Copilot Studio-Agents absichern: 10 Defender-Risiken

Introduction: why this matters

Copilot Studio-Agents werden zunehmend in operative Workflows eingebettet – sie fragen Daten ab, lösen Aktionen aus und interagieren in großem Maßstab mit Systemen. Das Defender Security Research Team warnt, dass kleine, gut gemeinte Konfigurationsentscheidungen (breites Sharing, schwache Auth, riskante Aktionen) unbemerkt zu Exposure-Punkten mit hoher Auswirkung werden können. Die gute Nachricht: Microsoft Defender kann helfen, diese Zustände frühzeitig zu erkennen – mit Advanced Hunting Community Queries.

What’s new: 10 misconfigurations to hunt for

Microsoft hat eine „One-Page View“ der häufigsten Copilot Studio-Agent-Risiken veröffentlicht, die in realen Umgebungen beobachtet wurden, inklusive passender Detections in Microsoft Defender Advanced Hunting (Security portal → Advanced hunting → Queries → Community Queries → AI Agent folder).

Hervorgehobene Kernrisiken sind:

• Overbroad sharing (mit der gesamten Org oder breiten Gruppen geteilt): erhöht die Angriffsfläche und begünstigt unbeabsichtigte Nutzung.
• No authentication required: macht einen Agent zu einem öffentlichen/anonymen Einstiegspunkt, der interne Daten oder Logik offenlegen kann.
• Risky HTTP Request actions: Nutzung von non-HTTPS, nicht standardisierten Ports oder direkte Aufrufe von Endpoints, die über Connectors governed werden sollten – umgeht Policy- und Identity-Schutzmechanismen.
• Email-based data exfiltration paths: Agents, die E-Mail an attacker-controlled inputs oder externe Mailboxen senden können (besonders gefährlich bei Prompt Injection).
• Dormant agents, actions, or connections: „vergessene“ veröffentlichte Agents und veraltete Connections schaffen versteckten, privilegierten Zugriff.
• Author (maker) authentication in production: durchbricht Separation of Duties und kann effektiv mit erhöhten Maker-Rechten laufen.
• Hard-coded credentials in topics/actions: direktes Risiko der Credential-Leakage.
• Model Context Protocol (MCP) tools configured: können undokumentierte Zugriffspfade und unbeabsichtigte Systeminteraktionen einführen.
• Generative orchestration without instructions: erhöht die Wahrscheinlichkeit von Behavior Drift oder prompt-getriebenen unsicheren Aktionen.
• Orphaned agents (kein aktiver Owner): schwache Governance, keine verantwortliche Pflege und höheres Risiko veralteter Logik.

Impact on IT admins and security teams

Für Admins, die Power Platform und Microsoft 365 Security verwalten, lautet die zentrale Erkenntnis: Die Security Posture von Agents ist jetzt Teil von Identity- und Data Governance. Fehlkonfigurationen können neue Zugriffspfade schaffen, die klassische App-Inventare, Conditional-Access-Annahmen oder Connector-Policies nicht vollständig abbilden – insbesondere, wenn Agents schnell durch Maker erstellt werden.

Action items / next steps

1. Führen Sie die Community Queries aus in Defenders Advanced Hunting (AI Agent folder) und erstellen Sie eine Baseline der Ergebnisse über alle Umgebungen.
2. Priorisieren Sie Remediation für: nicht authentifizierte Agents, org-weites Sharing, maker-auth Agents sowie jede Fähigkeit zum Versand externer E-Mails.
3. Überprüfen Sie die Nutzung von HTTP Request und ersetzen Sie diese, wo möglich, durch governed Connectors; erzwingen Sie HTTPS und Standard-Ports.
4. Bereinigen Sie dormant/orphaned Assets: nehmen Sie ungenutzte Agents/Aktionen außer Betrieb und rotieren/entfernen Sie veraltete Connections.
5. Etablieren Sie operative Guardrails: benannter Owner, dokumentierter Zweck, Least-Privilege-Connections und verpflichtende Instructions für Generative Orchestration.