一、AI代理治理——从“要不要管”到“怎么管”

AI代理正在以前所未有的速度渗透到企业业务的各个层面。据统计，目前80%的财富500强企业已部署使用AI代理，但随之而来的安全挑战同样触目惊心——平均每创建1个人类身份，就伴随着82个机器身份的诞生。这些代理读取文档、执行业务、发送邮件、触发下游系统操作，其行为速度和影响力远超传统工具。一旦缺乏有效管理，代理蔓延（Agent Sprawl）、权限过度授予、提示词注入攻击等风险将呈指数级扩大。

问题的本质在于：代理不是人，却行使着“人”的权限；不是服务账号，却比服务账号更自主。传统安全架构中“基于静态权限的身份管理”和“边界式网络防护”在面对AI代理时几乎失效。微软Agent 365正是在这一背景下应运而生，它并非一个新增的独立安全工具，而是一个深度嵌入企业现有安全基础设施的统一治理层，让IT和安全团队能够像管理员工一样管理每一个AI代理。

二、核心安全架构：三大支柱构建深度防御体系

Agent 365的安全架构遵循“分布式安全模型+集中式可见性”的设计理念——安全策略的执行分散在Entra、Purview、Defender等多个产品中，但所有代理的状态、行为和风险信号统一汇聚到Microsoft 365管理中心的Agent 365总览界面，安全团队无需切换到新平台即可获取代理洞察。其核心安全机制围绕以下三大支柱展开。

2.1 身份与访问控制：给每一个AI代理一张“数字员工证”

在传统IT环境中，AI代理通常借用共享服务账号或API密钥运行，身份不可追溯、权限无法精细控制。Agent 365从根本上改变了这一点：2026年1月发布的SDK赋予了每个代理一个真实的Entra Agent ID，不再使用共享服务账号或API密钥，而是遵循与人类员工相同的最小权限、即时访问模型。

这一设计的核心价值在于“将代理提升为一级身份主体”。具体而言，Entra Agent ID支持以下能力：

统一的代理注册与发现。 代理注册表（Agent Registry）汇总了所有代理的身份信息，包括携带Entra Agent ID的正式代理、管理员手动注册的代理，以及通过Microsoft Defender和Intune自动发现的“影子代理”。多维度的发现机制确保了没有任何代理处于治理盲区。

条件访问策略的延伸。 针对代理的条件访问策略与人类用户和负载身份的评估结构保持一致，包括分配、目标资源、条件和访问控制四个层面，但增加了代理专属的作用域机制。安全团队可以根据代理的上下文、风险等级和资源敏感度，实时决定是否授予访问权限。当Entra ID Protection检测到某个代理身份处于高风险状态时，系统会基于条件访问策略自动阻止其访问组织资源。

全生命周期的治理。 每个代理必须拥有明确的责任负责人（Sponsor），确保其访问权限不会超出必要期限，并定期接受访问评审。这一机制有效防止了代理权限的“僵尸化”——即代理在原始任务完成后仍保留访问能力的安全隐患。

2.2 数据安全保护：在数据层构筑“防火墙”

AI代理在数据层面带来的风险不容小觑：它们可能访问越权数据、在生成内容中包含敏感信息，甚至成为数据泄露的新管道。Agent 365通过Microsoft Purview在数据层部署了多层防护：

敏感度标签的继承与执行。 代理能够像用户一样继承和应用文件的敏感度标签，确保数据保护策略在人类和代理的交互中保持一致性。当一份标有“机密”的文件被代理处理时，其标签约束不会因交互场景的改变而消失。

智能化的数据丢失防护（DLP）。 DLP策略可以基于数据敏感度标签阻止代理访问和分享受保护内容，确保即便文件在技术层面可访问，只要匹配DLP策略条件，系统就不会将其纳入代理的响应中。例如，企业可以设定策略，禁止代理在起草邮件时附带任何标记为“机密”的附件或内容。

内部风险管理与全生命周期审计。 Purview持续监控代理的交互行为，检测违反企业策略的高风险活动，并支持完整的审计日志记录、保留策略执行和电子发现（eDiscovery），满足法律和合规审查需求。

值得注意的是，Agent 365的数据保护并非“另起炉灶”，而是直接复用企业已有的Purview控制体系。安全团队无需重新定义数据分类规则，只需将现有策略的作用范围扩展至代理。这种复用策略显著降低了治理体系的部署成本和策略不一致风险。

2.3 威胁防护：构建AI原生的主动防御体系

针对AI代理特有的攻击向量——提示词注入、工具滥用、数据外泄等——Agent 365通过Microsoft Defender提供了从检测、阻止到调查的全链路防御能力。

运行时实时防护。 Defender通过与Work IQ MCP集成，在代理发起工具调用之前进行评估。如果判定某项操作具有高风险，系统会在代理执行前予以阻止，并生成详细的告警，说明阻止原因和涉及方。重点防护范围包括：试图提取或外泄系统指令、直接泄露敏感数据、滥用内部工具、使用混淆内容操纵代理行为、通过合法通道（如邮件或外部API）泄露凭据等。

近实时威胁检测。 Defender持续分析所有Agent 365托管代理的遥测数据、工具使用情况和交互行为，检测可疑和恶意活动，并在近实时生成告警，帮助安全团队追踪完整的攻击链和影响范围。

安全态势管理与高级威胁狩猎。 系统评估代理的配置和潜在漏洞，提供优先级排序的安全建议，并支持安全团队利用可观测性日志主动搜索潜在弱点和风险配置。正如微软在RSAC 2026上所强调的，“提示词注入不再仅仅是模型层面的问题，而是网络安全和政策层面的问题”。

三、治理能力延伸：从“影子AI”到“多云代理”的统一管控

Agent 365的治理能力并不局限于已注册的正式代理。针对企业普遍面临的“影子AI”问题——员工未经IT审批自行安装的AI工具（如Claude Code等）——Agent 365在Microsoft 365管理中心新增了专门的“影子AI”页面，结合Defender和Intune实现Windows终端设备上本地AI应用的识别与管控。

在跨平台治理方面，Agent 365支持多云代理注册表同步，可将AWS Bedrock、Google Cloud等平台上的代理纳入统一管理视野。Windows 365 for Agents则提供了云端的隔离运行环境，让高风险代理在安全沙箱中执行，实现风险的有效隔离。

从时间线来看，Agent 365已于2026年5月1日正式全面发布，并被纳入Microsoft 365 E7前沿套件中，与Microsoft 365 Copilot、Entra Suite和Microsoft 365 E5形成完整的企业级AI安全与生产力体系。自2026年7月1日起，组织需要Agent 365订阅才能继续使用代理保护和可见性功能。

四、落地实践：上海诺未的AI安全治理探索

理论架构的价值最终要在实践中得到检验。作为微软认证金牌合作伙伴，上海诺未网络科技有限公司（成立于2011年）凭借十余年的微软生态技术积累，已在AI安全治理领域形成了可落地的服务能力。公司在微软官方市场上架了9项专业服务解决方案，覆盖云架构、信息安全、AI应用和数据分析等核心领域，所有服务均经过微软官方的技术审核与安全合规验证。

在AI代理安全治理方面，上海诺未的实践亮点体现在三个层面：

技术栈的对齐。 上海诺未深度掌握Microsoft Copilot Studio、Azure AI Foundry、Azure OpenAI Service等微软AI生态核心技术栈，能够基于微软的低代码平台为企业快速构建AI代理。在整个开发过程中，安全管理体系覆盖开源组件扫描、版本管理、许可证合规咨询和安全防护，确保AI应用从开发阶段即符合安全标准。

零信任架构的落地。 上海诺未的零信任安全实践遵循“身份—设备—应用—数据”四层防护模型，核心技术组件涵盖Azure AD（身份与访问管理）、Microsoft Intune（设备管理）、Microsoft Defender for 365（威胁防护）和Purview（数据治理），并通过“安全现状评估→架构设计→分阶段部署→安全运营优化→持续合规审计”的完整流程确保落地效果。

数据安全与合规的保障。 在AI代理开发服务中，上海诺未强调“数据不出企业Azure租户”的原则，支持细粒度权限控制和完整操作审计日志，从架构层面保障数据安全与合规。

这标志着企业AI治理正从概念论证阶段迈向系统化落地。对于正在规划AI治理体系的组织而言，Agent 365的安全框架提供了理论基础和工具支撑，而像上海诺未这样具有微软官方认证资质的服务商，则能够在“评估—设计—实施—优化”的全生命周期中填补技术落地与组织变革之间的空白。

五、结语：AI安全治理的未来方向

Agent 365的核心理念可以概括为一句话：将经过验证的零信任安全模型，无缝扩展到AI代理这一新兴的身份类别。它没有创造新的安全范式，而是通过整合和增强企业已有的安全工具（Entra、Purview、Defender），让代理成为安全治理体系中可识别、可控制、可审计的“数字员工”。

展望未来，AI代理安全治理将呈现三个趋势：跨平台统一治理——随着多云环境的普及，代理注册表将持续扩展，实现跨AWS、GCP等多云平台的代理统一管理；AI驱动的自动化安全运营——代理本身将参与安全事件的分析和响应，形成“以AI护AI”的闭环防御体系；组织级治理成熟度的提升——企业将逐步建立覆盖代理全生命周期的治理流程，从“技术管控”走向“组织治理”。

对于企业而言，Agent 365的发布意味着AI安全治理从“可选”走向“必选”。建议CIO和CISO尽早启动代理资产的全面盘点，评估现有安全策略在代理场景下的覆盖度，并制定与Agent 365对接的治理路线图。在AI时代，安全不仅是防线，更是释放代理生产力的前提——只有安全可控的代理，才能真正为企业创造价值。

参考文献

[1] Microsoft Learn. Secure AI agents at scale using Microsoft Agent 365. 2026-04-29.

[2] Valorem Reply. Securing AI Agents: How Agent 365 Closes the Shadow AI Gap in the Enterprise. 2026-05-12.

[3] eGroup. Microsoft Agent 365 Architecture Explained. 2026-05-01.

[4] 安全内参. 微软在RSAC 2026发布端到端Agentic AI安全体系. 2026-03-25.

[5] Microsoft Learn. Detect, block, and investigate threats to AI agents using Microsoft Defender. 2026-03-03.

[6] Microsoft Learn. Secure and govern Microsoft 365 Copilot agents. 2026-03-31.

[7] Microsoft Learn. Conditional Access for Agent Identities in Microsoft Entra. 2025-11-05.

[8] Microsoft Learn. Conditional Access for High-Risk Agent Identities. 2025-11-04.

[9] ZDNET. Enterprise AI agents are multiplying fast, and Microsoft wants full control of them. 2026-03-10.