Microsoft Entra Agent ID: správa a ochrana AI agentů

Úvod: Proč je to důležité

AI agenti se rychle posouvají z izolovaných pilotů k širokému nasazení napříč podniky. Tento růst vytváří nový problém v oblasti identity a zabezpečení: organizace potřebují konzistentní přehled o nekontrolovaném množení agentů, silné řízení přístupu podle principu least privilege a automatizovanou správu (governance), aby se snížil dopad, pokud je agent špatně nakonfigurován nebo kompromitován. Microsoft Entra Agent ID si klade za cíl udělat z agentů „identity první třídy“, aby je IT a bezpečnostní týmy mohly spravovat se stejnou provozní výbavou, jakou už používají pro uživatele, aplikace a zařízení.

Co je nového v Entra Agent ID (Public Preview)

1) Vyhrazená identita pro každého agenta

Entra Agent ID vyžaduje, aby měl každý agent jedinečnou identitu, což umožňuje standardizované ověřování, autorizaci a auditování. Agenti postavení na platformách Microsoft (např. Copilot Studio, Microsoft Foundry, Security Copilot) mohou automaticky získat Agent ID.

2) Agent Registry: sjednocené zjišťování a inventarizace

Klíčovým přírůstkem je Agent Registry, rozšiřitelný repozitář metadat poskytující konsolidovaný přehled agentů nasazených v tenantovi—napříč platformami Microsoft, open-source frameworky a řešeními třetích stran (přes agent identity platform for developers). To jde přímo po nejtěžší provozní výzvě: zjistit, co existuje a kde to běží.

3) Agent identity blueprints pro škálovatelnou správu

Agent identity blueprints fungují jako šablony pro oprávnění, role a zásady governance pro třídy agentů. Schválíte jednou, dědí se všude. Zásadní je, že deaktivace blueprintu může okamžitě vypnout všechny agenty, kteří z něj byli vytvořeni—užitečné pro rychlé omezení dopadu během incidentů.

4) Vestavěná automatizace governance

Možnosti Entra governance se rozšiřují i na agenty, včetně:

• Lifecycle Workflows pro automatizaci aktualizací sponzorů a deaktivace (každý agent vyžaduje lidského sponzora).
• Access Packages pro sdružení rolí a přístupu ke zdrojům do procesu se schvalováním, auditovatelností a časovým omezením.

5) Bezpečnostní řízení: Conditional Access a ochrana založená na riziku

Agent ID se integruje se stěžejními bezpečnostními funkcemi Entra:

• Conditional Access for agents (jako aktéři nebo chráněné zdroje)
• Identity Protection signály pro označení rizikových agentů a jejich automatické blokování nebo omezení
• Custom security attributes pro tagování agentů (např. „HR-approved“) a vynucení zásad přístupu založených na atributech

Dopad pro IT administrátory a bezpečnostní týmy

• Lepší observability: přehlednější inventář a zobrazení trendů v Entra admin center.
• Konzistentní guardrails: aplikace zavedených vzorů Entra (least privilege, schvalování, lifecycle governance) na agenty.
• Rychlejší reakce: řízení na úrovni blueprintů může zkrátit time-to-containment u problematických tříd agentů.

Doporučené další kroky

• Povolte early access pro Microsoft Agent 365 a prozkoumejte Agent ID v Entra admin center.
• Začněte u discovery: zkontrolujte, kolik agentů dnes existuje a kdo je jejich sponzorem.
• Definujte blueprints pro běžné typy agentů (HR, finance, IT helpdesk) a aplikujte Access Packages podle principu least privilege.
• Otestujte zásady Conditional Access + Identity Protection specificky pro identity agentů.
• Pokud vytváříte vlastní agenty, vyhodnoťte Entra Agent Identity Platform for Developers a zvažte připojení k programu early access Frontier.