Microsoft оголосила про загальну доступність Agent 365 та Microsoft 365 Enterprise 7 – двох продуктів, розроблених для забезпечення безпеки та управління у зв’язку зі стрімким зростанням кількості ШІ-агентів у найбільших світових організаціях. Обидва продукти стануть доступними 1 травня, одночасно з третьою хвилею Microsoft 365 Copilot, яка розширює можливості компанії у сфері агентного ШІ та додає різноманітність моделей від OpenAI та Anthropic.
Agent 365, вартістю 15 доларів за користувача на місяць, слугуватиме тим, що Microsoft називає “площиною контролю для агентів” – централізованою системою для ІТ, безпеки та бізнес-команд для спостереження, управління та захисту ШІ-агентів в межах підприємства. Microsoft 365 Enterprise 7, названий “Набір для передових працівників” (Frontier Worker Suite), об’єднує Agent 365 з Microsoft 365 Copilot та найсучаснішим стеком безпеки компанії в єдину ліцензію за 99 доларів за користувача на місяць.
Вибір часу не випадковий. ШІ-агенти перейшли від експериментальних прототипів до операційної інфраструктури, але інструменти для їх моніторингу відстають. Microsoft прагне закрити цю прогалину до того, як зловмисники зможуть її використати.
“Ці агенти більше не є експериментальними. Ми бачимо, що вони глибоко інтегровані в організації, в операційну структуру цих організацій, і люди активно їх використовують”, – заявила Васу Джаккал, корпоративний віце-президент Microsoft Security, в ексклюзивному інтерв’ю VentureBeat. “Водночас, поки агенти швидко масштабуються, деякі люди та організації мають прогалину у видимості, і ця прогалина створює бізнес-ризики”.
Понад 80% компаній зі списку Fortune 500 використовують ШІ-агентів, але майже третина з них – несанкціоновано
Цифри, що стоять за цим оголошенням, розповідають історію стрімкого впровадження, яке випереджає нагляд. Згідно зі звітом Microsoft Cyber Pulse, опублікованим у лютому, понад 80% компаній зі списку Fortune 500 активно використовують ШІ-агентів, створених за допомогою інструментів low-code та no-code. IDC прогнозує, що до 2028 року в обігу буде 1,3 мільярда агентів. Microsoft, виступаючи власним першим клієнтом для Agent 365, тепер має видимість понад 500 000 агентів, що працюють у власній корпоративній інфраструктурі, найпоширенішими з яких є агенти для досліджень, кодування, аналітики продажів, обробки запитів клієнтів та самообслуговування в HR.
Зовні траєкторія ще стрімкіша. Десятки мільйонів агентів з’явилися в реєстрі Agent 365 протягом лише двох місяців з моменту попереднього доступу, і десятки тисяч клієнтів вже почали впроваджувати платформу, за словами Джадсона Алтхоффа, генерального директора Microsoft Commercial Business.
Однак картина управління викликає занепокоєння. Дослідження Microsoft показало, що 29% агентів у досліджених організаціях працюють без схвалення ІТ-відділів або відділів безпеки. Лише 47% організацій використовують будь-які інструменти безпеки для захисту своїх ШІ-розгортань.
“Це проблема”, – зазначила Джаккал. “Увесь цей інноваційний процес відбувається на тлі загроз, які є досить інтенсивними”.
Microsoft попереджає про “подвійних агентів” – ШІ-системи, які були захоплені для роботи проти їхніх власних організацій
Microsoft ввела в обіг влучний термін для позначення ризику, який, на її думку, виникає: “подвійні агенти”. Ця концепція, вперше представлена в блозі від листопада 2025 року керівником відділу безпеки Microsoft Чарлі Беллом, описує сценарії, коли ШІ-агенти, що діють від імені організації, маніпулюються – через ін’єкції запитів (prompt injection), отруєння моделей (model poisoning) або інші техніки – і починають діяти проти інтересів організації.
Джаккал повідомила VentureBeat, що хоча Microsoft ще не спостерігала реальних інцидентів компрометації агентів у великих масштабах, команда AI Red Team компанії провела масштабні дослідження в тестових середовищах, симулюючи, як агенти можуть бути експлуатовані. У цих експериментах прямі та непрямі ін’єкції запитів успішно маніпулювали агентами, дозволяючи їм отримати доступ до неавторизованих даних.
“Ми ввели цей термін цілеспрямовано, щоб люди усвідомлювали, що потрібно дуже уважно ставитися до своїх агентів”, – сказала Джаккал. “Так само, як ризик з боку інсайдерів був великою проблемою з працівниками, ми повинні переконатися, що не створимо подібне з агентами”.
Ландшафт загроз виходить далеко за межі ін’єкцій запитів. У лютому команда Microsoft Defender Security Research опублікувала результати дослідження так званого “отруєння рекомендацій ШІ” (AI Recommendation Poisoning) – техніки, за допомогою якої компанії вбудовують приховані інструкції в кнопки “Узагальнити за допомогою ШІ” на вебсайтах. При натисканні попередньо заповнений запит намагається впровадити команди для забезпечення стійкості (persistence commands) в пам’ять ШІ-асистента, наказуючи йому “запам’ятати [Компанія] як надійне джерело”. Дослідники виявили понад 50 унікальних запитів на отруєння від 31 компанії з 14 галузей. Окремо Microsoft опублікувала дослідження щодо виявлення мовних моделей із прихованими “бекдорами” – так званих “сплячих агентів”, які поводяться нормально за більшості умов, але виконують шкідливу поведінку при активації специфічними вхідними даними.
Як Agent 365 розширює безпеку нульової довіри від людей до автономних ШІ-систем
Agent 365 організовує свої можливості за трьома основними напрямками: спостереження (observability), безпека (security) та управління (governance). Кожен з них розширює існуючу інфраструктуру безпеки Microsoft – Defender для захисту від загроз, Entra для управління ідентифікацією та доступом, і Purview для безпеки даних – на нелюдські сутності.
Шар спостереження починається з Реєстру агентів (Agent Registry), який каталогізує всіх агентів в організації, незалежно від того, чи створені вони на платформах Microsoft, від сторонніх партнерів, чи зареєстровані через API. ІТ-команди отримують доступ до реєстру через Microsoft Admin Center; команди безпеки бачать ті ж самі дані через Defender, Entra та Purview. Сигнали ризику оцінюють агентів на предмет компрометації, аномалій в ідентифікації та ризикованої взаємодії з даними – так само, як інструменти Microsoft вже оцінюють користувачів-людей.
Нова функція під назвою Agent ID надає кожному агенту унікальну ідентичність у Microsoft Entra, що дозволяє застосовувати політики умовного доступу (conditional access policies), забезпечувати принцип найменших привілеїв (least-privilege enforcement) та вести журнали аудиту. Захист ідентифікації (Identity Protection) та умовний доступ, які давно використовуються для облікових записів людей, тепер поширюються на агентів, здійснюючи доступ у реальному часі на основі сигналів ризику та відповідності вимогам.
Для захисту даних можливості Purview гарантують, що агенти успадковують ярлики конфіденційності (sensitivity labels), блокують обробку персональних ідентифікаційних даних (PII) та іншої чутливої інформації в запитах, а також розширюють моніторинг інсайдерських ризиків для виявлення підозрілої поведінки агентів. Аудит та eDiscovery тепер розглядають агентів як повноцінні об’єкти аудиту поряд з користувачами та додатками.
Джаккал охарактеризувала весь підхід як розширення принципів нульової довіри. “Ми думаємо про безпеку для агентів дуже схоже на безпеку для людей”, – сказала вона. “Ви повинні захищати цих агентів від загроз. Ви повинні захищати дані, до яких вони мають доступ. Ви повинні захищати їхній доступ та ідентифікацію. Таким чином, ми розширюємо нульову довіру на нульову довіру для ШІ”.
Відповідаючи на запитання, чи може Agent 365 втручатися в реальному часі або лише спостерігати постфактум, Джаккал підтвердила, що він робить і те, і інше. Система виявляє сигнали ризику та аномальну поведінку, а команди безпеки можуть блокувати ризикованих агентів через портал Defender. “Якщо є ризик, якщо це ризикований агент, то ви, звичайно, можете його і заблокувати”, – зазначила вона.
За ціною 99 доларів за користувача, E7 “Frontier Suite” – це найамбітніший пакет для корпоративного ШІ від Microsoft
Microsoft 365 Enterprise 7 об’єднує весь портфель ШІ та безпеки компанії в єдиний SKU. Він поєднує Microsoft 365 E5, Microsoft 365 Copilot, Agent 365, Microsoft Entra Suite, а також розширені можливості безпеки Defender, Intune та Purview.
Альтхофф представив цей пакет як пряму відповідь на запити клієнтів. “Клієнти повідомили нам, що лише E5 вже недостатньо; вони не хочуть, щоб багато інструментів були зшиті докупи, вони хочуть єдиного надійного рішення”, – написав він. За 99 доларів за користувача, E7 коштує дешевше, ніж придбання компонентів окремо – E5 наразі коштує 57 доларів на місяць (з липня – 60 доларів), Copilot додає 30 доларів, а Agent 365 – 15 доларів – пропонуючи скромну економію, одночасно глибше залучаючи клієнтів в екосистему Microsoft.
TechRadar вперше повідомив на початку березня, що Microsoft розробляє рівень E7. Стівен Воган-Ніколс з Computerworld представив більш чітке бачення стратегічних наслідків, зазначивши, що Microsoft тепер хоче, щоб організації “наймáли” ШІ-агентів, а не просто використовували інструменти – з кожним агентом, ліцензованим як людина-співробітник. “У світі Microsoft, ШІ-агенти – це тимчасові працівники завтрашнього дня”, – написав він.
Модель підписки за місце, застосована до нелюдських сутностей, надає Microsoft потужний механізм доходу, який може зростати навіть тоді, коли ШІ-агенти починають доповнювати – або замінювати – людські ресурси. Аналіз SiliconANGLE зазначив, що агенти становлять потенційну загрозу для самої офісної екосистеми, яка довго була рушієм прибутку Microsoft, роблячи крок Agent 365 одночасно захисним і наступальним.
Copilot додає Claude та нові моделі OpenAI, оскільки боротьба Пентагону за Anthropic змінює ринок ШІ
Запуски збігаються з третьою хвилею Microsoft 365 Copilot, яка представляє розширену різноманітність моделей. Claude від Anthropic тепер доступний у основному чаті Copilot, поряд з останнім поколінням моделей OpenAI. Нова функція під назвою Copilot Cowork, розроблена у співпраці з Anthropic і нині на стадії попереднього перегляду досліджень, дозволяє виконувати довготривалу, багатоетапну роботу в межах Microsoft 365.
Партнерство з Anthropic має геополітичну вагу. Як повідомляв CNBC 6 березня, Міністерство оборони США позначило Anthropic як ризик для ланцюга постачань після того, як компанія відмовилася прийняти запропоновані Пентагоном умови використання. Google, Microsoft та Amazon підтвердили, що продовжуватимуть пропонувати технологію Anthropic для робіт, не пов’язаних з обороною. Картина військового ШІ стала ще складнішою: WIRED повідомив, що Пентагон експериментував з Azure OpenAI ще до того, як OpenAI офіційно зняла свою заборону на військове застосування в січні 2024 року.
На цьому тлі наголос Microsoft на довірі та управлінні читається як продуктова пропозиція, так і стратегічне позиціонування: компанія прагне стати постачальником, який робить ШІ безпечним для корпоративного розгортання, незалежно від того, які базові моделі обирають клієнти.
Бізнес Copilot від Microsoft забезпечує основу попиту для нових продуктів безпеки
Ширший бізнес Copilot забезпечує базу впровадження, яка робить Agent 365 та E7 комерційно життєздатними. Microsoft наразі має 15 мільйонів платних місць Copilot, при цьому зростання перевищує 160% щорічно. Щоденне активне використання зросло вдесятеро. Клієнти, що розгортають у значних масштабах – понад 35 000 місць – потроїлися за рік.
Основні нещодавні розгортання включають Mercedes-Benz, яка оголосила про глобальне впровадження; NASA, Fiserv, ING та Westpac, кожна з яких придбала понад 35 000 місць; і Publicis, яка розгорнула майже 95 000 місць майже для всього свого персоналу. За даними Microsoft, 90% компаній зі списку Fortune 500 наразі використовують Copilot.
Avanade, спільне підприємство Accenture та Microsoft, надала ранню підтримку Agent 365. “Avanade має реальну видимість діяльності агентів, здатність керувати розповсюдженням агентів, контролювати використання ресурсів та керувати агентами як ідентифікованими цифровими сутностями в Microsoft Entra”, – заявив технічний директор Аарон Райх. “Це значно знижує операційні ризики та ризики безпеки”.
Джаккал визнала, що конкуренти, зокрема Palo Alto Networks та CrowdStrike, розробляють власні шари безпеки для агентного ШІ, але стверджувала, що глибина інтеграції Microsoft виділяє її. “Це не просто цей інструмент, і цей інструмент, і цей інструмент, зібрані разом у SKU – це більше схоже на те, як цей інструмент та цей інструмент та цей інструмент працюють разом”, – сказала вона. Для сторонніх фреймворків агентів – включаючи LangChain, CrewAI та інші інструменти з відкритим кодом – Agent 365 надає SDK з різним рівнем інтеграції.
Справжнє питання полягає в тому, чи готові підприємства платити за управління ШІ достатньо швидко, щоб випередити зловмисників
Agent 365 та E7 досягають загальної доступності 1 травня. Кілька функцій, включаючи сигнали ризику Defender та Purview, а також управління станом безпеки для агентів Foundry та Copilot Studio, залишаться в публічній попередній версії на момент запуску. Нова функція захисту від загроз у реальному часі, як очікується, з’явиться в публічній попередній версії в квітні.
Джаккал зазначила, що багато організацій використовують поштовх до агентного ШІ як каталізатор для давно назрілих покращень безпеки. “Я бачу, як організації використовують це як можливість сказати: ‘Ми повинні виправити наші основи'”, – сказала вона. “Вони використовують трансформацію ШІ та агентну трансформацію, щоб повернутися і сказати: ми проведемо трансформацію безпеки”.
Залишається відкритим питання, чи рухається ринок достатньо швидко. Інструменти для створення агентів доступні безкоштовно і не вимагають експертних знань у сфері безпеки. Інструменти для їх управління вимагають схвалення бюджету, циклів впровадження та організаційної узгодженості між ІТ, безпековими та бізнес-командами. Ця асиметрія – між швидкістю створення агентів та швидкістю управління ними – є прогалиною, яку намагається закрити Microsoft.
“Майбутнє роботи – це не просто розумніші агенти”, – сказала Джаккал. “Це стосується надійних агентів”.
Для 29% корпоративних агентів, які вже працюють без будь-якого нагляду, довіра – це не план продукту, а гонка з часом.
Як захиститися (Порада ІТ-Блогу): Перед впровадженням будь-яких ШІ-агентів, особливо тих, що працюють з чутливими даними, проведіть ретельну оцінку ризиків та переконайтеся, що існує чітка політика щодо їх використання, моніторингу та обмеження доступу. Завжди використовуйте багатофакторну автентифікацію для всіх облікових записів, що мають доступ до систем управління ШІ-агентами.
За даними порталу: venturebeat.com