Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Windows 365 per Agents è disponibile in anteprima pubblica. La funzionalità è in fase di sviluppo attivo e potrebbe cambiare prima della disponibilità generale.
Windows 365 per agenti offre un ambiente di esecuzione per i carichi di lavoro dell'agente combinando Microsoft Entra identità, l'isolamento del PC cloud e i controlli di sicurezza di Microsoft 365, regolati end-to-end dai principi di Zero Trust. Ogni PC cloud viene aggiunto Microsoft Entra e registrato Microsoft Intune, che offre agli agenti un'identità gestita e un comportamento del dispositivo dal primo giorno. Esposto come strumento MCP all'interno di Agent 365, eredita l'audit trail e la sicurezza della piattaforma, con Microsoft Defender la protezione dalle minacce e Microsoft Purview che offre visibilità sulla conformità e la governance dei dati in ogni azione dell'agente.
I PC cloud per agenti sono:
- In pool: assegnato dinamicamente da un pool condiviso per ogni attività.
- Senza stato: reimpostato dopo ogni sessione dell'agente, senza stato portato avanti
- Programmatico: accessibile dagli agenti, non dagli utenti interattivi.
Windows 365 per Agents integra identità, autenticazione e attendibilità del dispositivo in ogni sessione dell'agente, garantendo che tutte le azioni siano governate, isolate e controllabili. Usando un approccio identity-first, Zero Trust, ogni richiesta dell'agente viene convalidata usando segnali di identità, dispositivo e criteri, con controlli di sicurezza applicati per tutto il ciclo di vita della sessione.
Perché l'identità è importante qui
L'identità è fondamentale per il modo in cui Windows 365 per agenti offre automazione sicura su larga scala.
| Funzionalità | Cosa abilita |
|---|---|
| Abilita il pooling sicuro | Molti agenti condividono l'infrastruttura senza condividere l'identità. |
| Accesso con ambito sessione | Ogni connessione viene autenticata e regolata dai criteri. |
| Supporta il calcolo temporaneo | L'identità viaggia con la sessione, non con il dispositivo. |
| Applica l'isolamento | Le sessioni sono indipendenti e vengono reimpostate tra gli usi. |
| Controllabilità completa | Ogni azione ripercorre l'identità di un utente agente specifico. |
Insieme, questo modello garantisce che gli agenti possano operare su larga scala, attraverso un'infrastruttura dinamica condivisa, pur rimanendo completamente governati entro i limiti di sicurezza e conformità aziendali. Gli agenti ottengono l'accesso necessario per essere produttivi, con le stesse protezioni aziendali degli utenti umani.
Integrazione delle identità con Microsoft Entra
Microsoft Entra fornisce un piano unificato di controllo delle identità e dei criteri tra gli agenti (vedere Microsoft Entra Agent ID documentazione), PC cloud e sessioni. In Windows 365 per Agenti, agli agenti non è assegnato un dispositivo dedicato. Al contrario, eseguono il check-out di un PC cloud dal pool di PC cloud assegnato per ogni attività, lo usano e quindi lo archiviano di nuovo nel pool dopo il completamento dell'attività, che attiva una reimpostazione. L'identità dell'utente agente è associata alla sessione, non al dispositivo. L'autenticazione viene ristabilita in ogni connessione e l'accesso è regolato continuamente dai criteri.
Identità dell'agente
Ogni agente usa un'identità utente dell'agente di Microsoft Entra dedicata, separata dagli utenti umani e si autentica facilmente con i flussi basati su token in Windows 365 per le macchine virtuali agenti. L'accesso alle risorse viene assegnato in modo esplicito a ogni identità dell'agente, con gestione del ciclo di vita (creazione, disabilitazione, controllo) gestita centralmente in Agent 365. Questo modello consente a più agenti di condividere un pool di PC cloud mantenendo al tempo stesso controlli, visibilità e audit trail a livello di identità rigorosi. Gli agenti non riutilizzano né rappresentano mai le credenziali utente, garantendo un limite di sicurezza chiaro. Windows 365 per le macchine virtuali Agents sono solo agente e sono strettamente riservate ai carichi di lavoro dell'agente a livello di codice, garantendo che solo le identità degli agenti autorizzati possano avviare sessioni, eseguire attività o accedere alle risorse. Questa progettazione impone un forte isolamento tra agenti automatizzati e utenti umani, riducendo ulteriormente i rischi e mantenendo un limite sicuro e controllabile.
Imposizione dei criteri per tutto il ciclo di vita
L'applicazione dei criteri si estende al ciclo di vita dell'agente:
- Controllo identità: Microsoft Entra come piano centralizzato di identità e criteri.
- Assegnazione del pool per gli agenti in Intune: determina quali identità dell'agente possono acquisire i PC cloud.
- Creazione della sessione: Microsoft Entra l'accesso condizionale valuta l'identità e il contesto prima di consentire la connessione.
- Accesso alle risorse: i criteri downstream definiscono le operazioni che gli agenti possono eseguire dopo la connessione.
Questo approccio mantiene gli agenti all'interno degli stessi limiti di sicurezza aziendali degli utenti umani, anche come attori autonomi e programmatici.
Windows 365 per Agenti supporta i criteri di accesso condizionale per le identità utente dell'agente con il controllo di accesso blocca attualmente disponibile. Le organizzazioni possono impedire esplicitamente alle identità degli agenti di accedere alle risorse, garantendo il funzionamento solo degli agenti esaminati e approvati. Qualsiasi agente che presenta rischi o viola i criteri viene immediatamente bloccato.
Audit trail end-to-end
Poiché l'utente umano e l'utente dell'agente hanno identità Microsoft Entra distinte, ogni azione viene correttamente attribuita all'intera catena di delega. Gli amministratori possono tracciare una richiesta dal momento in cui un utente umano richiede a un agente tramite ogni attività eseguita dall'agente per proprio conto, con attività correlate tra:
- Agent 365: la richiesta dell'utente di origine e l'esecuzione dell'attività dell'agente.
- Microsoft Entra log di accesso: eventi di autenticazione sia per l'utente umano che per l'identità utente dell'agente.
- Microsoft Defender: segnali di minaccia ed eventi di sicurezza associati alla sessione.
- Microsoft Purview: accesso ai dati, conformità e attività di governance.
Questa visualizzazione di controllo unificata offre ai team di sicurezza e conformità un singolo record coerente di chi ha avviato cosa, quale agente ha agito e cosa ha fatto l'agente. Mantiene la responsabilità anche quando il lavoro viene delegato agli agenti autonomi.
Per altre informazioni, vedere Proteggere gli agenti di intelligenza artificiale su larga scala usando Microsoft Agent 365.
Passaggi successivi
- Informazioni sul modello di autenticazione dell'agente.
- Informazioni sul ciclo di vita della sessione dell'agente.