随着AI代理在企业中的大规模部署,传统安全治理模式面临根本性挑战。微软于2026年5月1日正式发布的Agent 365,被定义为“AI代理的统一控制平面”,通过整合Microsoft Entra、Purview和Defender三大安全套件,将成熟的“零信任”安全模型系统性扩展至AI代理领域。本文从身份与访问控制、数据安全保护和威胁防护三个维度深度解析Agent 365的安全架构,分析其核心安全机制与设计理念,为CIO、CISO及安全架构师提供系统性的治理参考。
一、AI代理治理——从“要不要管”到“怎么管”
AI代理正在以前所未有的速度渗透到企业业务的各个层面。据统计,目前80%的财富500强企业已部署使用AI代理,但随之而来的安全挑战同样触目惊心——平均每创建1个人类身份,就伴随着82个机器身份的诞生。这些代理读取文档、执行业务、发送邮件、触发下游系统操作,其行为速度和影响力远超传统工具。一旦缺乏有效管理,代理蔓延、权限过度授予、提示词注入攻击等风险将呈指数级扩大。
问题的本质在于:代理不是人,却行使着“人”的权限;不是服务账号,却比服务账号更自主。传统安全架构中“基于静态权限的身份管理”和“边界式网络防护”在面对AI代理时几乎失效。微软Agent 365正是在这一背景下应运而生,它并非一个新增的独立安全工具,而是一个深度嵌入企业现有安全基础设施的统一治理层,让IT和安全团队能够像管理员工一样管理每一个AI代理。
二、核心安全架构:三大支柱构建深度防御体系
Agent 365的安全架构遵循“分布式安全模型+集中式可见性”的设计理念——安全策略的执行分散在Entra、Purview、Defender等多个产品中,但所有代理的状态、行为和风险信号统一汇聚到Microsoft 365管理中心的Agent 365总览界面,安全团队无需切换到新平台即可获取代理洞察。其核心安全机制围绕以下三大支柱展开。
2.1 身份与访问控制:给每一个AI代理一张“数字员工证”
在传统IT环境中,AI代理通常借用共享服务账号或API密钥运行,身份不可追溯、权限无法精细控制。Agent 365从根本上改变了这一点:2026年1月发布的SDK赋予了每个代理一个真实的Entra Agent ID,不再使用共享服务账号或API密钥,而是遵循与人类员工相同的最小权限、即时访问模型。
这一设计的核心价值在于“将代理提升为一级身份主体”。具体而言,Entra Agent ID支持以下能力:
统一的代理注册与发现。 代理注册表汇总了所有代理的身份信息,包括携带Entra Agent ID的正式代理、管理员手动注册的代理,以及通过Microsoft Defender和Intune自动发现的“影子代理”。多维度的发现机制确保了没有任何代理处于治理盲区。
条件访问策略的延伸。 针对代理的条件访问策略与人类用户和负载身份的评估结构保持一致,包括分配、目标资源、条件和访问控制四个层面,但增加了代理专属的作用域机制。当Entra ID Protection检测到某个代理身份处于高风险状态时,系统会基于条件访问策略自动阻止其访问组织资源。
全生命周期的治理。 每个代理必须拥有明确的责任负责人,确保其访问权限不会超出必要期限,并定期接受访问评审,有效防止代理权限的“僵尸化”。
2.2 数据安全保护:在数据层构筑“防火墙”
AI代理在数据层面带来的风险不容小觑。Agent 365通过Microsoft Purview在数据层部署了多层防护:
敏感度标签的继承与执行。 代理能够像用户一样继承和应用文件的敏感度标签,确保数据保护策略在人类和代理的交互中保持一致性。
智能化的数据丢失防护。 DLP策略可以基于数据敏感度标签阻止代理访问和分享受保护内容,即便文件在技术层面可访问,只要匹配DLP策略条件,系统就不会将其纳入代理的响应中。
内部风险管理与全生命周期审计。 Purview持续监控代理的交互行为,检测高风险活动,并支持完整的审计日志、保留策略执行和电子发现,满足法律和合规审查需求。
Agent 365的数据保护直接复用企业已有的Purview控制体系,安全团队只需将现有策略的作用范围扩展至代理,显著降低了治理体系的部署成本和策略不一致风险。
2.3 威胁防护:构建AI原生的主动防御体系
针对提示词注入、工具滥用、数据外泄等AI代理特有攻击,Agent 365通过Microsoft Defender提供了全链路防御能力。
运行时实时防护。 Defender在代理发起工具调用前进行评估,若判定操作高风险则予以阻止,并生成详细告警。重点防护范围包括:试图提取或外泄系统指令、直接泄露敏感数据、滥用内部工具、使用混淆内容操纵代理行为、通过合法通道泄露凭据等。
近实时威胁检测。 Defender持续分析所有托管代理的遥测数据,检测可疑活动并近实时生成告警,帮助安全团队追踪完整攻击链。
安全态势管理与高级威胁狩猎。 系统评估代理的配置漏洞,提供优先级排序的安全建议,并支持利用可观测性日志主动搜索潜在弱点。
三、治理能力延伸:从“影子AI”到“多云代理”的统一管控
Agent 365的治理能力并不局限于已注册的正式代理。针对“影子AI”问题,Agent 365在Microsoft 365管理中心新增了专门的“影子AI”页面,结合Defender和Intune实现Windows终端设备上本地AI应用的识别与管控。
在跨平台治理方面,Agent 365支持多云代理注册表同步,可将AWS Bedrock、Google Cloud等平台上的代理纳入统一管理视野。Windows 365 for Agents则提供了云端隔离运行环境,让高风险代理在安全沙箱中执行,实现风险隔离。
Agent 365已于2026年5月1日正式全面发布,被纳入Microsoft 365 E7前沿套件中,自2026年7月1日起,组织需Agent 365订阅才能继续使用代理保护和可见性功能。
四、结语:AI安全治理的未来方向
Agent 365的核心理念可以概括为:将经过验证的零信任安全模型,无缝扩展到AI代理这一新兴的身份类别。它没有创造新的安全范式,而是通过整合和增强企业已有的安全工具,让代理成为安全治理体系中可识别、可控制、可审计的“数字员工”。
展望未来,AI代理安全治理将呈现跨平台统一治理、AI驱动的自动化安全运营、组织级治理成熟度提升三大趋势。对于企业而言,Agent 365的发布意味着AI安全治理从“可选”走向“必选”。建议CIO和CISO尽早启动代理资产盘点,制定与Agent 365对接的治理路线图。
在落地过程中,像上海诺未这样微软AI端到端服务商,深耕微软生态、具备零信任安全架构落地经验的认证服务商,能够帮助企业将安全蓝图转化为可执行的治理方案,让安全真正成为释放代理生产力的前提。
