Microsoft Entra Agent ID: nadzór i ochrona agentów AI

Wprowadzenie: dlaczego to ma znaczenie

Agenci AI szybko przechodzą od odizolowanych pilotaży do szerokich wdrożeń w przedsiębiorstwach. Ten wzrost tworzy nowy problem w obszarze tożsamości i bezpieczeństwa: organizacje potrzebują spójnej widoczności „rozrostu” agentów, silnych kontroli dostępu zgodnych z zasadą najmniejszych uprawnień oraz zautomatyzowanego nadzoru, aby zmniejszyć zasięg skutków, jeśli agent zostanie błędnie skonfigurowany lub przejęty. Microsoft Entra Agent ID ma uczynić z agentów „tożsamości pierwszej klasy”, aby zespoły IT i bezpieczeństwa mogły zarządzać nimi z wykorzystaniem tych samych sprawdzonych narzędzi operacyjnych, których już używają dla użytkowników, aplikacji i urządzeń.

Co nowego w Entra Agent ID (Public Preview)

1) Dedykowana tożsamość dla każdego agenta

Entra Agent ID wymaga, aby każdy agent miał unikatową tożsamość, co umożliwia standaryzowane uwierzytelnianie, autoryzację i audyt. Agenci zbudowani na platformach Microsoft (np. Copilot Studio, Microsoft Foundry, Security Copilot) mogą automatycznie otrzymać Agent ID.

2) Agent Registry: ujednolicone wykrywanie i inwentaryzacja

Kluczowym dodatkiem jest Agent Registry — rozszerzalne repozytorium metadanych zapewniające skonsolidowany widok agentów wdrożonych w dzierżawie (tenant) — w poprzek platform Microsoft, frameworków open source oraz rozwiązań firm trzecich (za pośrednictwem agent identity platform for developers). To bezpośrednio adresuje najtrudniejsze wyzwanie operacyjne: wykrycie, co istnieje i gdzie działa.

3) Agent identity blueprints dla zarządzania na dużą skalę

Agent identity blueprints działają jako szablony uprawnień, ról i zasad nadzoru dla klas agentów. Zatwierdzasz raz, dziedziczy wszędzie. Co istotne, wyłączenie blueprintu może natychmiast zatrzymać wszystkie agenty utworzone na jego podstawie — przydatne do szybkiego ograniczania skutków w trakcie incydentów.

4) Wbudowana automatyzacja nadzoru

Możliwości Entra governance zostały rozszerzone na agentów, w tym:

• Lifecycle Workflows do automatyzacji aktualizacji sponsora i dezaktywacji (każdy agent wymaga ludzkiego sponsora).
• Access Packages do pakietowania ról i dostępu do zasobów w proces oparty na zatwierdzeniach, możliwy do audytu i ograniczony czasowo.

5) Kontrole bezpieczeństwa: Conditional Access i ochrona oparta na ryzyku

Agent ID integruje się z kluczowymi funkcjami bezpieczeństwa Entra:

• Conditional Access for agents (jako podmioty wykonujące działania lub jako chronione zasoby)
• Sygnały Identity Protection do oznaczania ryzykownych agentów oraz automatycznego blokowania lub ograniczania ich
• Custom security attributes do tagowania agentów (np. „HR-approved”) i egzekwowania zasad dostępu opartych na atrybutach

Wpływ na administratorów IT i zespoły bezpieczeństwa

• Lepsza obserwowalność: wyraźniejsza inwentaryzacja oraz widok trendów w Entra admin center.
• Spójne zabezpieczenia: stosowanie sprawdzonych wzorców Entra (najmniejsze uprawnienia, zatwierdzenia, nadzór cyklu życia) do agentów.
• Szybsza reakcja: kontrola na poziomie blueprintów może skrócić czas do ograniczenia skutków dla problematycznych klas agentów.

Zalecane kolejne kroki

• Włącz wczesny dostęp do Microsoft Agent 365 i poznaj Agent ID w Entra admin center.
• Zacznij od discovery: sprawdź, ile agentów istnieje dziś i kto jest ich sponsorem.
• Zdefiniuj blueprints dla typowych typów agentów (HR, finanse, IT helpdesk) i zastosuj Access Packages zgodnie z zasadą najmniejszych uprawnień.
• Przetestuj zasady Conditional Access + Identity Protection specyficznie dla tożsamości agentów.
• Jeśli tworzysz własne agenty, oceń Entra Agent Identity Platform for Developers i rozważ dołączenie do programu wczesnego dostępu Frontier.