | De nombreux agents partagent l’infrastructure sans partager l’identité. |
| Accès étendu à la session | Chaque connexion est authentifiée et régie par une stratégie. |
| Prend en charge le calcul éphémère | L’identité se déplace avec la session, et non avec l’appareil. |
| Applique l’isolation | Les sessions sont indépendantes et réinitialisées entre les utilisations. |
| Possibilité d’audit complète | Chaque action remonte à l’identité d’un utilisateur d’agent spécifique. |
Ensemble, ce modèle garantit que les agents peuvent fonctionner à grande échelle, sur une infrastructure dynamique partagée, tout en restant entièrement régis dans les limites de sécurité et de conformité de l’entreprise. Les agents obtiennent l’accès dont ils ont besoin pour être productifs, sous les mêmes garde-fous d’entreprise que vos utilisateurs humains.
Intégration des identités à Microsoft Entra
Microsoft Entra fournit un plan de contrôle unifié d’identité et de stratégie entre les agents (voir la documentation Identifiant d’assistant Microsoft Entra), les PC cloud et les sessions. Dans Windows 365 pour les agents, aucun appareil dédié n’est affecté aux agents. Au lieu de cela, ils case activée un PC cloud à partir du pool de PC cloud attribué par tâche, l’utiliser, puis le case activée dans le pool une fois la tâche terminée, ce qui déclenche une réinitialisation. L’identité de l’utilisateur de l’agent est liée à la session, et non à l’appareil. L’authentification est rétablie sur chaque connexion et l’accès est régi en permanence par une stratégie.
Identités d’agent
Chaque agent utilise une identité d’utilisateur d’agent Microsoft Entra dédiée, distincte des utilisateurs humains, et s’authentifie en toute transparence avec des flux basés sur des jetons dans Windows 365 pour les machines virtuelles Agents. L’accès aux ressources est explicitement attribué à chaque identité d’agent, avec la gestion du cycle de vie (création, désactivation, audit) gérée de manière centralisée dans Agent 365. Ce modèle permet à plusieurs agents de partager un pool de PC cloud tout en conservant un contrôle, une visibilité et des pistes d’audit stricts au niveau de l’identité. Les agents ne réutilisent jamais ou n’empruntent jamais l’identité des informations d’identification de l’utilisateur, ce qui garantit une limite de sécurité claire. Windows 365 pour les machines virtuelles Agents sont réservées uniquement aux charges de travail d’agent programmatiques, ce qui garantit que seules les identités d’agent autorisées peuvent lancer des sessions, exécuter des tâches ou accéder aux ressources. Cette conception applique une isolation forte entre les agents automatisés et les utilisateurs humains, ce qui réduit davantage les risques et maintient une limite sécurisée et auditable.
Application de la stratégie tout au long du cycle de vie
L’application de la stratégie couvre le cycle de vie de l’agent :
- Contrôle d’identité : Microsoft Entra comme plan d’identité et de stratégie centralisé.
- Affectation de pool pour les agents dans Intune : détermine quelles identités d’agent peuvent acquérir des PC cloud.
- Établissement de session : Microsoft Entra l’accès conditionnel évalue l’identité et le contexte avant d’autoriser la connexion.
- Accès aux ressources : les stratégies en aval définissent ce que les agents peuvent faire une fois qu’ils se sont connectés.
Cette approche maintient les agents dans les mêmes limites de sécurité d’entreprise que les utilisateurs humains, même en tant qu’acteurs autonomes et programmatiques.
Windows 365 pour les agents prend en charge les stratégies d’accès conditionnel pour les identités d’utilisateur de l’agent avec le contrôle d’accès Bloquer disponible aujourd’hui. Les organisations peuvent explicitement empêcher les identités d’agent d’accéder aux ressources, ce qui garantit que seuls les agents révisés et approuvés fonctionnent. Tout agent qui présente un risque ou enfreint la stratégie est immédiatement bloqué.
Piste d’audit de bout en bout
Étant donné que l’utilisateur humain et l’utilisateur de l’agent ont chacun des identités Microsoft Entra distinctes, chaque action est correctement attribuée dans la chaîne de délégation complète. Les administrateurs peuvent suivre une demande à partir du moment où un utilisateur humain invite un agent à effectuer chaque tâche effectuée par l’agent en son nom, avec l’activité corrélée entre :
- Agent 365 : invite utilisateur d’origine et exécution de la tâche de l’agent.
- Microsoft Entra journaux de connexion : événements d’authentification pour l’utilisateur humain et l’identité de l’utilisateur de l’agent.
- Microsoft Defender : signaux de menace et événements de sécurité liés à la session.
- Microsoft Purview : activité d’accès aux données, de conformité et de gouvernance.
Cette vue d’audit unifiée fournit aux équipes de sécurité et de conformité un enregistrement unique et cohérent de qui a lancé quoi, quel agent a agi et ce que l’agent a fait. Il préserve la responsabilité même si le travail est délégué à des agents autonomes.
Pour plus d’informations, consultez Sécuriser les agents IA à grande échelle à l’aide de Microsoft Agent 365.
Étapes suivantes
- Découvrez le modèle d’authentification de l’agent.
- En savoir plus sur le cycle de vie de la session de l’agent.