Microsoft нещодавно вивела Agent 365, свою платформу керування ШІ-агентами, з попередньої версії до загального доступу. Це рішення свідчить про те, що програмний гігант вважає виклик управління автономними ШІ-системами вже не теоретичною проблемою, а нагальною операційною необхідністю.
Продукт, анонсований ще на конференції Microsoft Ignite у листопаді, позиціонується як уніфікований центр керування, що дозволяє ІТ-відділам та службам безпеки підприємств спостерігати, контролювати та захищати ШІ-агентів незалежно від їхнього місця розгортання: у власній екосистемі Microsoft, на сторонніх хмарних платформах, таких як AWS Bedrock і Google Cloud, на кінцевих пристроях співробітників, а також у все більш розгалуженій мережі SaaS-агентів, розроблених партнерами-розробниками програмного забезпечення.
Однак найцікавішим елементом запуску є не саме досягнення загального доступу. Це агресивний наступ Microsoft на виявлення та управління локальними ШІ-агентами – помічниками з написання коду, інструментами для підвищення продуктивності та автономними робочими процесами, які співробітники встановлюють на своїх пристроях, часто без відома чи згоди ІТ-відділу. Microsoft називає це явище “тіньовим ШІ” (shadow AI), і це абсолютно нова категорія ризиків безпеки для підприємств, з якою більшість організацій тільки починають боротися.
«Більшість підприємств намагаються зрозуміти, як використати потенціал автономних агентів», — зазначив Девід Вестон, корпоративний віце-президент з питань безпеки ШІ в Microsoft, в ексклюзивному інтерв’ю. «Вони намагаються знайти баланс між тим, що ми називаємо YOLO — просто дозволити будь-чому працювати — і „о, ні“, коли нічого не працює взагалі».
Чому Microsoft вважає несанкціонованих ШІ-агентів вже існуючою кризою безпеки в корпоративному середовищі
Час загального доступу до Agent 365 відображає неприємну реальність: ШІ-агенти вже випереджають інфраструктуру управління, розроблену для їхнього контролю. Підприємства, які роками створювали засоби контролю для хмарних додатків та SaaS-рішень, тепер стикаються з принципово іншим типом розповсюдження — таким, де автономне програмне забезпечення може викликати інструменти, отримувати доступ до конфіденційних даних, взаємодіяти з іншими агентами та виконувати дії від імені користувачів або повністю самостійно.
Вестон описав три конкретні категорії інцидентів безпеки, які Microsoft вже спостерігає серед своїх корпоративних клієнтів. Перша, і найпоширеніша, пов’язана з розробниками, які поспішають підключати агентів до бекенд-систем і ненавмисно викривають чутливу інфраструктуру. «Типовий випадок, який ми часто бачимо, — це сервери MCP, які потім підключаються до чутливої бекенд-системи і виставляються в Інтернет без автентифікації», — сказав Вестон. «Це може призвести до витоку PII або інших даних».
Друга категорія стосується того, що дослідники безпеки називають між instruçõesктною ін’єкцією (cross-prompt injection) — коли зловмисники вбудовують шкідливі інструкції у джерела даних, такі як тікети програмного забезпечення, веб-сайти або вікі, які агент, ймовірно, буде обробляти. «Ми бачимо, як зловмисники використовують недовірені джерела даних для розміщення того, що ми називаємо між інструкційними ін’єкціями, які фактично змушують вашого агента робити все, що хоче зловмисник», — пояснив Вестон. Хоча він зазначив, що цей вектор атаки залишається менш поширеним, «коли ми його бачимо, він має вищий вплив».
Третя, і, можливо, найбільш поширена проблема, є більш буденною, але не менш небезпечною: агенти, підключені до джерел даних та систем DLP, які просто не призначені для розуміння патернів доступу агентів. «Джерела даних та системи DLP, які не є обізнаними про агентів, викривають високочутливі дані, можливо, навіть постачальнику», — сказав Вестон, додавши, що такі інциденти несуть «значні витрати та ризики».
Agent 365: центр керування за 15 доларів на користувача для масштабного управління ШІ-агентами
По суті, Agent 365 функціонує як централізований реєстр та механізм політик для ШІ-агентів. Він надає ІТ-адміністраторам єдиний огляд усіх агентів, що працюють у їхньому середовищі — незалежно від того, чи був агент створений за допомогою Microsoft Copilot Studio, розгорнутий на AWS Bedrock, працює як SaaS-інтеграція від партнера, такого як Zendesk або SAP, чи встановлений локально на комп’ютері розробника з Windows.
Платформа підтримує три різні категорії агентів, кожна з яких має різний статус доступності на момент запуску. Агенти, що працюють від імені користувачів через делегований доступ — наприклад, організатор пошти, що діє з дозволами користувача — тепер доступні загалом у центрі керування. Агенти, що працюють у фоновому режимі з власними обліковими даними доступу, такі як автономна система, що обробляє запити на підтримку, також доступні загалом. Третя категорія, агенти, що беруть участь у командних робочих процесах з власним доступом, переходить до загального попереднього перегляду сьогодні.
Agent 365 доступний як частина нового пакету Microsoft 365 E7 або як окремий продукт за ціною 15 доларів США на користувача на місяць. Кожна ліцензія покриває особу, яка керує, спонсорує або використовує агентів для роботи від її імені. Модель ціноутворення розроблена для передбачуваного масштабування: організації платять за особу, яка взаємодіє з екосистемою агентів, а не за кожного агента — структура, що визнає реальність, коли кількість агентів у більшості підприємств постійно змінюється.
Як Microsoft шукає неавторизовані інструменти ШІ, що ховаються на ноутбуках співробітників
Мабуть, найважливішою новою можливістю сьогоднішнього запуску є здатність Agent 365 виявляти та керувати локальними ШІ-агентами — інструментами, які розробники та знання-працівники встановлюють безпосередньо на своїх пристроях Windows, часто без будь-якого нагляду з боку ІТ-відділу.
Відсьогодні організації, зареєстровані в програмі Microsoft Frontier, можуть використовувати Agent 365, що працює на базі Microsoft Defender та Intune, для виявлення агентів OpenClaw, що працюють на керованих пристроях Windows. Адміністратори можуть бачити, які пристрої використовують OpenClaw, і застосовувати політики Intune для блокування поширених методів виконання. Нова сторінка «Тіньовий ШІ» (Shadow AI) в центрі адміністрування Microsoft 365 слугує центральною панеллю для цього процесу виявлення.
Вибір почати з OpenClaw був свідомим. «Нашим критерієм є просто запит клієнтів», — сказав Вестон. «Ми чуємо від усіх, що підприємства розуміють, що OpenClaw представляє новий тип програмного забезпечення. Вони хочуть бути на передовій, вони хочуть використовувати всі переваги, але вони також хочуть детермінованого контролю, який дозволяє їм встановити чітку межу в їхньому підприємстві».
Microsoft планує розширити виявлення локальних агентів до 18 різних типів агентів до червня 2026 року, включаючи GitHub Copilot CLI та Claude Code. Компанія використовує свою існуючу телеметрію кінцевих точок для ідентифікації додатків, що викликають інференс-ендпойнти, а потім надає цю інформацію ІТ-відділам та командам безпеки. «Використовуючи нашу видимість на кінцевому пристрої, ми можемо бачити різноманітність додатків, які фактично викликають інференс-ендпойнти», — пояснив Вестон. «А потім ми можемо надати інформацію про це ІТ-відділам та службам безпеки, і вони можуть вирішити, чи це доречно, чи це ставить їх під ризик».
Microsoft Defender відображає «радіус ураження» у разі збою ШІ-агента
Починаючи з червня, Microsoft Defender надаватиме так зване «відображення контексту активів» (asset context mapping) для кожного виявленого агента. Ця функція створює граф зв’язків, що показує, на яких пристроях працює агент, до яких MCP-серверів він підключається, які ідентичності пов’язані з ним, і до яких хмарних ресурсів мають доступ ці ідентичності. Мета — дозволити командам безпеки оцінити потенційний «радіус ураження» у разі компрометації або неправильної поведінки агента.
Вестон пояснив технічну основу: «Радіус ураження обчислюється шляхом отримання інвентарю активів та перетворення кожного активу на вузол у графі. Краї представляють, як різні активи чи джерела даних пов’язані між собою». Система накладає контекстні деталі на кожен вузол — наприклад, позначаючи, що певний пристрій запускає недовірений ШІ-агент і одночасно підключений до критичної бізнес-бази даних або машини з тисячами облікових записів користувачів.
«Це дуже точно, тому що це обчислюється на основі графа активів, який зазвичай є хмарним, або побудований з даних кінцевих точок, якщо у вас розгорнуто щось на кшталт NDE», — сказав Вестон. «Ми обчислюємо це на основі того, що у вас вже є — що, по суті, є правдою». Цей вид відображення експозиції — це саме те, про що просять CISOs, додав Вестон. «Одна з перших речей, яку ви хочете знати при оцінці ризику агента: до чого він підключений? Чи підключений він до чогось, що мене хвилює, чи до чогось помірного?»
Платформа не обмежується лише видимості. Agent 365 вводить політики керування, які дозволяють адміністраторам встановлювати правила для того, що агенти можуть і чого не можуть робити. Якщо керований агент демонструє шкідливі патерни поведінки — такі як спроба доступу або викрадення конфіденційних даних — Microsoft Defender може заблокувати агента під час виконання та генерувати сповіщення з детальним контекстом інциденту для розслідування. Вестон підкреслив, що існуючі можливості класифікації Defender безпосередньо переносяться в агентське середовище. «Введення коду в процес, який керує входом, чи то OpenClaw, чи браузер, завжди буде сильним сигналом», — сказав він. Відображення контексту, політики керування та блокування під час виконання увійдуть до загального попереднього перегляду через Intune та Defender у червні 2026 року.
Agent 365 поширюється на AWS та Google Cloud для управління агентами на конкуруючих платформах
У помітному конкурентному кроці Microsoft розширює сферу управління Agent 365 на конкуруючі хмарні платформи. Новий загальний попередній перегляд синхронізації реєстру Agent 365 дозволяє ІТ-командам підключатися до AWS Bedrock та Google Cloud (зокрема, Google Gemini Enterprise Agent Platform, раніше Google Vertex AI). Через ці підключення адміністратори можуть автоматично виявляти та інвентаризувати агентів, що працюють на цих платформах, і виконувати базові дії з управління життєвим циклом, такі як запуск, зупинка або видалення агентів.
«Якщо ми хочемо бути єдиним центром керування, ми повинні зустрітися з клієнтами там, де вони є, а багато з них є мультихмарними», — сказав Вестон. Він визнав, що глибина доступних контролів дещо відрізняється залежно від хмарного провайдера. «Як тільки ви знаєте, що це там, які запобіжники або блокування ви можете надати? І це буде дещо відрізнятися залежно від того, з чим працює хмарний провайдер». Але він додав, що платформи пропонують «досить порівнянні можливості» у більшості сценаріїв і висловив оптимізм щодо покращення міжхмарної узгодженості з часом.
Також загалом доступно сьогодні: Agent 365 розширює мережеві елементи керування Microsoft Entra для охоплення трафіку агентів з Microsoft Copilot Studio та локальних агентів, таких як OpenClaw. Ці елементи керування дозволяють командам безпеки перевіряти мережеву активність агентів, виявляти несанкціоноване використання ШІ, обмежувати з’єднання до схвалених веб-пунктів призначення, фільтрувати ризиковані файлові передачі та допомагати блокувати шкідливі атаки на основі підказок на мережевому рівні, перш ніж вони призведуть до шкідливих дій. Поєднання синхронізації хмарного реєстру та мережевого рівня enforcement дає Microsoft надзвичайно широку поверхню управління — таку, що охоплює хмару, кінцеві точки та мережу, чого наразі мало хто з конкурентів може досягти.
Windows 365 для Агентів надає підприємствам пісочницю для високоризикових ШІ-навантажень
Для організацій, які хочуть отримати переваги від автономних агентів, але не готові запускати їх безпосередньо на кінцевих пристроях співробітників, Microsoft також запускає Windows 365 для Агентів у загальному попередньому перегляді, наразі обмеженому Сполученими Штатами. Пропозиція створює новий клас хмарних ПК, спеціально розроблених для агентських навантажень, керованих через Intune, і контрольованих тими ж ідентифікаційними та безпековими засобами, що застосовуються до людей-співробітників.
Вестон представив цю можливість як інструмент сегментації. «З точки зору принципу безпеки, чим більше сегментації ви можете досягти, тим краще», — сказав він. «Якщо ви не хочете цього на своєму кінцевому пристрої, але все ще хочете можливості, ви можете ізолювати його. Ми бачили, як великі компанії, такі як Nvidia, говорять про це. Ми створюємо цей шаблон для всіх».
Наскільки критичною є ця ізоляція, залежить від контексту, додав Вестон. «Якщо ви працюєте на військовому об’єкті, само собою зрозуміло, ви, ймовірно, хочете ізолювати цю інформацію. Якщо ви працюєте в компанії, яка переважно займається творчістю, і у вас трохи вища толерантність до ризику, ви можете цього не робити». Загальний попередній перегляд вимагає ліцензії Agent 365, ліцензії Intune та активної підписки Azure.
Microsoft створює широку мережу партнерів для управління екосистемою агентного ШІ
Microsoft позиціонує Agent 365 не як закриту систему, а як відкритий шар управління. Компанія оголосила, що агентні партнери екосистеми від Genspark, Zensai, Egnyte, Zendesk, а також агенти, створені на платформах, включаючи Kasisto, Kore.ai та n8n, тепер повністю готові для управління через Agent 365 — без необхідності будь-яких інтеграційних робіт з боку ІТ-команд. Додаткові партнери-розробники програмного забезпечення включають Adobe, SAP, Manus, Nvidia та Celonis.
Для сторонніх SaaS-агентів процес введення в експлуатацію починається з ідентичності. «Ми можемо дозволити вам просто надати йому ідентичність або використовувати наш SDK, залежно від рівня необхідних вам можливостей», — пояснив Вестон. «Просто починаючи з ідентичності, ми можемо бачити, особливо для користувачів Entra, які можливості потрібні додатку та які обмеження слід накласти на нього». Глибша інтеграція SDK надає більш багаті дані для спостереження, але сама по собі ідентичність надає платформі значний важіль управління.
У сфері послуг Microsoft залучила такі фірми, як Accenture, KPMG, Capgemini, Protiviti, Slalom та майже два десятки інших як партнерів запуску Agent 365. Ці фірми співпрацювали з інженерним відділом Microsoft для створення пропозицій щодо оцінки інвентарю, виконання принципів найменших привілеїв, відповідності вимогам, багатоплатформного аналізу загроз та постійного управління життєвим циклом.
Більша ставка Microsoft: агенти — це нові додатки, і їм потрібні ті самі корпоративні елементи керування
Ставка Microsoft з Agent 365 робиться в момент, коли галузь корпоративного програмного забезпечення активно визначає, як насправді виглядає «агентна ера» у виробничому середовищі. Конкуренти, включаючи Google, Amazon та Salesforce, розробляють власні інструменти для оркестрації та управління агентами, але підхід Microsoft — використання її глибоко вкоріненої позиції в управлінні кінцевими точками (Intune), виявленні загроз (Defender), ідентифікації (Entra) та продуктивності (Microsoft 365) — дає їй незвичайну перевагу через різні поверхні.
Для підприємств, які розглядають Agent 365, Вестон окреслив поетапну модель впровадження. «Перш за все, вони отримають видимість та інвентар — ви не можете реально захистити те, про що не знаєте», — сказав він. «Далі вони зможуть призначати ідентичності та починати керувати доступом, який мають ці агенти, що є величезним першим кроком у керуванні ризиками». Глибші можливості — ізоляція через Windows 365 для Агентів, блокування під час виконання, відображення радіусу ураження — йдуть далі. «Повзання — це інвентар. Ходьба — це отримання ідентичності та доступу. Біг — це отримання ізоляції, кращого контролю, глибшої видимості», — підсумував Вестон. «Я думаю, що це розумно в межах 90-денного періоду».
Чи будуть підприємства рухатися так швидко, залежатиме від зрілості їхньої існуючої інфраструктури безпеки та темпів поширення тіньового ШІ всередині їхніх стін. Жива сесія «Запитайте Microsoft будь-що» (Ask Microsoft Anything) щодо Agent 365 запланована на 12 травня, що дасть ІТ-спеціалістам та фахівцям з безпеки можливість детальніше розпитати інженерну команду.
Але найбільш показова деталь з інтерв’ю, можливо, була найменш офіційною. «У мене зараз працює 18 агентів поза моїм командним чатом», — сказав Вестон. Якщо навіть головний спеціаліст з безпеки Microsoft має невелику армію автономних агентів, що працюють у його щоденному робочому процесі, то для кожного іншого підприємства питання полягає не в тому, чи керувати агентською робочою силою, а в тому, чи зможуть вони це зробити до того, як ця робоча сила почне керувати собою сама.
Прогноз ІТ-Блогу: Microsoft Agent 365, ймовірно, стане стандартом де-факто для корпоративного управління ШІ-агентами, особливо в гібридних та мультихмарних середовищах. Очікується, що функціонал виявлення локальних агентів буде розширено для охоплення ще більшої кількості інструментів, що змусить компанії переглянути свої політики безпеки щодо використання ШІ на кінцевих пристроях.
Інформація підготовлена на основі матеріалів: venturebeat.com