引言:當AI代理成為新的安全邊界
2026年3月,在RSA大會(全球最大資安會議)前夕,微軟發布了一系列針對「能動型AI」(Agentic AI)時代的全面安全更新。這不僅是例行的產品升級,更是一份宣示性的戰略文件——微軟明確指出,AI代理不再是傳統意義上的「應用程式」,而是一個全新的、需要獨立防護的「核心安全層」。
這個判斷的背景數據令人警醒:根據微軟內部威脅情報,自2024年以來,涉及濫用或攻擊生成式AI模型的資安事件年增率高達300%,其中約65% 的事件與AI代理的權限過大或行為不可預測直接相關[1]。
為了應對這個新威脅格局,微軟推出了一系列整合性安全產品,涵蓋代理治理(Agent 365)、身份保護(Entra)、數據安全(Purview)、端點防禦(Defender)和威脅分析(Sentinel),形成從代理統治生命週期到行為監控的端到端安全架構。本文將逐一解析這些產品的功能細節與戰略定位。
Agent 365:AI代理的中央控制平台
回應「影子AI」危機
Agent 365是微軟在2026年5月1日正式推出的全新產品,定位為IT、安全和業務團隊的統一控制平面[2]。它的誕生直接回應了企業面臨的「影子AI」危機——隨著各部門紛紛部署AI代理來提升效率,IT和安全團隊往往對企業內有多少AI代理、它們在做什麼、擁有什麼權限一無所知。
| 核心功能 | 技術實現 | 解決的痛點 | 預估影響 |
|---|---|---|---|
| 代理註冊 | 集中盤點所有AI代理(Copilot Studio、Azure AI Foundry、SharePoint代理及第三方代理) | 影子AI的可見性黑洞 | 消除未知代理造成的安全盲點 |
| 代理身份(Agent ID) | 每個代理在Entra中獲得唯一身份,支援條件式存取與審計追蹤 | 非人類身份管理缺失 | 實現誰做了什麼的完整問責鏈 |
| 生命週期管理 | 所有權轉移、退役、策略貫穿代理的整個生命週期 | 代理蔓延與過時代理風險 | 降低代理管理混亂 |
| 代理應用商店 | 受IT管控的目錄,供用戶探索與請求代理 | 業務部門繞過IT自行訂閱 | 合規加速AI安全部署 |
不同角色的痛點解決方案
Agent 365的設計從一開始就考慮了組織內不同角色的需求:
| 角色 | 核心痛點 | Agent 365提供的解決方案 |
|---|---|---|
| CISO / 資安長 | 缺乏對AI相關風險的整體視圖,合規壓力大 | 「Security Dashboard for AI」提供統一的AI風險儀表板,量化風險暴露程度 |
| IT管理員 | 無法有效管理激增的AI代理資產與其生命週期 | 中央化的代理註冊、策略部署與權限審批工作流 |
| 業務部門主管 | 想快速採用AI提升效率,但又怕觸犯安全或合規紅線 | 提供合規的「AI代理應用商店」與預先審核的任務模板 |
| 合規與法務 | 難以追蹤AI決策過程,無法滿足法規透明度要求 | 與Purview深度整合,自動記錄代理活動,生成合規報告 |
實際案例:影子AI的發現與納管
想像一家跨國金融服務公司,其行銷部門未經IT批准,自行訂閱了一個第三方AI內容生成代理。在沒有Agent 365的情況下,這個代理就是一個「影子AI」——安全團隊不知道它的存在,無法監控它是否將敏感的客戶資料用於模型訓練。
導入Agent 365後,透過「Entra Internet Access Shadow AI Detection」功能,系統能在網路層自動偵測到這個未知的AI應用流量,並將其標記為「未受管理」。安全團隊可以透過控制台將這個代理「上架」納管,立即套用預設的治理策略——禁止存取含有個人識別資訊的客戶數據,並將所有生成記錄導向Purview進行合規審查。
AI代理的身份之謎:Entra的機器身份革命
從人類身份到機器身份
當AI代理試圖代表員工存取CRM系統時,系統要如何確認「是這個AI代理本尊,而不是一個模仿它的惡意程式」?這個問題催生了對「機器身份」或「非人類身份」進行強健管理的迫切需求。
微軟透過Entra身份平台的全面更新來應對這一挑戰:
- 代理身份(Agent ID):透過Agent 365配置的AI代理會獲得自己的Entra身份,支援條件式存取、身份保護與治理。這解決了「匿名」或「共用帳號」操作所帶來的問責問題。
- Entra備份與還原(預覽):自動備份Entra目錄物件,確保災難發生時能快速恢復身份服務。
- Entra租戶治理(預覽):發現未受管理的租戶,應用多租戶策略,防止安全策略出現缺口。
- 通行密鑰增強:同步通行密鑰、通行密鑰配置檔案、與Windows Hello的原生Entra通行密鑰整合。
- 統一身分安全儀表板(預覽):涵蓋人類與非人類身份的端到端身份風險評分。
AI代理身份驗證的三重挑戰
非人類實體] B --> D[挑戰2: 證明「它有權」
最小權限原則] B --> E[挑戰3: 證明「它正常」
行為未受篡改] C --> F[微軟Entra對策:
發放獨特機器身份] D --> G[微軟Entra對策:
動態權限與條件式存取] E --> H[微軟Entra對策:
持續行為驗證與信任評分] F --> I[達成目標:
安全、可問責的AI代理存取] G --> I H --> I
驗證機制必須進化。針對AI代理的驗證,可能結合短生命週期憑證或令牌、基於行為基線的異常偵測、以及鏈路證明(驗證代理是否從經過授權的安全環境中啟動)。
數據安全的新邊疆:Purview的內容感知防護
從傳統DLP到AI時代數據安全
當AI代理開始處理大量企業數據時,傳統的數據防洩漏(DLP)方案暴露出根本性缺陷。傳統方案多基於靜態規則(如禁止寄送含有身分證字號的檔案),但AI代理可能透過自然語言對話,在不觸發關鍵字警報的情況下拼湊並洩露敏感資訊。
微軟透過整合Purview數據治理與安全功能來應對這個挑戰。其策略核心是「內容理解」與「即時防護」的結合:
- 數據遺失防護(DLP):阻止敏感數據(PII、信用卡號碼)在提示中被處理或用於接地。
- 敏感度標籤:AI代理繼承並遵循數據的敏感度標籤,確保一致的數據保護。
- Copilot控制系統整合(2026年4月):在Microsoft 365管理中心中提供AI相關的數據風險視圖。
- 內部風險管理與通訊合規:偵測代理互動中的風險活動與政策違規。
傳統DLP與AI時代數據安全的核心差異
| 維度 | 傳統數據防洩漏 | AI時代的數據安全 |
|---|---|---|
| 防護對象 | 人為操作(郵件、上傳、列印) | 人為操作 + AI代理的自動化處理與輸出 |
| 觸發機制 | 依賴關鍵字、正則表達式、精確比對 | 結合語意理解、上下文分析、意圖判斷 |
| 防護時機 | 多在數據移動的「傳輸時」 | 延伸至數據被AI「處理時」與「生成時」 |
| 策略邏輯 | 「禁止」特定格式或內容流出 | 「控制」數據如何在對話與任務中被使用與揭示 |
| 管理複雜度 | 規則相對簡單,部署門檻低 | 需平衡安全與AI代理的實用性,技術複雜度高 |
根據微軟引用的第三方研究預估,到2027年將有超過40% 的企業數據洩露事件與AI代理不當處理數據直接或間接相關[3]。因此,主動的數據安全策略不再是選擇題,而是必答題。
威脅偵測與回應的升級:Defender的新武器
AI代理的威脅監控
Microsoft Defender在能動型AI安全的框架下,擴展了威脅保護的邊界:
- 安全監控:中央化檢視代理活動,提供開箱即用的威脅偵測(如越獄嘗試檢測)。
- 進階狩獵:查詢代理活動日誌,進行異常偵測與事件調查。
- Defender for Cloud增強(預覽):增強的容器安全、AWS與GCP的擴展態勢管理。
- Defender預測性保護(預覽):在活躍攻擊期間動態調整身份與存取策略。
更值得注意的是,微軟推出了「AI安全代理」——由AI驅動的防禦者:
- 安全分析師代理(2026年3月預覽):提供上下文分析與引導式工作流程。
- 安全警報分類代理(2026年4月預覽):自主分析、分類與優先處理跨雲端、身份和釣魚攻擊的警報。
Sentinel:重新定位為「代理防禦平台」
從SIEM到代理防禦
在微軟的新戰略中,Microsoft Sentinel被重新定位為「代理防禦平台」(Agentic Defense Platform),超越了傳統SIEM(安全資訊與事件管理)的範疇:
- 透過Microsoft Fabric的數據聯邦:原地調查外部安全數據(Databricks、Fabric、Azure Data Lake)。
- 自然語言Playbook生成器:自動化複雜工作流程。
- MCP實體分析器(2026年4月GA):模型上下文協議用於安全數據。
- Security Store(2026年3月GA):與Purview和Entra整合。
Sentinel的這次升級,反映了微軟對安全運營中心(SOC)未來的願景——AI代理不僅是我們要保護的對象,也可以成為保護我們的力量。
零信任與AI:微軟的新框架
零信任原則的AI延伸
微軟在RSAC 2026上正式推出了「AI的零信任框架」,將零信任三大原則(明確驗證、最小權限、假設入侵)擴展到AI生命週期的每個階段:
- 更新的零信任工作坊:新增AI支柱,涵蓋超過700項安全控制,分佈在116個邏輯組中。
- 零信任評估工具的AI擴展:現在覆蓋數據和網路支柱(AI專用評估預計2026年夏季推出)。
- AI零信任參考架構:提供實用的部署指南。
這個框架的戰略意義在於,它將AI安全從「附加功能」提升為「內建基礎設施」——就像是安全系統中的導航系統與安全氣囊,而非煞車踏板。
Gartner的初步評析與市場反應
「正在進行中的作品」
Gartner在RSAC 2026後發布了首份評估報告,將Agent 365定性為「正在進行中的作品」(work in progress)[4]。主要批評點包括:
- 功能尚未完成:無法追溯性地為既有代理分配Agent ID。
- 自動化程度有限:需要手動修復,缺乏規模化自動回應能力。
- 定價爭議:每用戶每月15美元的獨立定價,或E7套裝中每用戶每月99美元(不含折扣),被認為難以在現階段證明其價值。E7的批量折扣(13.2%)比E5(16.4%)還不優惠。
定價結構
| 方案 | 定價 | 包含功能 |
|---|---|---|
| Agent 365(獨立方案) | 每用戶每月15美元 | AI代理治理、目錄、生命週期管理 |
| Microsoft 365 E7(Frontier Suite) | 每用戶每月99美元 | E5 + Copilot + Agent 365 + Entra Suite |
對企業的實務建議
立即行動的三大方向
面對微軟的能動型AI安全路線圖,企業應立即採取以下行動:
1. 盤點內部的「AI資產」 不僅是正式的AI項目,更包括各部門可能正在試用的各種生成式AI工具和自動化腳本。建立AI代理的註冊與審批流程,是邁向治理的第一步。
2. 重新審視身份與存取管理策略 IT團隊需要與業務部門合作,定義哪些任務適合由AI代理執行,並為這些代理創建最小權限的訪問策略。是時候將「非人類身份」納入IAM的日常管理範疇了。
3. 培養「AI安全素養」 安全團隊需要學習AI如何工作,而AI開發者與業務使用者也需要理解安全的基本原則。工具提供了技術防線,但人的認知才是最後一道防線。
以下是微軟能動型AI安全體系的總體架構圖,清晰展示各產品組件如何協同運作:
統一控制平面] --> Identity[Entra
機器身份與存取管理] Center --> Data[Purview
數據分類與動態防護] Center --> Threat[Defender
行為監控與威脅偵測] Center --> SIEM[Sentinel
代理防禦平台] Identity --> Policy[條件式存取
最小權限原則] Identity --> Backup[Entra備份
災難復原] Data --> DLP[數據遺失防護
語意分析] Data --> Labels[敏感度標籤
自動繼承] Threat --> Monitor[AI代理活動監控] Threat --> Hunting[進階狩獵] SIEM --> Fabric[數據聯邦
跨平台調查] SIEM --> Playbook[自動化Playbook] subgraph "零信任基礎" Verify[明確驗證] Least[最小權限] Assume[假設入侵] end
FAQ
Q1: Agent 365和微軟現有的安全產品(Defender、Entra、Purview)是什麼關係? A1: Agent 365是AI代理的中央控制平面,它與Defender、Entra、Purview等現有產品深度整合,而非取代它們。具體來說:Entra負責代理的身份與存取管理,Purview負責數據安全與合規,Defender負責威脅偵測與回應,而Agent 365在其中扮演統一的治理與可見性入口角色。
Q2: 能動型AI安全與傳統資安有什麼根本不同? A2: 最大的差異在於AI代理的「自主性」。傳統安全防護的是人類操作,而AI代理可以自主決策、存取多個系統、執行多步驟任務,其行為模式、攻擊面和潛在風險與傳統軟體截然不同。這需要新的安全框架——從靜態的權限控制轉向持續的行為監控與信任評分。
Q3: 什麼是「影子AI」?為什麼它對企業構成威脅? A3: 「影子AI」是指未經IT或安全團隊批准、企業各部門自行使用的AI工具或代理。它對企業的威脅在於:安全團隊不知道它的存在,無法監控其行為或數據存取,也無法確保其合規性。一旦這些未受管理的服務遭到駭客攻擊,可能導致敏感的企業數據外洩。
Q4: 「機器身份」是什麼?為什麼在AI時代它變得重要? A4: 機器身份(也稱為非人類身份)是賦予AI代理、服務帳戶、應用程式等非人類實體的獨特身份憑證。在AI時代,當AI代理需要代表員工存取系統、處理數據時,系統需要確認「這個代理是真的」以及「它擁有適當的權限」,就像我們為人類員工分配帳號和權限一樣。
Q5: 企業導入微軟的能動型AI安全框架需要什麼預算? A5: 取決於企業規模與需求。Agent 365的獨立定價為每用戶每月15美元;如果選擇完整的Microsoft 365 E7(Frontier Suite),則為每用戶每月99美元(包含E5安全功能、Copilot、Agent 365與Entra Suite)。但Gartner指出,此定價在現階段可能難以證明其價值,建議企業根據實際需求評估。
參考資料
[1] Microsoft. (2026). “Microsoft Digital Defense Report 2026.”
[2] Microsoft Learn. (2026). “使用 Microsoft Agent 365 大規模保護 AI 代理.” https://learn.microsoft.com/zh-cn/security/security-for-ai/agent-365-security
[3] Microsoft Learn. (2026). “Get started with Microsoft Agent 365.” https://learn.microsoft.com/en-us/microsoft-agent-365/get-started
[4] TechTarget. (2026-03). “Microsoft 365 E7 adds AI governance; prices draw critiques.” https://www.techtarget.com/searchitoperations/news/366639980/Microsoft-365-E7-adds-AI-governance-prices-draw-critiques
[5] 澎湃新聞. (2026). “微軟發布智能體AI安全戰略,推出Defender、Entra和Purview新功能.” https://m.thepaper.cn/newsdetail_forward_32816090
[6] 安全內參. (2026). “微軟在RSAC 2026發布端到端Agentic AI安全體系.” https://www.secrss.com/index.php/articles/88776
[7] Valence Security. (2026). “Microsoft 365 E7: What the Frontier Suite Signals About the Future of AI in SaaS Security.” https://www.valencesecurity.com/resources/blogs/microsoft-365-e7-future-of-ai-in-saas-security
[8] Quisitive. (2026). “How Agent 365 Brings Governance and Control to Microsoft AI Agents.” https://quisitive.com/how-agent-365-brings-governance-and-control-to-microsoft-ai-agents/
